Vad är Zero Trust Network Access (ZTNA)?

Zero Trust Network Access (ZTNA) är viktigt eftersom det överensstämmer med det växande behovet av anpassningsbar och flexibel cybersäkerhet på en allt mer distribuerad, digital arbetsplats.

Det här är anledningen till att det blivit ett viktigt ramverk:

Skydd mot hot som ständigt utvecklas. Traditionella säkerhetsmodeller, som ger bred nätverksåtkomst till interna användare, är otillräckliga mot dagens sofistikerade cyberhot, särskilt Insider-hot – Lär dig hur du identifierar och minskar risker inom din organisation.insiderhot eller hot som uppstår till följd av komprometterade autentiseringsuppgifter. ZTNA förutsätter att ingen entitet är betrodd, vilket begränsar potentiella attackvektorer.

Stöd för distansarbete och molnbaserade resurser. I takt med att distansarbete och molnimplementering ökar övergår företagen från traditionella lokala nätverk till hybridbaserade eller helt molnbaserade infrastrukturer. ZTNA ger säker åtkomst till resurser från valfri plats och tillämpar säkerhetsprinciper konsekvent i lokala miljöer och molnmiljöer.

Minskning av lateral förflyttning vid cyberattacker. I ett scenario med säkerhetsöverträdelser förhindrar ZTNA:s segmenterade åtkomst lateral förflyttning av angripare, vilket begränsar omfattningen av potentiella skador. Eftersom åtkomst endast beviljas på kunskapsbehov, får angripare det mycket svårare att flytta mellan system och få åtkomst till viktiga tillgångar.

ZTNA ger många fördelar för företag, bland annat:

Förbättrad säkerhet. ZTNA:s modell för kontinuerlig identitets- och enhetsverifiering minskar risken för obehörig åtkomst och minimerar hot från komprometterade autentiseringsuppgifter. Genom att verifiera varje åtkomstförsök baserat på faktorer som identitet, plats och enhetshälsa stärker ZTNA den övergripande säkerhetsstatusen och minimerar obehörig åtkomst.

Förbättrad åtkomstkontroll och principframtvingande. Med ZTNA kan organisationer tillämpa detaljerade, rollbaserade åtkomstprinciper. Användare beviljas endast åtkomst till de program eller resurser de behöver, vilket minskar risken för oavsiktlig eller avsiktlig åtkomst till känsliga data. Det förenklar också efterlevnaden av dataskydd och sekretessregler genom att se till att åtkomsten är begränsad och loggad.

Minskad attackyta. Eftersom ZTNA inte exponerar hela nätverket för en enskild användare eller enhet minskas attackytan avsevärt. Endast behöriga användare och enheter kan komma åt specifika resurser och de kan bara komma åt dem via säkra, krypterade anslutningar, vilket minskar risken för ett dataintrång eller obehörig exponering.

Traditionella säkerhetsmodeller förlitar sig främst på begreppet "betrodda" interna nätverk och ett "ej betrott" externt nätverk som skyddas av brandväggar och VPN. Viktiga skillnader mellan Zero Trust Network Access (ZTNA) och dessa traditionella modeller är:

Perimeterbaserad kontra identitetsbaserad. Traditionell säkerhet förlitar sig på att skydda nätverksperimetern, förutsatt att användare i nätverket är betrodda. ZTNA behandlar varje åtkomstförsök som potentiellt riskfyllt, oavsett plats, och kräver identitetsverifiering varje gång.

Implicit kontra explicit förtroende. I traditionella modeller, när de har autentiserats, är användarna betrodda och rör sig ofta i sidled inom nätverket med liten begränsning. ZTNA implementerar mikrosegmentering och åtkomst med lägsta behörighet för att begränsa lateral förflyttning och minska riskerna med komprometterade autentiseringsuppgifter.

Statisk kontra dynamisk åtkomstkontroll. Äldre säkerhetsmodeller har vanligtvis statiska regler som är mindre flexibla och ofta inaktuella i dagens miljöer. ZTNA använder dynamiska principer som anpassas baserat på riskfaktorer, användarbeteende och andra sammanhangsberoende tips.

VPN kontra direkt och säker åtkomst. Traditionella nätverksanslutningsmodeller använder ofta VPN för fjärråtkomst, vilket kan ge svarstider och är svåra att skala. ZTNA-lösningar ger säker åtkomst direkt till program utan att dirigera all trafik via ett VPN, vilket förbättrar prestanda och skalbarhet.

Zero Trust Network Access (ZTNA) är en del av Security Service Edge-ramverket och används för att skydda åtkomsten till privata resurser som bygger på Nolltillitsprinciper. I en ZTNA-miljö måste användare, enheter och program kontinuerligt bevisa sitt berättigande innan de får åtkomst till resurser, oavsett var de befinner sig i eller utanför nätverket. Viktiga driftmekaniker är:

Identitets- och åtkomsthantering. ZTNA börjar med strikt identitetsverifiering. Varje användare eller enhet måste autentisera sin identitet, ofta via multifaktorautentisering (MFA), innan de får åtkomst till program eller resurser. Detta säkerställer att endast legitima användare identifieras och beviljas åtkomst.

Mikrosegmentation. I stället för att förlita sig på en enda nätverksperimeter delar ZTNA upp nätverket i mindre, isolerade segment. Varje segment innehåller specifika resurser eller program, vilket gör det svårt för angripare att flytta i sidled inom nätverket om de komprometterar ett segment.

Använd åtkomst med minsta möjliga behörighet. Varje användare och enhet beviljas endast åtkomst till de specifika program eller data som krävs för deras roller, vilket begränsar den potentiella exponeringen. Den här metoden med minsta möjliga behörighet minimerar risken för dataintrång eller obehörig åtkomst genom att begränsa vad ett komprometterat konto kan komma åt.

Åtkomst på programnivå. I stället för att bevilja bred åtkomst på nätverksnivå stöder ZTNA programspecifika anslutningar. Det innebär att även om en enhet beviljas åtkomst kommunicerar den bara med det specifika program eller den resurs som den har behörighet att komma åt. Det minskar attackytan ytterligare eftersom användare och enheter inte har insyn eller åtkomst till hela nätverket.

Kontinuerlig tillgänglighetskontroll. Kontinuerlig utvärdering av användar- och enhetsbeteende är en central komponent i ZTNA. Detta omfattar övervakning av ovanliga aktivitetsmönster, enhetsstatus (t.ex. om säkerhetsuppdateringar installeras) och ändringar på plats. När avvikelser identifieras kan åtkomst återkallas eller ytterligare autentisering krävs.

Zero Trust Network fortsätter att utvecklas för att hantera de växande komplexiteterna i moderna cyberhot och fjärrarbetsmiljöer. ZTNA introducerade inledningsvis huvudprinciperna för Nolltillit genom att ge åtkomst baserat på användaridentitet och enhetsstatus i stället för traditionella nätverksperimeterskydd. Men i takt med att cyberhot har utvecklats har behovet av en mer omfattande och anpassningsbar metod också ökat, vilket leder till utvecklingen av framsteg i ZTNA, inklusive:

Detaljerad programåtkomstkontroll. ZTNA innehåller nu mer detaljerad åtkomstkontroll på programnivå och går bortom enkel nätverks- eller IP-baserad åtkomst. Det säkerställer att användarna bara har åtkomst till de specifika program och resurser de behöver, och i dessa program begränsas de till specifika data och åtgärder som de har behörighet att utföra.

Ständig tillitsutvärdering. Traditionell ZTNA förlitade sig vanligtvis på en utvärdering av engångstillit i början av en session. ZTNA inför nu en kontinuerlig tillitsmodell som utvärderar användar- och enhetsbeteende dynamiskt under hela sessionen. Kontinuerlig övervakning hjälper till att identifiera och reagera på avvikelser eller riskfyllt beteende i realtid.

Integrerat hotskydd. ZTNA integrerar nu funktioner för hotskydd, till exempel identifiering av skadlig kod, intrångsskydd och andra säkerhetskontroller, direkt i åtkomstmodellen. Det här proaktiva säkerhetsskiktet hjälper till att förhindra att angripare rör sig i sidled i ett nätverk även om de får initial åtkomst.

Förbättrad medvetenhet om användar- och enhetskontext. ZTNA går nu utöver att bara verifiera användaridentitet och enhetsstatus, med mer sammanhangsberoende faktorer som användarbeteendemönster, enhetshistorik och miljöfaktorer som geoplats och åtkomsttid. Detta bidrar till att skapa en mer exakt riskprofil för varje åtkomstbegäran.

Säker kantaccess till tjänster (SASE) är ett ramverk för cybersäkerhet som kombinerar nätverk och säkerhetstjänster i en enhetlig molnbaserad modell. Syftet är att ge säker åtkomst till användare oavsett var de befinner sig genom att integrera säkerhetsfunktioner – som säkra webbgatewayer, säkerhetskoordinatorer för molnåtkomst, brandvägg som en tjänst och Zero Trust Network Access – med långdistansnätverksfunktioner. SASE erbjuder ett skalbart och flexibelt sätt att skydda en distribuerad arbetsstyrka, särskilt användbart i moderna miljöer där distansarbete och miljöer med flera moln är standard.

ZTNA är en viktig komponent i SASE-modellen som fokuserar specifikt på åtkomstkontroll baserat på Nolltillitsarkitektur. ZTNA tillämpar strikta åtkomstkontroller på program- och resursnivå, men SASE breddar det här omfånget genom att tillhandahålla en omfattande säkerhets- och nätverksmodell. ZTNA är i själva verket en viktig del av SASE, med fokus på detaljerad åtkomsthantering, medan SASE införlivar ZTNA i en större uppsättning säkerhetsverktyg för att ge enhetligt skydd från slutpunkt till slutpunkt i hela nätverket.

Lösningar för Microsoft Zero Trust Network Access (ZTNA) är utformade för att ge säker åtkomst till program och resurser, oavsett var användarna befinner sig.


Huvudkomponenten i den här metoden är Microsoft Entra privatåtkomst, som ersätter traditionella VPN-nätverk. Det hjälper till att skydda åtkomsten till alla privata appar och resurser för användare oavsett var de är med en identitetsbaserad ZTNA-lösning. Med Microsoft Entra privatåtkomst kan du ersätta din äldre VPN med ZTNA. Utan att göra några ändringar i dina appar kan du utöka principer för villkorsstyrd åtkomst till nätverket med hjälp av identitetscentrerade åtkomstkontroller och aktivera enkel inloggning (SSO) och multifaktorautentisering (MFA) för alla privata appar och resurser. Via Microsofts globala privata nätverk för de anställda en snabb och smidig åtkomstupplevelse med en bra balans mellan säkerhet och produktivitet.