This is the Trace Id: c28d1edda272c2b4357f199c34384411
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu

Co je síťový přístup na bázi nulové důvěry (ZTNA)?

Seznamte se s modelem ZTNA a jak tento model poskytuje zabezpečený, adaptivní a segmentovaný přístup k aplikacím a prostředkům.
Objevte Microsoft Entra Soukromý přístup
Žena v bílém svetru, která se dívá na tablet.

Přístup na bázi nulové důvěry (ZTNA) - úvod


ZTNA (Zero Trust Network Access) neboli síťový přístup na bázi nulové důvěry je model zabezpečení, který poskytuje zabezpečený, adaptivní a segmentovaný přístup k aplikacím a prostředkům. Toto řešení je založeno na principu explicitního ověřování, používání nejnižších možných oprávnění a předpokládaného porušení zabezpečení.

Na rozdíl od tradičních modelů zabezpečení, které pracují s přístupem založeným na určitém perimetru – který důvěřuje všemu uvnitř sítě a zaměřuje se na zabezpečení perimetru – ověřuje model ZTNA neustále každou žádost o přístup bez ohledu na umístění, uživatele nebo zařízení. Předpokládá, že každý uživatel, zařízení nebo síťový segment je potenciální hrozbou, a v každé fázi prosazuje silné kontroly přístupu zaměřené na identitu.
ZTNA (Zero Trust Network Access) neboli síťový přístup na bázi nulové důvěry je model zabezpečení, který poskytuje zabezpečený, adaptivní a segmentovaný přístup k aplikacím a prostředkům.
 
  • Poskytuje přizpůsobitelné a odolné kybernetické zabezpečení pro zabezpečení přístupu hybridních pracovníků v globálním rozsahu.
  • Zatímco tradiční zabezpečení se spoléhá na zabezpečení perimetru sítě, ZTNA považuje každý pokus o přístup za potenciálně rizikový bez ohledu na umístění.
  • Mezi přínosy patří lepší přehled o síťových aktivitách, škálovatelnost a flexibilita a minimalizace dopadu potenciálních narušení zabezpečení.

Důležitost ZTNA


ZTNA (Zero Trust Network Access) neboli síťový přístup na bázi nulové důvěry je důležitý, protože je v souladu s rostoucí potřebou adaptovatelné a odolné kybernetické bezpečnosti na stále více distribuovaných pracovištích, která se orientují na digitální technologie.

Tady je vysvětlení, proč se tento model stal důležitou architekturou:

Ochrana před vyvíjejícími se hrozbami. Tradiční modely zabezpečení, které poskytují interním uživatelům široký přístup k síti, jsou v ochraně proti dnešním sofistikovaným kybernetickým hrozbám nedostatečné, a to zejména proti insiderským hrozbám nebo hrozbám plynoucím z napadených přihlašovacích údajů. ZTNA předpokládá, že žádná entita není ze své podstaty důvěryhodná, což omezuje potenciální vektory útoku.

Podpora vzdálené práce a cloudových prostředků. S nástupem práce na dálku a přechodu na cloud přecházejí firmy z tradičních místních sítí na hybridní nebo plně cloudové infrastruktury. ZTNA poskytuje zabezpečený přístup k prostředkům z libovolného místa a konzistentně vynucuje zásady zabezpečení napříč místními i cloudovými prostředími.

Zmírnění laterálního pohybu při kybernetických útocích. Ve scénáři porušení zabezpečení brání segmentovaný přístup modelu ZTNA útočníkům v laterálním pohybu a omezuje rozsah potenciálních škod. Vzhledem k tomu, že přístup je udělován pouze na základě konkrétní potřeby, je pro útočníky mnohem obtížnější pohybovat se mezi systémy a získat přístup k důležitým prostředkům.

ZTNA poskytuje podnikům řadu přínosů, mezi které patří:

Rozšířené zabezpečení. Model ZTNA s průběžným ověřováním identit a zařízení snižuje riziko neoprávněného přístupu a zmírňuje hrozby z napadených přihlašovacích údajů. Ověřováním každého pokusu o přístup na základě faktorů, jako je identita, poloha a stav zařízení, posiluje ZTNA celkové zabezpečení a minimalizuje neoprávněný přístup.

