Hva er nettverkstilgang med nulltillit (ZTNA)?

Nettverkstilgang med nulltillit (ZTNA) er viktig fordi det er i tråd med det økende behovet for tilpasningsdyktig, motstandsdyktig cybersikkerhet på en stadig mer distribuert, digital arbeidsplass.

Her er grunnen til at det har blitt et kritisk rammeverk:

Beskyttelse mot trusler i stadig utvikling. Tradisjonelle sikkerhetsmodeller, som gir bred nettverkstilgang til interne brukere, er utilstrekkelige mot dagens sofistikerte cybertrusler, spesielt interne trusler eller trusler som følge av kompromittert legitimasjon. ZTNA antar at ingen enhet er klarert i seg selv, noe som begrenser potensielle angrepsvektorer.

Støtte for fjernarbeid og skybaserte ressurser. Med økningen av fjernarbeid og skyinnføring flytter bedrifter bort fra tradisjonelle lokale nettverk til hybride eller fullstendig skybaserte infrastrukturer. ZTNA gir sikker tilgang til ressurser fra hvor som helst, og håndhever sikkerhetspolicyer konsekvent på tvers av lokale miljøer og skymiljøer.

Reduksjon av sideveis bevegelse i cyberangrep. I et scenario med sikkerhetsbrudd forhindrer ZTNA sin segmenterte tilgang sideveis bevegelse av angripere, noe som begrenser omfanget av potensiell skade. Siden tilgang bare gis på behov-for-å-vite-basis, synes angripere det er mye vanskeligere å flytte mellom systemer og få tilgang til kritiske ressurser.

ZTNA gir mange fordeler for bedrifter, inkludert:

Utvidet sikkerhet. ZTNA sin modell for kontinuerlig identitets- og enhetskontroll reduserer risikoen for uautorisert tilgang og reduserer trusler fra kompromittert legitimasjon. Ved å bekrefte hvert tilgangsforsøk basert på faktorer som identitet, plassering og enhetstilstand, styrker ZTNA den generelle sikkerhetsstatusen og minimerer uautorisert tilgang.

Forbedret tilgangskontroll og policyhåndhevelse. ZTNA gjør det mulig for organisasjoner å håndheve detaljerte, rollebaserte tilgangspolicyer. Brukere får bare tilgang til programmene eller ressursene de trenger, noe som reduserer sjansen for utilsiktet eller tilsiktet tilgang til sensitive data. Det forenkler også forskriftssamsvar med databeskyttelse og personvernregler ved å sikre at tilgangen er begrenset og logget.

Redusert angrepsoverflate. Siden ZTNA ikke eksponerer hele nettverket for én enkelt bruker eller enhet, reduserer det angrepsoverflaten betraktelig. Bare autoriserte brukere og enheter kan få tilgang til bestemte ressurser, og de kan bare få tilgang til dem via sikre, krypterte tilkoblinger, noe som reduserer risikoen for databrudd eller uautorisert eksponering.

Tradisjonelle sikkerhetsmodeller er hovedsakelig avhengige av konseptet med et "klarert" internt nettverk og et "uklarert" eksternt nettverk, sikret av brannmurer og VPN-er. Viktige forskjeller mellom Zero Trust Network Access (ZTNA) og disse tradisjonelle modellene inkluderer:

Perimeterbasert kontra identitetsbasert. Tradisjonell sikkerhet er avhengig av å sikre nettverksperimeteren, forutsatt at brukere i nettverket er klarert. ZTNA behandler hvert tilgangsforsøk som potensielt risikabelt, uavhengig av plassering, og krever identitetskontroll hver gang.

Implisitt kontra eksplisitt klarering. I tradisjonelle modeller, når de er godkjent, er brukerne klarerte og beveger seg ofte sidelengs innenfor nettverket med liten begrensning. ZTNA implementerer imidlertid mikrosegmentering og tilgang med minst privilegier for å begrense sideveis bevegelse og redusere risikoen forbundet med kompromittert legitimasjon.

Statisk kontra dynamisk tilgangskontroll. Eldre sikkerhetsmodeller har vanligvis statiske regler, som er mindre fleksible og ofte utdaterte i dagens miljøer. ZTNA bruker dynamiske policyer som tilpasses basert på risikofaktorer, brukeratferd og andre kontekstavhengige indikatorer.

VPN kontra direkte, sikker tilgang. Tradisjonelle nettverkstilkoblingsmodeller bruker ofte VPN-er for ekstern tilgang, noe som kan føre til ventetid og er utfordrende å skalere. ZTNA-løsninger gir sikker tilgang direkte til programmer uten å rute all trafikk gjennom et VPN, noe som forbedrer ytelsen og skalerbarheten.

Nettverkstilgang med nulltillit (ZTNA) er en del av Security Service Edge-rammeverket og brukes til å sikre tilgang til private ressurser bygget på nulltillit-prinsipper. I et ZTNA-miljø må brukere, enheter og programmer kontinuerlig bevise sin legitimitet før de får tilgang til ressurser, uavhengig av hvor de befinner seg i eller utenfor nettverket. Viktig driftsmekanikk inkluderer:

Identitets- og tilgangsstyring. ZTNA starter med streng identitetskontroll. Hver bruker eller enhet må få identiteten sin godkjenne, ofte gjennom godkjenning med flere faktorer (MFA), før de får tilgang til programmer eller ressurser. Dette sikrer at bare legitime brukere identifiseres og gis tilgang.

Mikrosegmentering. I stedet for å være avhengig av en enkelt nettverksperimeter, deler ZTNA nettverket inn i mindre, isolerte segmenter. Hvert segment inneholder bestemte ressurser eller programmer, noe som gjør det vanskelig for angripere å bevege seg sidelengs i nettverket hvis de kompromitterer ett segment.

