什麼是零信任網路存取 (ZTNA)?

零信任網路存取 (ZTNA) 很重要，因為它符合在逐漸分散、數位為先的工作場所中，對可調整、有彈性的網路安全性日益增長的需求。

以下是它成為重要架構的原因：

針對不斷演變的威脅提供防護。傳統安全性模型會將廣泛的網路存取權授與內部使用者，不足以抵禦現今複雜的網路威脅，尤其是內部威脅或因認證遭到入侵而產生的威脅。ZTNA 會假設沒有任何實體原本就受到信任，從而限制潛在的攻擊媒介。

遠端工作和雲端式資源的支援。隨著遠端工作和雲端採用的上升，企業正從傳統內部部署網路轉移到混合式或完全雲端式的基礎結構。ZTNA 可從任何位置安全地存取資源，在內部部署和雲端環境中一致地強制執行安全性原則。

緩解網路攻擊中的橫向移動。在安全性缺口的情境中，ZTNA 的區段存取可防止攻擊者的橫向移動，從而限制潛在損害的範圍。由於僅會以必要知悉之範圍授與存取權，因此攻擊者會發現在系統之間移動並取得重要資產的存取權更加困難。

ZTNA 對企業有許多優點，包括：

增強的安全性。ZTNA 的連續身分識別與裝置驗證模型可降低未經授權的存取風險，並減少認證遭到入侵的威脅。ZTNA 會依據身分識別、位置和裝置健康情況等因素來驗證每個存取嘗試，以強化整體安全性態勢，並將未經授權的存取降至最低。

改善了存取控制和原則強制執行。ZTNA 可讓組織強制執行細微的角色型存取原則。只會將存取權授與使用者所需的應用程式或資源，以減少意外或刻意存取敏感性資料的機會。它還透過確保存取受到限制和記錄，來簡化資料保護和隱私權法規的合規性。

縮小受攻擊面。由於 ZTNA 不會將整個網路公開給任何單一使用者或裝置，因此會明顯減少攻擊面。只有授權的使用者和裝置可以存取特定資源，而且只能透過安全、加密的連接來存取它們，降低資料外洩或未經授的暴露風險。

傳統安全性模型主要依賴的概念是一個"受信任"內部網路，以及一個受防火牆和 VPN 保護的"不受信任"外部網路。零信任網路存取 (ZTNA) 與這些傳統模型的主要差異包括：

周邊型與身分識別型。傳統安全性仰賴保護網路周邊，假設網路內的使用者受到信任。ZTNA 會考慮每個需要身分識別驗證的存取嘗試，無論其位置如何，都當作它有潛在的風險。

隱含與明確信任。在傳統的模型中，一旦通過驗證，使用者即受到信任，並且經常在網路內橫向移動，幾乎不受限制。不過，ZTNA 會實作微分段和最小權限存取，以限制橫向移動並降低與認證遭到入侵相關聯的風險。

靜態與動態存取控制。舊版安全性模型通常有靜態規則，在現今的環境中較不靈活且通常已過期。ZTNA 會使用根據風險因素、使用者行為及其他關係型提示調整的動態原則。

VPN 與直接、安全存取。傳統的網路連線模型通常會使用 VPN 進行遠端存取，這可能會引入延遲，而且難以調整。ZTNA 解決方案提供對應用程式的直接安全存取，而不需要透過 VPN 路由所有流量，從而改善效能與可擴縮性。

零信任網路存取 (ZTNA) 是安全性服務邊緣架構的一部分，並用於確保基於零信任原則建構的私人資源的安全存取。在 ZTNA 環境中，使用者、裝置和應用程式在存取資源之前，必須持續證明其安全，無論其在網路內部或外部的位置。關鍵作業性機制包括：

身分識別和存取管理。ZTNA 會從嚴格的身分識別驗證開始。每個使用者或裝置都必須驗證其身分識別，通常是透過多重要素驗證 (MFA)，才能取得任何應用程式或資源的存取權。這可確保只有合法使用者被識別並獲授存取權。