Vylepšené řízení přístupu a vynucování zásad. ZTNA umožňuje organizacím vynucovat podrobné zásady přístupu na základě role. Uživatelům se udělí přístup jenom k aplikacím nebo prostředkům, které potřebují. To snižuje riziko náhodného nebo úmyslného přístupu k citlivým datům. Zjednodušuje také dodržování předpisů týkajících se ochrany dat a ochrany osobních údajů tím, že zajišťuje, aby byl přístup omezený a protokolovaný.

Omezení potenciální oblasti útoku. Vzhledem k tomu, že ZTNA nezpřístupňuje celou síť žádnému uživateli nebo zařízení, výrazně snižuje potenciální oblasti útoku. Ke konkrétním prostředkům můžou přistupovat pouze autorizovaní uživatelé a zařízení, a to pouze prostřednictvím zabezpečených a šifrovaných připojení, což snižuje riziko úniku dat nebo neoprávněného vystavení.

ZTNA vs. tradiční modely zabezpečení


Tradiční modely zabezpečení se primárně spoléhají na koncept "důvěryhodné" interní sítě a "nedůvěryhodné" externí sítě zabezpečené branami firewall a sítěmi VPN. Mezi hlavní rozdíly mezi síťovým přístupem na bázi nulové důvěry (ZTNA) a těmito tradičními modely patří:

Založeno na perimetru vs. založeno na identitách. Tradiční zabezpečení spoléhá na zabezpečení perimetru sítě za předpokladu, že uživatelé v síti jsou důvěryhodní. ZTNA považuje každý pokus o přístup za potenciálně rizikový, bez ohledu na umístění, a pokaždé vyžaduje ověření identity.

Implicitní vs. explicitní vztah důvěryhodnosti. V tradičních modelech jsou po ověření uživatelé důvěryhodní a často se v síti pohybují laterálně bez větších omezení. Model ZTNA však implementuje mikrosegmentaci a přístup s nejnižšími možnými oprávněními, aby se omezil laterální pohyb a snížila rizika spojená s napadenými přihlašovacími údaji.

Statické vs. dynamické řízení přístupu. Starší modely zabezpečení obvykle obsahují statická pravidla, která jsou méně flexibilní a v dnešních prostředích často zastaralá. ZTNA používá dynamické zásady, které se přizpůsobují na základě rizikových faktorů, chování uživatelů a dalších kontextových podnětů.

VPN vs. přímý zabezpečený přístup. Tradiční modely síťového připojení často používají pro vzdálený přístup sítě VPN. To může způsobovat latenci a jejich škálování je náročné. Řešení ZTNA poskytují zabezpečený přístup přímo k aplikacím bez směrování veškerého provozu přes síť VPN, což zlepšuje výkon a škálovatelnost.

Mechanika modelu ZTNA


ZTNA (Zero Trust Network Access) neboli síťový přístup na bázi nulové důvěry je součástí architektury Security Service Edge a používá se k zabezpečení přístupu k privátním prostředkům na základě principů nulové důvěry (Zero Trust). V prostředí s modelem ZTNA musí uživatelé, zařízení a aplikace před přístupem k prostředkům neustále prokazovat svou legitimitu, a to bez ohledu na to, jestli se nacházejí v síti nebo mimo ni. Mezi klíčové provozní mechanismy patří:

Správa identit a přístupu. ZTNA začíná striktním ověřením identity. Každý uživatel nebo zařízení musí před získáním přístupu k libovolné aplikaci nebo prostředku ověřit svou identitu, často prostřednictvím vícefaktorového ověřování (MFA). Tím se zajistí, že se identifikují pouze legitimní uživatelé a že přístup je udělen pouze těmto uživatelům.

Mikrosegmentace. Místo spoléhání se na jediný perimetr sítě rozděluje ZTNA síť na menší izolované segmenty. Každý segment obsahuje konkrétní prostředky nebo aplikace, což útočníkům znesnadňuje laterální pohyb v rámci sítě, pokud by ohrozili jeden segment.

Přístup s nejnižší možnou úrovní oprávnění. Každému uživateli a zařízení je udělen přístup pouze ke konkrétním aplikacím nebo datům nezbytným pro jejich role, což omezuje potenciální vystavení. Tento přístup s nejnižšími možnými oprávněními minimalizuje riziko porušení zabezpečení dat nebo neoprávněného přístupu tím, že omezuje, k čemu může přistupovat každý jeden napadený účet.

