Co to jest model Zero Trust Network Access (ZTNA)?

Model Zero Trust Network Access (ZTNA) jest ważny, ponieważ odpowiada na rosnącą potrzebę zapewnienia adaptowalnego, odpornego cyberbezpieczeństwa w coraz bardziej rozproszonym, cyfrowym miejscu pracy.

Oto dlaczego stał się on platformą krytyczną:

Ochrona przed ciągle rozwijającymi się zagrożeniami. Tradycyjne modele zabezpieczeń, które udzielają szerokiego dostępu do sieci użytkownikom wewnętrznym, są niewystarczające w stosunku do współczesnych zaawansowanych cyberzagrożenia, zwłaszcza zagrożeń wewnętrznych lub zagrożeń wynikających z naruszonych poświadczeń. Model ZTNA zakłada, że żadna jednostka nie jest z natury zaufana, ograniczając potencjalne wektory ataków.

Obsługa pracy zdalnej i zasobów opartych na chmurze. Wraz ze wzrostem liczby prac zdalnych i wdrażania chmury firmy przechodzą z tradycyjnych sieci lokalnych na infrastrukturę hybrydową lub w pełni opartą na chmurze. Model ZTNA zapewnia bezpieczny dostęp do zasobów z dowolnej lokalizacji, wymuszając zasady zabezpieczeń spójnie w środowiskach lokalnych i w chmurze.

Ograniczanie ruchu bocznego podczas cyberataków. W scenariuszu naruszenia zabezpieczeń segmentowany dostęp modelu ZTNA uniemożliwia osobom atakującym ruch boczny, ograniczając zakres potencjalnych uszkodzeń. Ponieważ dostęp jest udzielany tylko w zależności od potrzeb, osoby atakujące mają znacznie utrudnioną możliwość przechodzenie między systemami i uzyskiwanie dostępu do krytycznych zasobów.

Model ZTNA zapewnia wiele korzyści dla firm, w tym:

Udoskonalone zabezpieczenia. Model ciągłej tożsamości i weryfikacji urządzenia ZTNA zmniejsza ryzyko nieautoryzowanego dostępu i ogranicza zagrożenia związane z poświadczeniami, których bezpieczeństwo zostało naruszone. Weryfikując każdą próbę dostępu na podstawie takich czynników, jak tożsamość, lokalizacja i kondycja urządzenia, model ZTNA wzmacnia ogólny stan zabezpieczeń i minimalizuje nieautoryzowany dostęp.

Ulepszona kontrola dostępu i wymuszanie zasad. Model ZTNA umożliwia organizacjom wymuszanie szczegółowych zasad dostępu opartych na rolach. Użytkownikom udziela się dostępu tylko do potrzebnych im aplikacji lub zasobów, co zmniejsza prawdopodobieństwo przypadkowego lub zamierzonego dostępu do poufnych danych. Upraszcza również zgodność z przepisami dotyczącymi ochrony danych i prywatności, zapewniając, że dostęp jest ograniczony i rejestrowany.

Zmniejszona powierzchnia ataku. Ponieważ model ZTNA nie uwidacznia całej sieci żadnemu pojedynczemu użytkownikowi lub urządzeniu, znacznie zmniejsza obszar ataków. Tylko autoryzowani użytkownicy i urządzenia mogą uzyskiwać dostęp do określonych zasobów i mogą uzyskiwać do nich dostęp tylko za pomocą bezpiecznych, zaszyfrowanych połączeń, zmniejszając ryzyko naruszenia zabezpieczeń danych lub nieautoryzowanego ujawnienia.

Tradycyjne modele zabezpieczeń opierają się głównie na koncepcji "zaufanej" sieci wewnętrznej i "niezaufanej" sieci zewnętrznej zabezpieczonej przez zapory i sieci VPN. Kluczowe różnice między modelem Zero Trust Network Access (ZTNA) i tymi tradycyjnymi modelami obejmują:

Oparte na obwodzie a oparte na tożsamości. Tradycyjne zabezpieczenia polegają na zabezpieczaniu obwodu sieci przy założeniu, że użytkownicy w sieci są zaufani. Model ZTNA traktuje każdą próbę dostępu jako potencjalnie ryzykowną, niezależnie od lokalizacji, wymagając za każdym razem weryfikacji tożsamości.

Zaufanie niejawne a zaufanie jawne. W tradycyjnych modelach, po uwierzytelnieniu, użytkownicy stają się zaufani i często poruszają się w sieci ruchem bocznym z niewielkimi ograniczeniami. Natomiast model ZTNA implementuje mikrosegmentację i dostęp z najniższymi uprawnieniami, aby ograniczyć ruch boczny i zmniejszyć ryzyko związane z poświadczeniami z naruszonymi zabezpieczeniami.

