压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

隨著零信任理念的提出，對(duì)于零信任網(wǎng)絡(luò)接入產(chǎn)品 ZTNA 能否取代 VPN 的討論聲音不斷。

這是一項(xiàng)新技術(shù)提出后，在市場(chǎng)化過(guò)程中的必經(jīng)之路。

ZTNA 與 VPN 是網(wǎng)絡(luò)安全行業(yè)的兩個(gè)標(biāo)桿性技術(shù)，解決企業(yè)遠(yuǎn)程訪問(wèn)、安全連接等場(chǎng)景的問(wèn)題。我們?cè)诤饬渴雰?yōu)孰劣時(shí)，并非越先進(jìn)的技術(shù)越好。回歸本質(zhì)，技術(shù)的價(jià)值體現(xiàn)在實(shí)際的需求場(chǎng)景及落地實(shí)踐過(guò)程中，關(guān)注誰(shuí)對(duì)當(dāng)前業(yè)務(wù)效率提升更大、落地成本更低。

拋開(kāi)實(shí)際場(chǎng)景來(lái)談相互替換，則沒(méi)有實(shí)際意義。

關(guān)于 VPN

VPN?最初是通過(guò)隧道技術(shù)，利用公共互聯(lián)網(wǎng)絡(luò)虛擬出一個(gè)點(diǎn)到點(diǎn)的專(zhuān)線技術(shù)，它滿足了內(nèi)部員工在外面訪問(wèn)內(nèi)部網(wǎng)絡(luò)的需求，并且比搭建物理專(zhuān)有網(wǎng)絡(luò)更便宜，接下來(lái)二十年發(fā)展，VPN 成為遠(yuǎn)程員工訪問(wèn)公司網(wǎng)絡(luò)資源的一個(gè)常用方式。

其中，隧道協(xié)議是 VPN 的核心之一，隨著業(yè)務(wù)需求的不斷變化，PPTP VPN、L2TP VPN、Open VPN、SSH 等類(lèi)型的 VPN 先后出現(xiàn)，在更多廠商的參與下，信息安全、訪問(wèn)控制等管理向功能也加入起來(lái)，VPN 在網(wǎng)絡(luò)安全上作用逐漸變大。

本質(zhì)上來(lái)講?VPN?是一種遠(yuǎn)程接入的技術(shù)，起初設(shè)計(jì)的核心主要為滿足遠(yuǎn)程接入需求，在安全性上并未有太多關(guān)注。第一個(gè)隧道協(xié)議 PPTP 協(xié)議雖然連接速度上優(yōu)勢(shì)明顯，但也是業(yè)界公認(rèn)的不安全協(xié)議之一。

如今隨著越來(lái)越多廠商參與，VPN 在隧道協(xié)議上有了更多可選，也根據(jù)使用場(chǎng)景發(fā)展出了遠(yuǎn)程訪問(wèn)VPN、LAN 間互連 VPN。

傳統(tǒng)技術(shù)的遺留問(wèn)題

如上面所說(shuō)，VPN 自設(shè)計(jì)之初，并非純粹的安全解決方案，雖然能以低成本的方式解決解決遠(yuǎn)程訪問(wèn)的需求，但因?yàn)楸旧淼募軜?gòu)設(shè)計(jì)，也存在很多問(wèn)題需要借助其他技術(shù)方案聯(lián)合優(yōu)化

• 安全性：VPN 的安全性問(wèn)題體現(xiàn)在多個(gè)方面。VPN 承擔(dān)起內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)的隧道，使得火墻端口和網(wǎng)絡(luò)服務(wù)器暴露，成為滲透攻擊的入口。而 VPN 一旦鏈接，用戶(hù)可以不受限制的訪問(wèn)內(nèi)部網(wǎng)絡(luò)，對(duì)于數(shù)據(jù)的權(quán)限控制能力弱，黑客通過(guò)橫向移動(dòng)造成更大規(guī)模攻擊。
• 配置復(fù)雜：VPN 的安全性是需要復(fù)雜的配置來(lái)彌補(bǔ)，打開(kāi)防火墻端口、進(jìn)行 DDOS 攻擊屏蔽和網(wǎng)絡(luò)應(yīng)用攻擊屏蔽等等需要耗費(fèi)大量成本。另外針對(duì)員工內(nèi)部數(shù)據(jù)訪問(wèn)配置還需要額外部署。
• 適配和擴(kuò)展性：對(duì)于現(xiàn)代其也將很多系統(tǒng)部署在非公司網(wǎng)絡(luò)下的云環(huán)境內(nèi)，這部分資源是無(wú)法利用 VPN 進(jìn)行控制的。此外員工的設(shè)備也多種多樣，企業(yè) IT 在管理的時(shí)候也會(huì)遇到擴(kuò)展性難題。

