Jamf 部落格
Close up of a server in a data center where ZTNA is implemented
July 21, 2023 作者 Hannah Hamilton

零信任網路存取是什麼?

對於那些想確保企業資源安全的機構來說,ZTNA 是一個越來越熱門的選項。ZTNA 的魅力何在?一起來看看它的優勢吧。

ZTNA 近期人氣漸增,你可能已經聽說過這個取代 VPN 的全新解決方案了。不過,ZTNA 的概念是什麼,它又是如何運作?不妨繼續看下去吧。

什麼是零信任架構?

首先讓我們談談「零信任網路存取」裡「零信任」的意思,美國國家標準暨技術研究院 NIST 將「零信任」定義為

在假設網路已遭到入侵的環境中,集結不同理念與想法,依照資訊系統與服務請求給予權限,將導入最小權限原則的不確定性降至最低

換句話說,零信任的概念即「永不信任,一律驗證」。假設今天你的網路已遭到駭客入侵,而你需要針對每一項存取請求進行驗證,確保存取資源的人屬實並具備權限,零信任架構 (ZTA) 就是圍繞著這個概念、採取嚴謹存取政策與流程,並遵循延伸驗證每一項請求的原則而構思出的資安方案。起初的 ZTA 是透過下列概念來建構的:

  • 「資源」泛指所有的服務、資料來源處,例如:SaaS 平台、儲存裝置、公發裝置和可存取企業資料的個人 BYOD 裝置
  • 所有的通訊連線皆應受到妥善防護,不論在企業安全網外或任何網路據點都不例外
  • 按照工作階段來批准存取請求
  • 經查閱 App、使用者帳號、服務、裝置特性和/或行為屬性等屬性後,動態政策會進一步決定是否要批准存取連線
  • 機構可監測和評估所有自有與相關資產的完整性與安全性,並評估或否決存取請求 (如果裝置不合規的話)
  • 每一次發出的存取請求都須經過驗證,並且只有在通過嚴格的驗證和授權程序後才批准存取權
  • 蒐集資產當前狀態、網路流量以及存取請求等這類背景資訊,以改善機構資安態勢

隱晦型的信任模型早已不堪用,許多機構都選擇了零信任架構。VPN 雖然已經風行了幾十年,但是只要使用者成功登入 VPN,就能就存取整個網路;若今天不幸是惡意人士成功入侵,那他們就能肆意橫向移動,直到取得他們想要的東西。遠距工作的增長趨勢消除了網路邊界,因為誰也無法確定今天使用者在哪裡,或是透過哪個網路連上線,這代表企業需要實施更嚴謹的存取政策,而解決方法無疑是——ZTNA。

ZTNA 的運作原理

ZTNA 仰賴兩個主要的概念:微分段和軟體定義邊界。

微分段

微分段技術是指將網路劃分為獨立的網段,進出每個網段的流量將受到監測與管控,以降低網路中橫向移動的可能性。若要實現微分段技術,導入的身分型政策不能仰賴網路參數或環境,而是要使用加密的方式,並且在每次請求存取時都需要互相驗證身分和取得授權。這個做法可限縮存取權,只允許經過驗證的裝置、使用者帳號以有效的網路流量存取企業資源。

軟體定義邊界

軟體定義邊界採取以下重點原則:

  • 最小權限原則:使用者在成功驗證身分後,便可以存取特定資源,也只有存取該資源的連線
  • 持續的重複性評估存取連線:在每個工作階段不斷重新評估使用者身分,若識別到可疑身分則會即時變更存取級別
  • 減少攻擊面:透過微分段這樣的技術來防止橫向移動,蒐集背景資訊可讓任何未妥善修補、遭到入侵或缺乏強化配置設定的裝置,皆無法連線至或致使公司基礎架構損壞。

ZTNA 特點

那麼,微分段和軟體定義邊界實際上能發揮什麼作用呢?簡單來說:

  1. 使用者試著存取企業資源
  2. 使用者憑證、裝置健康度還有政策所規範的其他標準都將進行驗證
  3. 如果使用者身分和合規性皆通過驗證,系統不會建立存取完整網路的連線,而是在裝置與資源之間建立微型通道
  4. 持續監控身分和裝置狀態,如果出現任何可疑狀況,便隨即撤銷連線

總結

  • 零信任模型假定所有存取網路的連線都是不可信的,並遵循最小權限原則來給予存取權,藉此避免網路中的橫向移動
  • ZTNA 方案就是建築在零信任的基礎上
  • ZTNA 採用微分段技術和軟體定義邊界,將網路資源與網路內外的主機隔離開來

讓 Jamf 為你建立存取企業資源的安全連線

Photo of Hannah Hamilton
Hannah Hamilton
Jamf
Hannah Hamilton, Copywriter.
訂閱 Jamf Blog

直接寄送市場趨勢、Apple 最新消息與 Jamf 相關新聞至您的收件匣,最新消息不漏接。

若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。