在蓝天-1的服务器走廊

什么是零信任网络访问?

零信任网络访问(ZTNA) 已成为具有访问内部资源的远程劳动力的分布式组织的转入安全解决方案。尽管 遥远的工作 对于世界各地的绝大多数组织来说,Covid加速了向分布式劳动力的转变。今天,最继续接受这种远程运营风格。当然,这需要确保远程访问网络上的内部资源。然而,在整个这个全球大流行中,它已经清楚地清楚了,这是一个以前是用于保护远程访问的去解决方案,这不是银弹,它曾经被认为是曾经认为的,并且遭受了一些明显的问题。  
 
使用VPN连接到本地应用程序会导致扰乱员工生产力的用户体验受损。这些工具建立的隧道不是为用户体验设计的,并且不提供用户需要完成工作的性能水平。此外,由于VPN的使用需要昂贵的硬件设备,因此安装有固定容量的固定容量,因此缺乏可扩展性。当组织从一小部分偏远工人转移到一个完全远程劳动力时,这在庇护所的开始时变得显而易见。现有的VPN设备不是为增加的负载设计的,而且失败,并且需要组织以反应性地机架和堆叠更多更好的设备(支付一天能够过剩的情况)。最后,虽然经常被忽视,但在安全方面没有足够的时间。通常,这些工具授予完全访问网络和所有内容,违反了核心原则 零信任安全 并在网络上跨越资源启用横向运动 - 导致更大的违规行为。 
 
幸运的是,对于现代,分布式企业来说,Ztna旨在确保远程访问的挑战 - 正如Gartner在其2020的整个2020所述的挑战 零信任网络访问的市场指南。

零信任网络访问

如上所述,ZTNA避免与VPN相关的挑战,同时为现代组织提供增强的保护。 Ztna而不是过度访问网络和所有内部资源,而不是过度访问 零信任 校长 最重要的特权,并在基于用户的访问上下文的时间内为特定资源提供安全访问。这通常通过单点登录(SSO)和多因素认证(MFA)以及上下文访问控制等Identity和Access Management(IAM)功能来完成。领先的ZTNA解决方案本身可以提供此功能,也可以与您已经到位的任何解决方案集成。 

领先的ZTNA解决方案是在公共云中架构并交付的。这允许他们放弃使用昂贵的硬件设备,否则将需要在房屋上安装和维护。通过这种方式,Ztna提供了VPN等缓慢的工具的增强性能,提供了显着提高的,自动可扩展性,这些架构不可用,这些架构不适用于需要反应的机架和堆叠昂贵的设备,以便缩放。 

作为最后一点,由于崛起 带上自己的设备(byod),评估ZTNA供应商的组织应该选择解决方案,该解决方案提供可靠的部署选项,用于保护个人设备的基于浏览器的访问权限到属性应用程序 吉拉或汇合。对于HTTP或HTTPS之外的协议,需要使用厚客户端,如RDP或SSH,ZTNA解决方案需要使用代理。  

数据丢失预防

确保内部资源不仅仅是静态允许或阻止访问应用程序的问题。今天的组织也需要 智能安全功能 这将识别访问的敏感文件和数据模式,并防止它们实时落入错误的手中。 数据丢失预防 (或数据泄漏预防)描述了许多能力,其提供对数据的多种访问水平,以防止未经授权的访问和非法使用。 DLP是ZTNA的关键组成部分,因为组织最敏感的信息通常依赖于场所。 

DLP解决方案有多种方式可以识别应受到保护的数据模式。更简单的工具扫描文档中的“机密”或“敏感”等关键字,并使用基本正则表达式来标识社会安全号码(XXX-XX-XXXX)等模式的实例。更多已开发的解决方案在使用逻辑运算符(以及不)和数学运算符(计数)时,提供高级Regex以扫描多个数据模式。此外,高级解决方案可以扫描文件格式,指纹(模板)和精确的数据匹配。 

通过上述机制,DLP解决方案可以识别需要保护的敏感或受调节的文件和数据模式。从那里,他们可以采取各种旨在防止泄漏的动作。作为图示,如果用户试图下载包含诸如少数客户信用卡号的敏感数据的文档,则解决方案可以在访问时识别所述数据。因此,根据用户的授权,它可以加密下载或强制执行数字版权管理(DRM)的文件,这需要额外的身份验证,并通过Web浏览器提供对文件的只读访问。同样,如果上载的文件被视为敏感或疑似,则可以在仅用于审查的admin文件夹中创建副本。

先进的威胁保护

如前一节所述,远程工作安全要求远远超出VPN的简单允许和阻止机制。此外,在防止敏感数据和文件的泄漏之上,组织必须抵御恶意软件和赎金软件等威胁。 正如近年来痛苦的显而易见的那样随着Petya和Wannacry等威胁的全球爆发,恶意软件可以在组织中迅速延长,将其运营停止,并将其带到膝盖上。 

领先的ZTNA解决方案包括本地 高级威胁保护(ATP) 对恶意软件确保内部资源的功能。这允许它们扫描过境中的文件以进行威胁,并根据需要阻止它们 - 防止静止威胁扩展到用户设备,并阻止用户设备对感染内部资源的威胁。如果Ztna Solutions提供无代理部署选项,则可以扫描甚至非托管设备的上传和下载以用于威胁。考虑到与非公司设备上的控制软件有关的灾难以及与控制软件相关的挑战,这种能力越来越重要。 

提供内置威胁保护的Ztna供应商通常将领导者的检测引擎相容,如 群体进入他们的解决方案。这为他们提供了高度专业化的行为的威胁检测。与基于反应签名的方法不同,依赖于静态列表模式,签名或已知与恶意软件相关联的哈希物,基于行为的引擎使用机器学习跨越数十个属性审查文件及其潜在行为。通过这种方式,它们可以检测具有未知签名的零日恶意软件。 

安全访问服务边

零信任网络访问技术是完整的一部分 sase(安全访问服务边缘) 平台。 SASE产品集成了互补技术,以便他们可以在任何设备,应用程序,网页目的地,内部部署资源或基础架构之间进行任何互动。通过单个门户网站,管理员可以自定义一组自动化策略,无论在哪里都可以保持数据。为全面,综合安全,评估ZTNA解决方案的组织应确保其选择的工具是完整的Sase产品的一部分。与ZtNA一起,下面描述Sase的其他两个核心组分。

通过 云访问安全经纪人(Casb) 功能,SASE平台为制裁云资源中的数据提供端到端保护,包括AWS和Azure等IAAS平台以及托管SAAS,如Office 365和Salesforce。反向代理提供可防止可防止从任何设备的访问的无代理部署模式,包括个人和远程端点,这些模式在现代工作环境中越来越常见。

安全Web网关(SWG) 技术是Sase产品的另一个核心组件。 SWGS以URL过滤的形式提供Web安全性以及块泄露泄漏和威胁的实时DLP和ATP策略。他们还通过阻止它们来保护Shadow IT(非托管应用程序),渲染它们只读,并将用户授予制裁替代品。在哪里 SWG在用户端点本地部署增强,可扩展性和性能。

云解决方案简介图像

贝尔格斯 Sass. with ZTNA

想在动作中看到BitGlass解决方案吗?

请求下面的免费试用版。


请求免费试用