因此，在解決遠(yuǎn)程網(wǎng)絡(luò)接入需求時(shí)，VPN 是一個(gè)最直接的工具，也是將需求快速實(shí)現(xiàn)落地的解決方案。但正如我們?cè)谶z留問(wèn)題中所提到，在更復(fù)雜的場(chǎng)景中，VPN 就會(huì)顯得無(wú)法承載。

關(guān)于 ZTNA

零信任網(wǎng)絡(luò)訪問(wèn)?Zero Trust Network Access?(ZTNA) 也有一段比較長(zhǎng)的演進(jìn)時(shí)期，但它仍是一個(gè)最近幾年才被提出的概念，下面是它的發(fā)展的幾個(gè)關(guān)鍵節(jié)點(diǎn)：

• 1994 年，Stephen Paul Marsh 在他的博士論文中首次提到了“零信任”一詞
• 2010 年，F(xiàn)orrester 分析師 John Kindervag 使用術(shù)語(yǔ)“零信任模型”表示更嚴(yán)格的公司內(nèi)部網(wǎng)絡(luò)安全計(jì)劃和訪問(wèn)控制。隨后幾年，谷歌開(kāi)始在其“BeyondCorp”安全計(jì)劃中應(yīng)用這些模型。
• 2019年，由 Gartner 提出了零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA) 一詞，代表了一組旨在安全訪問(wèn)私有應(yīng)用程序的新技術(shù)。

ZTNA 技術(shù)一經(jīng)公布，就是面向現(xiàn)代網(wǎng)絡(luò)環(huán)境和現(xiàn)代工作方式的。一方面面向來(lái)自不斷進(jìn)化的網(wǎng)絡(luò)攻擊，一方面面向更加多樣且復(fù)雜的企業(yè)員工及數(shù)字資產(chǎn)，做好不同身份的用戶(hù)、業(yè)務(wù)系統(tǒng)和數(shù)字資產(chǎn)之間的連接。

新興技術(shù)帶來(lái)的優(yōu)勢(shì)

ZTNA 作為近幾年興起的新技術(shù)，天生帶著變革的基因，但它不是為了替代 VPN 而設(shè)計(jì)，而是為了應(yīng)對(duì)當(dāng)前更加多樣化的需求。尤其在以下方面表現(xiàn)出明顯優(yōu)勢(shì)：

• 安全性

減少系統(tǒng)暴露：在訪問(wèn)應(yīng)用時(shí)，需要首先通過(guò) ZTNA 的驗(yàn)證，因此 ZTNA 不向網(wǎng)絡(luò)暴露 IP 地址。除了自身權(quán)限內(nèi)的應(yīng)用，網(wǎng)絡(luò)其他部分對(duì)于連接的設(shè)備來(lái)說(shuō)仍然不可見(jiàn)。

規(guī)避橫向移動(dòng)：微分段的設(shè)計(jì)，可以為每個(gè)應(yīng)用設(shè)定單獨(dú)的訪問(wèn)控制。攻擊者無(wú)法獲得其他微分段的訪問(wèn)權(quán)限

持續(xù)、多維度的安全監(jiān)測(cè)：零信任理念假設(shè)任何人、設(shè)備、網(wǎng)絡(luò)都是不受信任的，通過(guò)持續(xù)的、多維度的安全監(jiān)測(cè)，這是和傳統(tǒng) IT 理念的重要區(qū)別之一