Statyczna a dynamiczna kontrola dostępu. Starsze modele zabezpieczeń zwykle mają reguły statyczne, które są mniej elastyczne i często nieaktualne w dzisiejszych środowiskach. Model ZTNA używa zasad dynamicznych, które dostosowują się na podstawie czynników ryzyka, zachowania użytkowników i innych wskazówek kontekstowych.

Sieć VPN a bezpośredni, bezpieczny dostęp. Tradycyjne modele łączności sieciowej często używają sieci VPN na potrzeby dostępu zdalnego, co może powodować opóźnienia i stanowić wyzwanie w zakresie skalowania. Rozwiązania ZTNA zapewniają bezpieczny dostęp bezpośrednio do aplikacji bez routingu całego ruchu za pomocą sieci VPN, co zwiększa wydajność i skalowalność.

Model Zero Trust Network Access (ZTNA) jest częścią platformy Usługa bezpiecznych urządzeń brzegowych i służy do zabezpieczania dostępu do zasobów prywatnych opartych na zasadach modelu Zero Trust. W środowisku modelu ZTNA użytkownicy, urządzenia i aplikacje muszą stale udowodnić swoją autentyczność przed uzyskaniem dostępu do zasobów, niezależnie od ich lokalizacji w sieci lub poza nią. Kluczowa mechanika operacyjna obejmuje:

Zarządzanie tożsamościami i dostępem. Model ZTNA rozpoczyna się od ścisłej weryfikacji tożsamości. Każdy użytkownik lub urządzenie musi uwierzytelnić swoją tożsamość, często za pomocą uwierzytelniania wieloskładnikowego (MFA), zanim uzyska dostęp do dowolnej aplikacji lub zasobu. Dzięki temu tylko wiarygodni użytkownicy są identyfikowani i mają dostęp.

Mikrosegmentacja. Zamiast polegać na jednym obwodzie sieci, model ZTNA dzieli sieć na mniejsze, izolowane segmenty. Każdy segment zawiera określone zasoby lub aplikacje, co utrudnia osobom atakującym przechodzenie w bok w sieci w przypadku naruszenia jednego segmentu.

Dostęp z najniższymi uprawnieniami. Każdemu użytkownikowi i urządzeniu udzielany jest dostęp tylko do określonych aplikacji lub danych niezbędnych dla ich ról, co ogranicza potencjalną ekspozycję. To podejście z najniższymi uprawnieniami minimalizuje ryzyko naruszenia zabezpieczeń danych lub nieautoryzowanego dostępu przez ograniczenie dostępu do dowolnego konta z naruszonymi zabezpieczeniami.

Dostęp na poziomie aplikacji. Zamiast udzielać szerokiego dostępu na poziomie sieci, model ZTNA obsługuje połączenia specyficzne dla aplikacji. Oznacza to, że nawet jeśli urządzeniu udzielono dostępu, komunikuje się ono tylko z określoną aplikacją lub zasobem, do których ma uprawnienia dostępu. Dodatkowo zmniejsza obszar ataków, ponieważ użytkownicy i urządzenia nie mają widoczności ani dostępu do całej sieci.

Ciągłą ocenę dostępu. Ciągła ocena zachowania użytkownika i urządzenia jest centralnym składnikiem modelu ZTNA. Obejmuje to monitorowanie wszelkich nietypowych wzorców aktywności, stanu urządzenia (na przykład tego, czy aktualizacje zabezpieczeń są instalowane) oraz zmian w lokalizacji. W przypadku wykrycia anomalii dostęp może zostać odwołany lub wymagane jest dodatkowe uwierzytelnianie.

Model Zero Trust Network wciąż ewoluuje, aby sprostać rosnącym złożonościom nowoczesnych cyberzagrożeń i zdalnych środowisk pracy. Początkowo model ZTNA wprowadził podstawowe zasady Zero Trust, zapewniając dostęp na podstawie tożsamości użytkownika i stanu urządzenia, a nie tradycyjnych zabezpieczeń obwodowych sieci. Jednak wraz z rozwojem cyberzagrożeń wzrosła potrzeba bardziej kompleksowego i adaptacyjnego podejścia prowadzącego do ulepszeń modelu ZTNA, w tym:

Szczegółowa kontrola dostępu do aplikacji. Model ZTNA zapewnia teraz bardziej szczegółową kontrolę dostępu na poziomie aplikacji, wykraczającą poza prosty dostęp sieciowy lub oparty na adresach IP. Gwarantuje to, że użytkownicy mają dostęp tylko do określonych aplikacji i zasobów, których potrzebują, i w ramach tych aplikacji ograniczają ich do określonych danych i operacji, do których mają uprawnienia.

Ciągła ocena zaufania. Tradycyjny model ZTNA zazwyczaj korzystała z jednorazowej oceny zaufania na początku sesji. Model ZTNA przyjmuje teraz model ciągłego zaufania, który dynamicznie ocenia zachowanie użytkowników i urządzeń w trakcie sesji. Ciągłe monitorowanie pomaga wykrywać anomalie lub ryzykowne zachowania oraz reagować na nie w czasie rzeczywistym.

Zintegrowane zapobieganie zagrożeniom. Model ZTNA integruje teraz funkcje zapobiegania zagrożeniom, takie jak wykrywanie złośliwego oprogramowania, zapobieganie włamaniom i inne kontrole zabezpieczeń, bezpośrednio w modelu dostępu. Ta proaktywna warstwa zabezpieczeń pomaga zapobiegać ruchowi bocznemu w sieci osób atakujących w późniejszym czasie, nawet jeśli uzyskają początkowy dostęp.

Zwiększona świadomość kontekstu użytkownika i urządzenia. Model ZTNA wykracza teraz poza weryfikację tożsamości użytkownika i stanu urządzenia, uwzględniając więcej czynników kontekstowych, takich jak wzorce zachowań użytkowników, historia urządzeń i czynniki środowiskowe, takie jak geolokalizacja i czas dostępu. Pomaga to utworzyć bardziej precyzyjny profil ryzyka dla każdego żądania dostępu.

Usługa bezpiecznego dostępu na urządzeniach brzegowych (SASE) to platforma cyberbezpieczeństwa, która łączy usługi sieciowe i zabezpieczeń w ujednoliconym, natywnym dla chmury modelu. Ma ona na celu zapewnienie użytkownikom bezpiecznego dostępu niezależnie od ich lokalizacji przez zintegrowanie funkcji zabezpieczeń — takich jak bezpieczne bramy sieci Web, brokery zabezpieczeń dostępu do chmury, zapora jako usługa i model Zero Trust Network Access — z możliwościami sieci rozległej. SASE oferuje skalowalny i elastyczny sposób zabezpieczania pracowników rozproszonych, szczególnie przydatny w nowoczesnych środowiskach, w których praca zdalna i środowiska wielochmurowe są już standardem.

Model ZTNA jest kluczowym składnikiem modelu SASE, który koncentruje się głównie na kontroli dostępu w oparciu o architekturę Zero Trust. Chociaż model ZTNA wymusza ścisłe kontrole dostępu na poziomie aplikacji i zasobów, SASE rozszerza ten zakres, zapewniając kompleksowy model zabezpieczeń i sieci. W zasadzie model ZTNA jest kluczowym elementem SASE, koncentrując się na szczegółowym zarządzaniu dostępem, podczas gdy SASE zawiera model ZTNA w większym zestawie narzędzi zabezpieczeń na potrzeby zapewnienia ujednoliconej, kompleksowej ochrony w całej sieci.

Rozwiązania Microsoft Zero Trust Network Access (ZTNA) zostały zaprojektowane na potrzeby zapewnienia bezpiecznego dostępu do aplikacji i zasobów, niezależnie od tego, gdzie znajdują się użytkownicy.


Podstawowym składnikiem tego podejścia jest rozwiązanie Dostęp Prywatny Microsoft Entra, która zastępuje tradycyjne sieci VPN. Pomaga zabezpieczyć dostęp do wszystkich prywatnych aplikacji i zasobów dla użytkowników w dowolnym miejscu za pomocą rozwiązania ZTNA skoncentrowanemu na tożsamości. Rozwiązanie Dostęp Prywatny Microsoft Entra umożliwia zamianę starszej sieci VPN na model ZTNA. Bez wprowadzania jakichkolwiek zmian w aplikacjach można rozszerzyć zasady dostępu warunkowego do sieci przy użyciu kontroli dostępu skoncentrowanej na tożsamości oraz włączyć logowanie jednokrotne (SSO) i uwierzytelnianie wieloskładnikowe (MFA) we wszystkich prywatnych aplikacjach i zasobach. Dzięki globalnej sieci prywatnej firmy Microsoft pracownicy uzyskują szybkie, bezproblemowe środowisko dostępu, które równoważy bezpieczeństwo z produktywnością.