蓝蓝的天空-1中的服务器走廊

什么是零信任网络访问?

零信任网络访问(ZTNA) 已成为具有远程员工访问本地资源的分布式组织的首选安全解决方案。而 远程工作 这并不是什么新鲜事,Covid加快了全球绝大多数组织向分布式员工队伍的转变。今天,大多数人继续采用这种远程操作方式。自然,这需要确保对网络上内部资源的远程访问。但是,在整个全球大流行中,很明显,VPN(以前曾经是确保远程访问安全的首选解决方案)并不是它曾经被认为是灵丹妙药,并且存在一些明显的问题。  
 
使用VPN连接到本地应用程序会导致用户体验受损,从而破坏员工的工作效率。这些工具建立的隧道不是为用户体验设计的,并且不能提供用户完成工作所需的性能水平。此外,由于VPN的使用需要在房屋中安装具有固定容量的昂贵硬件设备,因此缺乏可扩展性。当组织从一小部分远程工人转移到完全远程的劳动力时,这在庇护所开始之初就变得很明显。现有的VPN设备并不是为增加负载而设计的,不知所措,并且失败了,要求组织以反应堆的方式堆叠和堆叠更多更好的设备(支付一天的多余容量)。最后,尽管它经常被忽略,但在安全性方面VPN还是不够的。通常,这些工具会授予对网络及其上所有内容的完全访问权限,这违反了以下原则: 零信任安全 并允许跨网络资源的横向移动-导致更大的漏洞。 
 
对于现代的分布式企业而言,幸运的是,ZTNA能够应对确保远程访问的挑战-正如Gartner在其2020年全年所指出的那样 零信任网络访问市场指南。

零信任网络访问

如上所述,ZTNA克服了与VPN相关的挑战,同时为现代组织提供了增强的保护。 ZTNA并没有给予网络和所有内部资源过多的访问权限,而是专注于 零信任 校长 最小特权,并根据用户的访问上下文一次提供对特定资源的安全访问。通常,这可以通过身份和访问管理(IAM)功能(如单点登录(SSO)和多因素身份验证(MFA))以及上下文访问控制来实现。领先的ZTNA解决方案可以本地提供此功能,并且可以与您现有的任何解决方案集成。 

领先的ZTNA解决方案在公共云中构建并通过公共云交付。这样一来,他们就可以避免使用昂贵的硬件设备,否则这些硬件设备将需要在内部安装和维护。通过这种方式,ZTNA可以通过诸如VPN之类的呆滞工具提供更高的性能,并提供显着改进的自动化可伸缩性,而基于设备的体系结构则无法提供这种功能,而基于设备的体系结构需要反应性的机架和堆叠昂贵的设备才能扩展。 

最后一点,由于 带上自己的设备(BYOD),评估ZTNA供应商的组织应选择可提供无代理部署选项的解决方案,以确保个人设备上基于浏览器的访问对本地应用(如 吉拉或合流。对于需要使用胖客户端的HTTP或HTTPS之外的协议,例如RDP或SSH,ZTNA解决方案需要使用代理。  

防止数据丢失

保护本地资源不仅仅是静态地允许或阻止对应用程序的访问。今天的组织也需要 智能安全功能 可以识别访问时的敏感文件和数据模式,并防止它们实时落入错误的人手中。 防止数据丢失 (或防止数据泄漏)描述了许多功能,它们提供对数据的不同级别的访问,以防止未经授权的访问和非法使用。 DLP是ZTNA的重要组成部分,因为组织的最敏感信息通常位于内部。 

DLP解决方案可以通过多种方式来识别应保护的数据模式。较简单的工具会在文档中扫描诸如“机密”或“敏感”之类的关键字,并使用基本正则表达式来识别诸如社会安全号码(XXX-XX-XXXX)之类的模式实例。更加发达的解决方案提供了高级正则表达式,以在使用逻辑运算符(和/或不)和数学运算符(计数)的同时扫描多个数据模式。此外,高级解决方案可以扫描文件格式,指纹(模板)和确切的数据匹配项。 

通过以上机制,DLP解决方案可以识别需要保护的敏感文件或受管制文件和数据模式。从那里,他们可以采取旨在防止泄漏的各种措施。作为说明,如果用户尝试下载包含敏感数据(例如少数客户信用卡号)的文档,则解决方案可以在访问时识别所述数据。因此,根据用户的授权,它可以在下载时对文件进行加密或执行数字版权管理(DRM),这需要额外的身份验证,并通过Web浏览器提供对文件的只读访问权限。同样,如果上载的文件被认为是敏感文件或可疑文件,则可以在仅管理员文件夹中创建副本以供查看。

先进的威胁防护

如上一节所述,远程工作安全性要求远远超出了VPN的简单允许和阻止机制。此外,除了防止敏感数据和文件泄漏外,组织还必须防御恶意软件和勒索软件等威胁。 近年来,随着像Petya和WannaCry这样的全球性威胁的爆发,痛苦变得显而易见,恶意软件可以在整个组织中迅速扩散,使其运营陷入停顿,并使其屈膝。 

领先的ZTNA解决方案包括本地 高级威胁防护(ATP) 用于保护本地资源免受恶意软件侵害的功能。这使他们可以扫描传输中的文件以查找威胁并根据需要阻止它们-防止静止的威胁传播到用户设备,并防止用户设备上的威胁感染内部资源。 ZTNA解决方案提供无代理部署选项的地方,甚至可以扫描从不受管理的设备上传和下载的威胁。鉴于BYOD的迅猛发展以及与在非公司设备上控制软件相关的挑战,这种功能变得越来越重要。 

提供内置威胁防护的ZTNA供应商通常会集成AV领域领导者的检测引擎,例如 人群罢工,纳入他们的解决方案。这为他们提供了高度专业化的基于行为的威胁检测。与基于反应式签名的方法依赖于已知与恶意软件相关的模式,签名或哈希的静态列表不同,基于行为的引擎使用机器学习来检查文件及其在数十个属性中的潜在行为。这样,他们甚至可以检测到具有未知签名的零日恶意软件。 

安全访问服务边缘

零信任网络访问技术是完整协议的一部分 佐世 (安全访问服务边缘) 平台。 SASE产品集成了互补技术,因此它们可以确保任何设备,应用程序,Web目标,本地资源或基础结构之间的任何交互。通过单个门户,管理员可以自定义一套自动化策略,从而可以始终保护数据。为了获得全面的集成安全性,评估ZTNA解决方案的组织应确保他们选择的工具是完整SASE产品的一部分。与ZTNA一起,下面介绍了SASE的其他两个核心组件。

通过 云访问安全代理(CASB) 在功能上,SASE平台可为受认可的云资源中的数据提供端到端保护,包括AWS和Azure等IaaS平台以及Office 365和Salesforce等托管的SaaS。反向代理提供了无代理部署模式,可以保护从任何设备(包括个人和远程端点)进行的访问,这些设备在现代工作环境中变得越来越普遍。

安全Web网关(SWG) 技术是SASE产品的另一个核心组成部分。 SWG通过URL过滤以及阻止泄漏和恶意软件等威胁的实时DLP和ATP策略提供Web安全。他们还通过阻止影子IT(非托管应用程序),将其呈现为只读状态以及指导用户使用受认可的替代方案来保护影子IT(非托管应用程序)。哪里 SWG本地部署在用户的端点上,可扩展性和性能得到增强。

云解决方案简要图片

位玻璃 佐世 with ZTNA

是否想了解Bitglass解决方案的实际效果?

请在下面申请免费试用。


要求免费试用