Přístup na úrovni aplikace. Místo udělení rozsáhlého přístupu na úrovni sítě podporuje ZTNA připojení pro konkrétní aplikace. To znamená, že i když je zařízení udělen přístup, komunikuje pouze s konkrétní aplikací nebo prostředkem, ke kterému má oprávnění k přístupu. To dále snižuje potenciální oblast útoku, protože uživatelé a zařízení nevidí celou síť a nemají přístup k celé síti.

Nepřetržité vyhodnocování přístupu. Nepřetržité vyhodnocování chování uživatelů a zařízení je centrální součástí ZTNA. To zahrnuje monitorování neobvyklých vzorců aktivit, stavu zařízení (například jestli jsou nainstalovány aktualizace zabezpečení) a změny v poloze. Při zjištění anomálií může být přístup odvolán nebo může být vyžadováno další ověření.
PŘÍNOSY

Přínosy síťového přístupu na bázi nulové důvěry (ZTNA)

ZTNA (Zero Trust Network Access) neboli síťový přístup na bázi nulové důvěry nabízí celou řadu přínosů. Vzhledem k dnešním stále sofistikovanějším kybernetickým hrozbám je to atraktivní architektura zabezpečení.

Zvýšená viditelnost

ZTNA poskytuje centralizovaný přehled všech žádostí o přístup a aktivit v síti, což umožňuje monitorování a audit v reálném čase. Tato viditelnost je důležitá pro včasnou identifikaci a zmírnění rizik a také pro generování sestav dodržování předpisů a pochopení vzorců chování uživatelů.

Škálovatelnost a flexibilita

Cloudový přístup ZTNA k zabezpečení je škálovatelný a adaptovatelný. S tím, jak firma roste, přidává prostředky nebo zavádí nové aplikace, ZTNA se těmto změnám přizpůsobuje, aniž by to vyžadovalo rozsáhlé změny konfigurace. Podporuje hybridní pracovníky tím, že poskytuje bezproblémový a zabezpečený přístup bez ohledu na umístění uživatelů.

Minimalizovaný dopad potenciálních porušení zabezpečení

Díky omezení přístupu ke konkrétním aplikacím a izolaci sítě minimalizuje ZTNA rozsah potenciálních škod v případě porušení zabezpečení. Pokud útočník získá přístup, obvykle se dostane jen do konkrétního segmentu, který infiltroval. To snižuje riziko významné ztráty dat nebo narušení provozu.

Snadné prokázání dodržování předpisů

Omezením přístupu pouze na autorizované uživatele a nepřetržitým monitorováním aktivit pomáhá ZTNA organizacím splňovat zákonné standardy pro zabezpečení a ochranu dat, jako jsou GDPR, HIPAA a PCI-DSS. Podrobné řízení přístupu poskytuje jasný záznam pro audit za účelem prokázání dodržování předpisů.

Nižší riziko insiderských hrozeb

S modelem přístupu s nejnižšími možnými oprávněními omezuje ZTNA uživatelům přístup pouze k prostředkům nezbytným pro jejich role. Tím se omezuje potenciální škoda, kterou by mohl způsobit napadený účet nebo insider se zlými úmysly.

Snížená závislost na sítích VPN

U ZTNA je menší závislost na tradičních sítích VPN, které se složitě spravují, zejména ve velkém měřítku. To také zlepšuje uživatelské prostředí a snižuje výkonnostní omezení, která jsou běžně spojená se sítěmi VPN.

Lepší uživatelské prostředí

ZTNA poskytuje rychlejší a přímější přístup k aplikacím než tradiční přístup založený na sítích VPN, což snižuje latenci a zlepšuje produktivitu pro vzdálené a mobilní uživatele. Díky průběžnému ověřování a adaptivnímu zabezpečení můžou uživatelé využívat rovnováhu mezi zabezpečením a pohodlím, protože se musí znovu ověřit jen v případě, že se změní úrovně rizika.

