Cisco發佈了一篇關於 ZTNA 和零信任訪問的真實交易
零信任存取(Zero Trust Access,ZTA)是一種安全理念,它認為任何試圖存取網路或應用程式的行為都可能是威脅,因此必須進行嚴格的驗證和授權。零信任網路存取(Zero Trust Network Access,ZTNA)是一種實現 ZTA 的技術方法,它旨在為遠端使用者提供安全的私有應用程式存取。
然而,ZTNA 並沒有完全達到零信任的目標,它還存在許多挑戰和限制。例如,ZTNA 的名稱本身就有問題,因為它仍然涉及到網路層級的存取,而不是基於最小權限原則的應用程式層級的存取。許多傳統的 ZTNA 解決方案無法靈活地提供這種細粒度的控制,導致組織必須維護多種遠端存取方案,並且在大多數情況下,他們仍然授予過於寬泛的網路或網路區段存取。
因此,我們認為應該放棄「網路」這個詞,專注於真正的零信任存取(ZTA)。ZTA 是一種現代化的遠端使用者安全方法,它可以克服 ZTNA 的不足,並提供更好的使用者體驗、更簡單的 IT 管理和更強大的安全性。
ZTNA 的缺點
在實現 ZTNA 或安全遠端存取方面,事實總是比理論困難。當我與 IT 高管討論他們目前的 ZTNA 部署或計劃時,經常會出現一些問題和限制。作為一個群體,他們正在尋找一個雲端或混合解決方案,可以提高使用者體驗,簡化 IT 團隊的部署和維護,並提供靈活和細粒度的安全性,但許多人還沒有達到這個目標。因此,我整理了一些考慮因素,幫助人們評估他們的現狀和期望,在這個技術領域。如果您已經部署了某種形式的 ZTNA 或正在評估這方面的解決方案,請問自己以下這些問題,看看您是否能夠或將能夠滿足真正的零信任遠端存取環境的承諾。
- 是否有一種方法可以防止多個使用者到應用程式的會話通過一個隧道進行,從而增加嚴重安全漏洞的可能性?
- 反向代理是否使用下一代協定,並能夠支援每個連線、每個應用程式和每個裝置的隧道,以確保沒有直接的資源存取?
- 如何完全隱藏您的內部資源,使只有被允許的人可以看到它們?
- 姿態和身份驗證檢查是在什麼時候進行的?
- 是否可以支援所有類型的私有應用程式,包括傳統的、現代的和自定義的?
- 是否可以在不影響使用者體驗的情況下,提供最佳的網路效能和可用性?
- 是否可以與現有的安全架構和工具集成,並利用統一的政策和可見性?
- 是否可以根據使用者、裝置、應用程式和內容的上下文,動態地調整存取權限和安全控制?
如果您對這些問題的答案不是肯定的,那麼您可能需要重新考慮您的 ZTNA 選擇,並尋找一個更符合 ZTA 理念的解決方案。
Cisco Secure Access:一種現代化的零信任存取方法
Cisco Secure Access 是 Cisco 的全功能安全服務邊緣(Security Service Edge,SSE)解決方案,它在多個方面超越了傳統的方法。在資源存取方面,我們的雲端交付平台克服了傳統 ZTNA 的限制,並提供了以下優勢:
- 通過使用 HTTP/3 和 QUIC 協定,為每個使用者、每個裝置和每個應用程式建立獨立的隧道,從而實現真正的最小權限存取。
- 通過使用隱藏的 DNS 和 IP 位址,以及動態的防火牆規則,完全隱藏內部資源,防止未經授權的存取和攻擊。
- 通過在存取之前、之中和之後進行持續的姿態和身份驗證檢查,確保使用者和裝置的合規性和安全性。
- 通過支援所有類型的私有應用程式,包括傳統的、現代的和自定義的,實現一致的存取體驗和安全性。
- 通過使用最近的雲端節點,並利用 Cisco 的全球網路優化技術,提供最佳的網路效能和可用性。
- 通過與 Cisco 的其他安全產品和服務集成,實現統一的政策和可見性,並提供更強大的威脅防護和應對能力。
- 通過根據使用者、裝置、應用程式和內容的上下文,動態地調整存取權限和安全控制,實現智慧的存取決策。
Cisco Secure Access 是一個真正的零信任存取解決方案,它可以幫助您實現現代化的遠端使用者安全,並為您的組織帶來更多的價值和效益。
詳情請看: