什么是零信任网络访问 (ZTNA)？

零信任网络访问 (ZTNA) 非常重要，因为它与在日益分散的数字优先工作区中对可适应的可复原网络安全的需求不断增加保持一致。

这就是它成为关键框架的原因：

防范不断演变的威胁。向内部用户授予广泛网络访问权限的传统安全模型不足以应对当今复杂的网络威胁，尤其是内部威胁 - 了解如何识别和缓解组织内部的风险。内部威胁或凭据泄露导致的威胁。ZTNA 假定任何实体本身都不受信任，从而限制了潜在的攻击途径。

支持远程工作和云端资源。随着远程办公和云技术的兴起，企业正在从传统的内部网络转向混合或完全基于云的基础架构。ZTNA 可从任何地点安全访问资源，在内部部署和云环境中始终如一地执行安全策略。

缓解网络攻击中的横向移动。在存在安全漏洞情况下，ZTNA 的分段访问可防止攻击者横向移动，从而限制潜在破坏的范围。由于访问权限仅在需要了解的基础上授予，因此攻击者发现在系统之间移动并获取关键资产的访问权限要困难得多。

ZTNA 为企业提供了许多好处，包括：

增强的安全性。ZTNA 的持续身份和设备验证模式降低了未经授权访问的风险，并减轻了因凭证泄露而带来的威胁。通过根据标识、位置和设备运行状况等因素验证每次访问尝试，ZTNA 可增强整体安全状况并最大程度地减少未经授权的访问。

改进了访问控制和策略实施。ZTNA 允许组织强制实施精细的基于角色的访问策略。仅向用户授予对所需应用程序或资源的访问权限，从而减少意外或有意访问敏感数据的可能性。此外，通过确保对访问进行限制和记录，还可简化对数据保护和隐私法规的遵守。

减少攻击面。由于 ZTNA 不会将整个网络暴露给任何单个用户或设备，因此大大降低了攻击面。只有经过授权的用户和设备可以访问特定资源，并且只能通过安全的加密连接访问它们，从而降低数据泄露或未经授权泄露的风险。

传统安全模型主要依赖于"受信任"的内部网络概念，以及受防火墙和 VPN 保护的"不受信任"外部网络。零信任网络访问 (ZTNA) 和这些传统模型之间的主要区别包括：

基于外围与基于标识的对比。传统安全依赖于保护网络外围，假定网络中的用户受信任。ZTNA 将每次访问尝试视为潜在风险，而不考虑位置，每次都要求身份验证。

隐式信任与显式信任。在传统模型中，经过身份验证后，用户会受到信任，并且通常在网络中横向移动，但限制很小。但是，ZTNA 实现微分段和最小特权访问，以限制横向移动并降低与凭据泄露相关的风险。

静态访问控制与动态访问控制。传统的安全模型通常采用静态规则，灵活性较差，在当今环境中往往已经过时。ZTNA 采用动态策略，可根据风险因素、用户行为和其他背景线索进行调整。

VPN 与直接安全访问。传统的网络连接模型通常使用 VPN 进行远程访问，这可能会导致延迟，并且难以缩放。ZTNA 解决方案可直接提供对应用程序的安全访问，而无需通过 VPN 路由所有流量，从而提高性能和可伸缩性。

零信任网络访问 (ZTNA) 是安全服务边缘框架的一部分，用于保护对基于零信任原则构建的专用资源的访问。在 ZTNA 环境中，用户、设备和应用程序在访问资源前必须不断证明自己的合法性，无论其位于网络内还是网络外。主要运行机制包括：

身份和访问管理。ZTNA 从严格的身份验证开始。访问任何应用程序或资源之前，每个用户或设备都必须验证自己的身份，通常是通过多重身份验证（MFA）。这可确保仅识别合法用户并授予访问权限。

微分段。ZTNA 不依赖于单个网络外围，而是将网络划分为较小的独立段。每个段都包含特定的资源或应用程序，这使得攻击者很难在网络中横向移动（如果它们入侵了一个段）。

最低权限访问权限。每个用户和设备仅被授予对其角色所需的特定应用程序或数据的访问权限，从而限制了潜在暴露。这种最小权限方法通过限制任何一个受损账户可以访问的内容，将数据泄露或未经授权访问的风险降至最低。

应用程序级访问。ZTNA 不允许广泛的网络级访问，而是支持针对特定应用的连接。这意味着，即使设备获准访问，也只能与授权访问的特定应用程序或资源进行通信。它进一步减少了攻击面，因为用户和设备无法查看或访问整个网络。

连续访问评估。持续评估用户和设备行为是 ZTNA 的中心组件。这包括监控任何异常活动模式、设备状态（如是否安装了安全更新）和位置变化。检测到异常时，可能会撤消访问权限，或者需要其他身份验证。

零信任网络不断发展，以解决现代网络威胁和远程工作环境日益复杂的问题。ZTNA 最初引入了 “零信任 ”的核心原则，根据用户身份和设备状态提供访问，而不是传统的网络边界防御。但是，随着网络威胁的发展，需要更全面、更自适应的方法，从而在 ZTNA 中发展改进，包括：

粒度应用访问控制。ZTNA 现在在应用程序级别提供更详细的 访问控制 - 了解业务安全性访问控制的基础知识访问控制，超越了简单的网络或基于 IP 的访问。它确保用户只能访问其所需的特定应用程序和资源，并在这些应用程序中将其限制在授权执行的特定数据和操作范围内。

持续信任评估。传统 ZTNA 通常依赖于会话开始时的一次性信任评估。ZTNA 现在采用持续信任模型，在整个会话中动态评估用户和设备行为。持续监控有助于实时检测和应对异常情况或风险行为。

集成威胁防范。ZTNA 现在将威胁防范功能（如恶意软件检测、入侵防范和其他安全检查）直接集成到访问模型中。此主动安全层有助于防止攻击者在网络中横向移动，即使他们获得了初始访问权限。

增强的用户和设备上下文感知。ZTNA 现在不仅仅是验证用户标识和设备状态，还包含更多上下文因素，例如用户行为模式、设备历史记录以及地理位置和访问时间等环境因素。这有助于为每个访问请求创建更精确的风险概况。

安全访问服务边缘 （SASE） - 了解 SASE 及其组件以及业务安全优势。安全访问服务边缘 (SASE) 是一个网络安全框架，它将网络和安全服务组合在统一的云原生模型中。它旨在通过将安全功能—（如安全 Web 网关、 云访问安全代理 - 了解保护云环境安全的 CASB 解决方案云访问安全代理、防火墙即服务和零信任网络访问>）集成在一起，为用户提供安全访问，而不考虑其位置;具有广域网功能。SASE 提供了一种可缩放、灵活的方式来保护分布式工作人员，在远程工作和多云环境标准的新式环境中尤其有用。

ZTNA 是 SASE 模型中的关键组件，专门侧重于基于零信任体系结构的访问控制。虽然 ZTNA 在应用程序和资源级别强制实施严格的访问控制，但 SASE 通过提供全面的安全和网络模型来扩大此范围。从本质上讲，ZTNA 是 SASE 的关键要素，侧重于细粒度的访问管理，而 SASE 则将 ZTNA 纳入一套更大的安全工具中，为整个网络提供统一的端到端保护。

Microsoft 零信任网络访问 (ZTNA) 解决方案旨在提供对应用程序和资源的安全访问，而不考虑用户位于何处。


此方法的核心组件是 Microsoft Entra 专用访问，它取代了传统的 VPN。它有助于使用以标识为中心的 ZTNA 解决方案，确保任何地方的用户皆可安全访问所有专用应用和资源。Microsoft Entra 专用访问允许你用 ZTNA 取代传统 VPN。无需对应用进行任何更改，即可使用以标识为中心的访问控制将条件访问策略扩展到网络，并在所有专用应用和资源之间启用单一登录 (SSO) 和多重身份验证 (MFA)。通过Microsoft’的全球专用网络，员工可以获得快速、无缝的访问体验，以平衡安全性与工作效率。