Tilgang med minst rettigheter. Hver bruker og enhet gis bare tilgang til de spesifikke programmene eller dataene som er nødvendige for rollene deres, noe som begrenser potensiell eksponering. Denne tilnærmingen med minst privilegier reduserer risikoen for databrudd eller uautorisert tilgang ved å begrense hva en kompromittert konto har tilgang til.

Tilgang på programnivå. I stedet for å gi bred tilgang på nettverksnivå, støtter ZTNA programspesifikke tilkoblinger. Dette betyr at selv om en enhet får tilgang, kommuniserer den bare med det bestemte programmet eller ressursen den har tilgang til. Det reduserer angrepsoverflaten ytterligere, ettersom brukere og enheter ikke har synlighet eller tilgang til hele nettverket.

Kontinuerlig tilgangsevaluering. Kontinuerlig evaluering av bruker- og enhetsatferd er en sentral komponent i ZTNA. Dette inkluderer overvåking av uvanlige aktivitetsmønstre, enhetsstatus (for eksempel om sikkerhetsoppdateringer er installert) og endringer i plassering. Når avvik oppdages, kan tilgang tilbakekalles eller ytterligere godkjenning kreves.

Nettverk med nulltillit fortsetter å utvikle seg for å håndtere de voksende kompleksitetene til moderne cybertrusler og eksterne arbeidsmiljøer. I utgangspunktet introduserte ZTNA kjerneprinsippene i nulltillit ved å gi tilgang basert på brukeridentitet og enhetsstatus i stedet for tradisjonelt forsvar i nettverksperimeteret. Men etter hvert som cybertrusler har utviklet seg, er det også behov for en mer omfattende og adaptiv tilnærming som fører til utviklingen av fremskritt i ZTNA, inkludert:

Detaljert tilgangskontroll for programmer. ZTNA gir nå mer detaljert tilgangskontroll på programnivå, og går utover enkel nettverks- eller IP-basert tilgang. Den sikrer at brukere bare har tilgang til de spesifikke programmene og ressursene de trenger, og begrenser dem i disse programmene til de spesifikke dataene og operasjonene de har tillatelse til å utføre.

Kontinuerlig klareringsvurdering. Tradisjonell ZTNA var generelt avhengig av en engangs-klareringsvurdering ved starten av en økt. ZTNA tar nå i bruk en kontinuerlig klareringsmodell som evaluerer bruker- og enhetsatferd dynamisk gjennom hele økten. Kontinuerlig overvåking bidrar til å oppdage og reagere på avvik eller risikabel atferd i sanntid.

Integrert trusselforhindring. ZTNA integrerer nå funksjoner for trusselhindring, for eksempel gjenkjenning av skadelig programvare, inntrengingshindring og andre sikkerhetskontroller, direkte i tilgangsmodellen. Dette proaktive sikkerhetslaget bidrar til å hindre angripere i å flytte seg sidelengs innenfor et nettverk, selv om de får første tilgang.

Forbedret kontekstfølsomhet for brukere og enheter. ZTNA går nå utover bare å bekrefte brukeridentitet og enhetsstatus, noe som inkluderer mer kontekstuelle faktorer som brukeratferdsmønstre, enhetslogg og miljøfaktorer som geolokasjon og tidspunkt for tilgang. Dette bidrar til å opprette en mer presis risikoprofil for hver tilgangsforespørsel.

Secure Access Service Edge (SASE) er et rammeverk for cybersikkerhet som kombinerer nettverk og sikkerhetstjenester i en enhetlig, skybasert modell. Den har som mål å gi sikker tilgang til brukere uavhengig av hvor de befinner seg, ved å integrere sikkerhetsfunksjoner – som sikre nettgatewayer, sikkerhetsmeglere for skytilgang, brannmur som en tjeneste og nettverkstilgang med nulltillit – med omfattende nettverksfunksjoner. SASE tilbyr en skalerbar, fleksibel måte å sikre en distribuert arbeidsstyrke på, spesielt nyttig i moderne miljøer der eksternt arbeid og miljøer med flere skyer er standard.

ZTNA er en viktig komponent i SASE-modellen, som fokuserer spesielt på tilgangskontroll basert på nulltillit-arkitektur. Selv om ZTNA håndhever strenge tilgangskontroller på program- og ressursnivå, utvider SASE dette omfanget ved å tilby en omfattende sikkerhets- og nettverksmodell. ZTNA er i hovedsak et kritisk element i SASE, med fokus på finkornet tilgangsadministrasjon, mens SASE inkorporerer ZTNA i et større sett med sikkerhetsverktøy for å gi enhetlig, ende-til-ende-beskyttelse på tvers av hele nettverket.

Microsoft-løsninger for nettverkstilgang med nulltillit (ZTNA) er utformet for å gi sikker tilgang til programmer og ressurser, uavhengig av hvor brukerne befinner seg.


Kjernekomponenten i denne tilnærmingen er Microsoft Entra-privattilgang, som erstatter tradisjonelle VPN-er. Den sikkrer tilgang til alle private apper og ressurser, for brukere hvor som helst, med en identitetssentrert ZTNA-løsning. Med Microsoft Entra-privattilgang kan du erstatte eldre VPN med ZTNA. Uten å gjøre endringer i appene dine, kan du utvide policyer for betinget tilgang til nettverket ved hjelp av identitetssentrerte tilgangskontroller og aktivere enkel pålogging (SSO) og godkjenning med flere faktorer (MFA) på tvers av alle private apper og ressurser. Gjennom Microsofts globale private nettverk får ansatte en rask, sømløs tilgangsopplevelse som balanserer sikkerhet med produktivitet.