零信任网络访问 (ZTNA) 与虚拟专用网络 (VPN)

什么是 ZTNA？

零信任网络访问是一种 IT 安全解决方案，它基于明确指定的访问控制标准，允许安全地远程访问组织的应用程序、数据和服务。

以下是 ZTNA 的一些突出特点：

ZTNA 仅允许访问某些服务或应用程序，而 VPN 则提供对整个网络的访问。
随着越来越多的用户从任何地方访问资源，ZTNA 解决方案可以帮助弥补现有安全远程访问技术和方法的差距。
ZTNA 实施细粒度、自适应和上下文感知规则，以提供安全且无缝的零信任访问，访问跨云和企业数据中心托管的私有应用程序，无论从哪个远程位置以及任何设备。上下文可以是用户身份、用户或服务的位置、一天中的时间、服务类型以及设备的安全状况的混合。
ZTNA 为每个用户提供有效的登录密钥“最小权限”访问选定的应用程序，而不是整个底层网络，从而最大限度地减少攻击面并避免受损帐户或设备的威胁横向转移。ZTNA 基于“零信任”理念，该理念指出企业不应信任任何实体（无论是在其安全边界内还是在其安全边界外），而应在向其提供关键资源的访问权限之前对每个人或设备进行身份验证，从而确保数据安全性和完整性。
ZTNA 是安全访问服务边缘 (SASE) 的主要组成部分，它将安全周界的想法从静态企业数据中心转变为更动态、基于策略的、云交付的边缘，以满足远程员工的访问需求。

虚拟专用网络 (VPN) 是一种网络安全技术，它通过公共网络建立安全且加密的连接。虚拟专用网络 (VPN) 是一种通过公共网络（如互联网）扩展私有网络的方法。

该术语仅表示它是一个虚拟的“私有网络”，这意味着用户可以从远处连接到本地网络。VPN 中使用隧道协议来提供安全的连接。

假设一家银行的总部位于华盛顿特区。此工作场所有一个本地网络，大约有 100 台机器在其上。假设该银行在印度孟买和日本东京还有其他分支机构。在分支机构和总部之间创建安全连接的旧方法是在分支机构和总部之间使用专线，这既昂贵又不方便。我们可以借助 VPN 有效地解决此问题。

VPN 为每个用户提供有效的登录密钥以访问整个网络。在发生网络攻击的情况下，ZTNA 会阻止用户访问指定的应用程序，从而减少数据泄露和威胁横向移动。

VPN 缺乏应用程序级限制，并且在私有网络内无法了解用户行为。ZTNA 跟踪每个用户的操作，并提供更多关于用户行为和风险的可见性和监控，从而允许更明智、数据驱动的控制来保护应用程序中的敏感材料。日志可以馈送到 SIEM 系统，以实时整合查看用户活动和威胁。

ZTNA 还可以与端点安全解决方案链接，以根据持续的设备安全状况评估提供自适应访问。
VPN 连接在评估端点状况时不会考虑由最终用户设备带来的风险。一台已被渗透或感染恶意软件的设备可以快速连接到服务器并访问内部资源。ZTNA 持续检查连接的设备，认证其安全状况，并根据当时所需的设备信任提供对资源的自适应访问。当检测到风险时，设备连接会立即取消。
VPN 并非旨在满足当今日益分散的员工队伍的需求。每个用户连接都通过集中式 VPN 集线器路由，这会导致带宽和性能问题，以及糟糕的用户体验。
用户可以使用 ZTNA 创建直接到应用程序的连接，从而允许快速安全地访问托管在 IaaS 环境或私有数据中心中的企业资源，以及灵活且可扩展的云部署。
ZTNA 通过消除购买昂贵的 VPN 设备和管理每个数据中心的复杂基础设施配置的需要来节省成本。此外，远程用户不需要单独的、资源密集型的 VPN 软件来创建安全连接。

Ayushi Bhargava

更新于：2022 年 4 月 11 日

328 次查看

通过完成课程获得认证