Vývoj modelu ZTNA


Síťový přístup na bázi nulové důvěry se neustále vyvíjí a reaguje na rostoucí složitost moderních kybernetických hrozeb a prostředí práce na dálku. Model ZTNA na začátku zavedl základní principy nulové důvěry (Zero Trust) tím, že poskytoval přístup na základě identity uživatele a stavu zařízení místo tradiční ochrany perimetru sítě. S vývojem kybernetických hrozeb však vyvstala potřeba komplexnějšího a adaptivnějšího přístupu. To vedlo k pokrokům v řešení ZTNA, mezi které patří:

Podrobné řízení přístupu k aplikacím. ZTNA teď poskytuje podrobnější řízení přístupu na úrovni aplikace, které přesahuje rámec jednoduchého přístupu založeného na síti nebo IP adrese. Zajišťuje, že uživatelé mají přístup pouze ke konkrétním aplikacím a prostředkům, které potřebují, a v rámci těchto aplikací je omezuje na konkrétní data a operace, které jsou oprávněni provádět.

Nepřetržité posuzování důvěryhodnosti. Tradiční model ZTNA se obecně spoléhal na jednorázové posouzení důvěryhodnosti na začátku relace. ZTNA teď využívá model nepřetržité důvěryhodnosti, který dynamicky vyhodnocuje chování uživatelů a zařízení během relace. Průběžné monitorování pomáhá detekovat anomálie nebo rizikové chování a reagovat na ně v reálném čase.

Integrovaná prevence hrozeb. ZTNA nyní integruje funkce prevence hrozeb, jako je detekce malwaru, prevence neoprávněných vniknutí a další kontrolní mechanismy zabezpečení, přímo do přístupového modelu. Tato proaktivní vrstva zabezpečení pomáhá útočníkům zabránit v laterálním pohybu v síti, i když získají počáteční přístup.

Vylepšené povědomí o kontextu uživatele a zařízení. ZTNA teď jde nad rámec pouhého ověření identity uživatele a stavu zařízení a zahrnuje více kontextových faktorů, jako jsou vzorce chování uživatelů, historie zařízení a faktory prostředí, jako je geografická poloha a čas přístupu. To pomáhá vytvořit přesnější profil rizika pro každou žádost o přístup.

ZTNA se službou zabezpečeného přístupu na koncová zařízení


Služba zabezpečeného přístupu na koncová zařízení (SASE) – získejte informace o službě SASE, jejích součástech a přínosech pro zabezpečení podniku.Služba zabezpečeného přístupu na koncová zařízení (SASE) je architektura kybernetické bezpečnosti, která kombinuje síťové služby a služby zabezpečení ve sjednoceném modelu nativním pro cloud. Jejím cílem je poskytovat zabezpečený přístup uživatelům bez ohledu na jejich umístění integrací funkcí zabezpečení, jako jsou zabezpečené webové brány, zprostředkovatelé zabezpečení přístupu ke cloudu, brána firewall jako služba (FWaaS) a síťový přístup na bázi nulové důvěry (Zero Trust Network Access), s možnostmi rozsáhlých sítí. SASE nabízí škálovatelný a flexibilní způsob zabezpečení distribuovaných pracovníků. To je užitečné zejména v moderních prostředích, kde je standardem práce na dálku a multicloudové prostředí.

ZTNA je klíčovou součástí modelu SASE, která se zaměřuje konkrétně na řízení přístupu na základě architektury nulové důvěry (Zero Trust). Zatímco ZTNA vynucuje přísné řízení přístupu na úrovni aplikací a prostředků, SASE tento rozsah rozšiřuje tím, že poskytuje komplexní model zabezpečení a sítě. ZTNA je v podstatě kritickým prvkem SASE, který se zaměřuje na jemně odstupňovanou správu přístupu, zatímco SASE zahrnuje ZTNA do větší sady nástrojů zabezpečení, které poskytují jednotnou komplexní ochranu v celé síti.

Řešení ZTNA od Microsoftu


Řešení síťového přístupu na bázi nulové důvěry (Zero Trust Network Access) od Microsoftu jsou navržená tak, aby poskytovala zabezpečený přístup k aplikacím a prostředkům bez ohledu na to, kde se uživatelé nacházejí.


