隨著業(yè)務(wù)網(wǎng)絡(luò)環(huán)境和安全態(tài)勢變得更加復(fù)雜，許多企業(yè)正在轉(zhuǎn)向零信任網(wǎng)絡(luò)訪問 (ZTNA) 以提高其安全性，同時還替代或補(bǔ)充了虛擬專用網(wǎng)等舊技術(shù)。但零信任商業(yè)價值對企業(yè)業(yè)務(wù)和網(wǎng)絡(luò)安全的潛在影響，業(yè)界依然眾說紛紜。

近日，Appgate首席技術(shù)官Kurt Glazemakers接受betanews采訪時指出，ZTNA無論是對于業(yè)務(wù)還是安全都有著極高的價值。

[[432367]]

問：隨著越來越多的服務(wù)和系統(tǒng)遷移到云端，虛擬專用網(wǎng)在今天還有一席之地嗎?

答：實(shí)際上，虛擬專用網(wǎng)可能仍然是最常用的技術(shù)，尤其是在新冠疫情爆發(fā)之后，我認(rèn)為這是當(dāng)時極為有效的手段，用戶已經(jīng)習(xí)慣了，然后決定嘗試延長其使用周期。

虛擬專用網(wǎng)通常會成為網(wǎng)絡(luò)的入口點(diǎn)，這是它的最大風(fēng)險，也是企業(yè)開始轉(zhuǎn)向ZTNA的原因之一。而在ZTNA中，連接性和身份驗(yàn)證是一致的，不僅用于網(wǎng)絡(luò)訪問，還用于訪問應(yīng)用程序。

問：ZTNA是否與虛擬專用網(wǎng)直接競爭?對企業(yè)來說實(shí)施ZTNA的價值有哪些?

答：是的，越來越多的虛擬專用網(wǎng)正在被ZTNA替換，因?yàn)槠髽I(yè)需要采取更精細(xì)的方法，來保證在內(nèi)部網(wǎng)絡(luò)延伸到端點(diǎn)設(shè)備的整個系統(tǒng)內(nèi)，只訪問必要的應(yīng)用程序。ZTNA實(shí)現(xiàn)了這一需求，它將企業(yè)外部的網(wǎng)絡(luò)訪問管控細(xì)粒度化的到每個個體，使得安全性能大幅提升;此外，ZTNA還降低了互連成本并降低了復(fù)雜性，可以節(jié)省大量成本，因?yàn)樗行枰谄髽I(yè)網(wǎng)絡(luò)或安全解決方案中互連的系統(tǒng)可以統(tǒng)一與云和企業(yè)數(shù)據(jù)中心建立互聯(lián)網(wǎng)連接，因此企業(yè)可以節(jié)省大量“內(nèi)部連接”開支成本，例如：減少防火墻、安全堆棧、MPLS連接以及站點(diǎn)到站點(diǎn)虛擬專用網(wǎng) ，同時企業(yè)還可以大量節(jié)省創(chuàng)建和管理規(guī)則集所花費(fèi)的時間。

虛擬專用網(wǎng)向ZTNA的大遷徙，主要發(fā)生在用戶訪問公司網(wǎng)絡(luò)的部分，因此對于用戶端來說，虛擬專用網(wǎng)的替代過程會更快，但用于安全連接網(wǎng)絡(luò)各部分的站點(diǎn)間虛擬專用網(wǎng)還將繼續(xù)存在相當(dāng)長一段時間。

問：在過去一年半的時間里，遠(yuǎn)程辦公大潮對零信任市場有多大影響?

答：疫情暴露了虛擬專用網(wǎng)的先天局限性，它不是為大量的遠(yuǎn)程流量而設(shè)計的，而且它是由設(shè)備驅(qū)動的，因此在拓展上會有延遲，但規(guī)模會受到限制。以Zoom調(diào)用為例，如果用戶想要捕獲所有的虛擬專用網(wǎng)網(wǎng)絡(luò)流量，還需要考量帶寬，但ZTNA沒有這些問題，用戶只需管理一個訪問配置文件，在辦公室還是在其他地方工作沒有區(qū)別。

問：我們越來越多地看到企業(yè)網(wǎng)絡(luò)和云中的安全漏洞被歸結(jié)為配置錯誤。ZTNA 如何幫助解決這些問題?

答：配置ZTNA，歸根結(jié)底是想讓網(wǎng)絡(luò)訪問更智能。在傳統(tǒng)方案中，用戶需要安裝和修補(bǔ)所有公司設(shè)備策略，例如例如適當(dāng)?shù)亩它c(diǎn)保護(hù)等。ZTNA的不同之處在于，用戶可自行制定描述性的策略，例如用戶可下達(dá)：“將位于不同位置或云中的所有標(biāo)記為工程的資產(chǎn)給我”的指令策略，然后ZTNA解決方案就會找到這些資產(chǎn)并建立對所有這些的個人網(wǎng)絡(luò)訪問。

如果用戶在云上或內(nèi)部為工程部門啟動了新資產(chǎn)，這些新資產(chǎn)也將自動成為網(wǎng)絡(luò)中的一部分，這有助于處理更復(fù)雜的結(jié)構(gòu)。應(yīng)用程序會自動啟動并為用戶定義，他們可以自動選擇正確的控件，與虛擬專用網(wǎng)相比，這絕對是向前邁出的一大步。

問：當(dāng)員工離職或調(diào)崗時，ZTNA會讓安全流程會變得更容易嗎?

答：如果員工的工作角色發(fā)生變化，其網(wǎng)絡(luò)訪問(權(quán)限)也會發(fā)生變化，因?yàn)橐驗(yàn)榱阈湃尾呗詴詣舆m應(yīng)，這減少了人為錯誤的范圍，這有助于減少攻擊面，尤其是對于有時會在很短的時間內(nèi)臨時啟動的應(yīng)用程序或容器。消除人為因素是敏捷和安全齊頭并進(jìn)的關(guān)鍵所在。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文