微分段。ZTNA 不是依賴單一網路周邊，而是將網路分成較小的隔離區段。每個區段都包含特定資源或應用程式，因此如果攻擊者入侵一個區段，就很難在網路內橫向移動。

最低權限存取權。每位使用者和裝置只會獲得其角色所需之特定應用程式或資料的存取權，以限制潛在的暴露風險。此最低權限方法會透過限制任何一個遭到入侵的帳戶可以存取的内容，來將資料外洩或未經授權存取的風險降到最低。

應用程式層級存取權。ZTNA 會支援應用程式特定的連線，而不是授與廣泛的網路層級存取權。這代表即使裝置獲授存取權，它只會與它有權存取的特定應用程式或資源通訊。這會進一步減少攻擊面，因為使用者和裝置沒有整個網路的可見度或存取權。

持續性存取評估。持續性評估使用者和裝置行為是 ZTNA 的中心元件。這包括監視任何異常活動模式、裝置態勢 (例如是否已安裝安全性更新)，以及位置變更。偵測到異常時，可能需要撤銷或要求其他驗證。

零信任網路持續演進，以解決現代網路威脅和遠端工作環境日益增長的複雜性。一開始，ZTNA 會根據使用者身分識別與裝置態勢(而不是傳統網路周邊防禦) 提供存取，從而引進零信任的核心原則。不過，隨著網路威脅不斷演進，因此也需要更全面且更具適應性的方法，因此 ZTNA 有了許多推動的進展，包括：

細微的應用程式存取控制。ZTNA 現會在應用程式層級提供更詳細的存取控制，並超越簡單的網路或 IP 型存取。它可確保使用者只能存取所需的特定應用程式和資源，而且在這些應用程式中，限制使用者只能存取他們有權執行的特定資料和作業。

持續的信任評定。傳統的 ZTNA 通常仰賴在工作階段一開始時的一次性信任評定。ZTNA 現在採用持續的信任模型，在整個工作階段動態評估使用者和裝置行為。持續監視可協助即時偵測及回應異常或危險行為。

整合式威脅防護。ZTNA 現會將威脅防護功能 (例如惡意程式碼偵測、入侵防護及其他安全性檢查) 直接整合到存取模型中。這個主動式安全性層級可協助防止攻擊者在網路內橫向移動，即使他們取得初始存取權。

增強的使用者和裝置內容感知。ZTNA 現在除了驗證使用者身分識別與裝置態勢之外，也納入更多關係型因素，例如使用者行為模式、裝置記錄，以及地理位置和存取時間等其他因素。這有助於為每個存取要求建立更精確的風險設定檔。

安全存取服務邊緣 (SASE)是個網路安全性架構，將網路和安全性服務結合在一個整合的雲端原生模型中。它旨在透過廣區域網路功能整合安全性功能 (例如安全網路閘道、 雲端存取安全性代理程式、防火牆即服務，及零信任網路存取)，為使用者提供安全存取，無論他們的位置為何。SASE 提供可調整且彈性的方式來保護分散的員工，在遠端工作和多雲端環境為標準的新式環境中特別有用。

ZTNA 是 SASE 模型內的重要元件，特別著重於基於零信任架構的存取控制。雖然 ZTNA 在應用程式和資源層級強制執行嚴格的存取控制，但 SASE 會透過提供全面的安全性和網路模型來擴大此範圍。基本上，ZTNA 是 SASE 的重要元素，著重於更精細的存取管理，而 SASE 則在一組較大的安全性工具中納入 ZTNA，以在整個網路上提供統一的端對端保護。

Microsoft 零信任網路存取 (ZTNA) 解決方案的設計目的是提供應用程式和資源的安全存取，無論使用者位於何處。


這個方法的核心元件是Microsoft Entra 私人存取，這會取代傳統 VPN。它透過以身分識別為中心的 ZTNA 解決方案來協助保護各地使用者的所有私人應用程式和資源存取權。Microsoft Entra 私人存取可讓您以 ZTNA 取代您的舊版 VPN。您不需要對應用程式進行任何變更，您可以使用以身分識別為中心的存取控制將條件式存取原則延伸至您的網路，並在所有私人應用程式和資源上啟用單一登入 (SSO) 和多重要素驗證 (MFA)。透過 Microsoft 的全域私人網路，為員工提供快速、順暢的存取體驗，在安全性與生產力之間取得平衡。