Základní součástí tohoto přístupu je řešení Microsoft Entra Soukromý přístup – získejte informace o zabezpečené správě identit a přístupu pro firmyMicrosoft Entra Soukromý přístup, které nahrazuje tradiční sítě VPN. To pomáhá zabezpečit přístup ke všem privátním aplikacím a prostředkům pro uživatele pracující odkudkoli díky řešení ZTNA zaměřenému na identity. Microsoft Entra Soukromý přístup umožňuje nahradit starší sítě VPN modelem ZTNA. Bez jakýchkoli změn aplikací můžete zásady podmíněného přístupu rozšířit do vaší sítě pomocí řízení přístupu zaměřeného na identity a povolit jednotné přihlašování (SSO) a vícefaktorové ověřování (MFA) napříč všemi privátními aplikacemi a prostředky. Prostřednictvím globální privátní sítě Microsoftu získají uživatelé rychlé a bezproblémové prostředí pro přístup, které vyvažuje zabezpečení a produktivitu.
ZDROJE INFORMACÍ 

Další informace o zabezpečení od Microsoftu

Chraňte svou organizaci pomocí řešení Zero Trust Network Access (ZTNA) zaměřených na identitu.
Muž s vousy a brýlemi, který sedí v místnosti.
Produkt

Prozkoumejte řešení ZTNA zaměřené na identity

Odstraňujte rizika a zároveň zvyšujte produktivitu uživatelů. 
Další informace
Dva lidé, kteří sedí u stolu s notebooky.
Nulová důvěra (Zero Trust)

Zaveďte proaktivní zabezpečení s modelem nulové důvěry (Zero Trust)

Seznamte se s modelem zabezpečení, který se efektivněji přizpůsobuje složitosti moderního prostředí
Další informace
Ruka na klávesnici notebooku
Řešení

Ochrana digitálních interakcí

Poskytněte zabezpečený přístup pro libovolnou identitu k AI, aplikacím a prostředkům v místním prostředí a cloudech.
Další informace
Zpět na oddíl ZDROJE INFORMACÍ

Nejčastější dotazy

  • Přístup s nulovou důvěrou (ZTA) v oblasti zabezpečení sítí je model, který vyžaduje striktní ověření identity a nepřetržité monitorování každého uživatele a zařízení, kteří se pokoušejí získat přístup k prostředkům, bez ohledu na jejich umístění v síti nebo mimo síť. Funguje na principu nikdy nedůvěřovat, vždy ověřovat, udělovat přístup pouze na základě prokázané identity a potřeby, čímž minimalizuje potenciální oblast útoku.
  • ZTNA (Zero Trust Network Access) neboli síťový přístup na bázi nulové důvěry se liší od tradiční sítě VPN tím, že poskytuje přístup pouze ke konkrétním aplikacím na základě identity uživatele a stavu zařízení, nikoli široký přístup k síti. Na rozdíl od sítí VPN, které vytvářejí zabezpečený tunel do celé sítě, ZTNA vynucuje přísné řízení přístupu na úrovni aplikace a snižuje riziko laterálního pohybu útočníků.
  • Organizace můžou implementovat ZTNA (Zero Trust Network Access) neboli síťový přístup na bázi nulové důvěry nepřetržitým ověřováním identity uživatelů a zabezpečení zařízení pomocí nástrojů, jako je vícefaktorové ověřování (MFA) a kontroly zabezpečení koncových bodů. Měly by také vynucovat zásady přístupu s nejnižšími možnými oprávněními a monitorovat aktivity uživatelů v reálném čase, aby detekovaly jakékoli podezřelé chování a reagovaly na ně.
  • Model ZTNA je postaven na principech nulové důvěry (Zero Trust), předpokládá narušení zabezpečení, zahrnuje explicitní ověřování a přístup s nejmenšími možnými oprávněními, což pomáhá urychlit vaši cestu k architektuře nulové důvěry (Zero Trust). Tyto prvky společně řídí přístup na úrovni aplikace a minimalizují rizika používáním striktně adaptivních zásad přístupu založených na identitě a chování.
  • Mezi klíčové výhody ZTNA (Zero Trust Network Access) neboli síťového přístupu na bázi nulové důvěry patří vylepšené zabezpečení prostřednictvím přísného řízení přístupu a nepřetržitého ověřování, což snižuje riziko neoprávněného přístupu a porušení zabezpečení dat. Model ZTNA navíc poskytuje vylepšenou škálovatelnost a flexibilitu pro pracovní prostředí práce na dálku a hybridní práci a zajišťuje zabezpečený přístup k aplikacím odkudkoli, aniž by se spoléhal na tradiční perimetry sítí.

Sledujte zabezpečení od Microsoftu