• 管理

用戶(hù)系統(tǒng)設(shè)備統(tǒng)一管理：通過(guò)統(tǒng)一的 ZTNA 管理后臺(tái)，完成對(duì)用戶(hù)、設(shè)備、策略、應(yīng)用的管理，這樣大大提升 IT 人員管理效率

靈活的接入訪問(wèn)策略：不僅僅是驗(yàn)證訪問(wèn)者身份，同時(shí)還能針對(duì)設(shè)備基線、所處網(wǎng)絡(luò)環(huán)境、文件完整度等多維度設(shè)定驗(yàn)證策略，任意一項(xiàng)存在風(fēng)險(xiǎn)，都將觸發(fā)制定安全策略

最小化授權(quán)：ZTNA?將成為應(yīng)用訪問(wèn)前的一道關(guān)卡，每個(gè)訪問(wèn)者都將對(duì)應(yīng)與之匹配的最低應(yīng)用訪問(wèn)權(quán)限，這是?VPN?所不具備的管理能力

• 體驗(yàn)

不受帶寬限制：基于云端的 ZTNA 將可以更快響應(yīng)訪問(wèn)者的請(qǐng)求，即使大規(guī)模的應(yīng)用訪問(wèn)，也不會(huì)因?yàn)閹挼钠款i而影響訪問(wèn)體驗(yàn)

可擴(kuò)展易部署：針對(duì)多樣性的身份和應(yīng)用，也可以通過(guò)后臺(tái)進(jìn)行快速擴(kuò)展。基于云端或者輕量的客戶(hù)端，對(duì)于用戶(hù)而言也可以快速完成部署

全平臺(tái)使用，無(wú)縫體驗(yàn)：ZTNA 支持桌面端和移動(dòng)端的多種接入方式，滿足現(xiàn)代化工作方式隨時(shí)隨地、任意設(shè)備接入的需求

適合用 ZTNA 替代 VPN 的 3 個(gè)場(chǎng)景

在了解完 VPN 和 ZTNA 的發(fā)展和各自特點(diǎn)后，我們能夠清晰的看到 ZTNA 備受關(guān)注的原因。它是更適合采用現(xiàn)代辦公方式管理網(wǎng)絡(luò)訪問(wèn)需求的方案。

而 VPN 我們則要分兩方面來(lái)看待，一方面對(duì)于 VPN 產(chǎn)品，ZTNA 是一個(gè)很有力的競(jìng)爭(zhēng)者，在彌補(bǔ) VPN 產(chǎn)品不足的同時(shí)，還帶來(lái)的多方面的安全改進(jìn)，是更加完整的網(wǎng)絡(luò)安全接入解決方案。另一方面，對(duì)于 VPN 技術(shù)，它仍將給予 ZTNA 產(chǎn)品更多啟發(fā)，持續(xù)提升網(wǎng)絡(luò)接入體驗(yàn)，滿足企業(yè)在更多場(chǎng)景的接入需求。

因此，“ZTNA 能否替換 VPN 產(chǎn)品”不會(huì)是一個(gè)是或者否的二維結(jié)論，而是根據(jù)企業(yè)當(dāng)下場(chǎng)景和發(fā)展需求，進(jìn)行最佳判斷。適合用 ZTNA 替代 VPN 的 3 個(gè)場(chǎng)景如下：

• 面向身份的管理

來(lái)自不同身份的用戶(hù)，如企業(yè)員工、外包、第三方公司等等，都有訪問(wèn)業(yè)務(wù)系統(tǒng)的需求。在過(guò)去不同身份的用戶(hù)權(quán)限缺乏管理，授予相同訪問(wèn)權(quán)限風(fēng)險(xiǎn)很大。ZTNA 擁有靈活的最小化授權(quán)功能，可以針對(duì)用戶(hù)身份進(jìn)行對(duì)應(yīng)最小化權(quán)限分配，減少不必要的風(fēng)險(xiǎn)訪問(wèn)。

• 面向業(yè)務(wù)系統(tǒng)的管理

在業(yè)務(wù)系統(tǒng)角度也發(fā)生了很大的變化，如今業(yè)務(wù)上云非常普遍，公司數(shù)字資產(chǎn)包往往分布在多云環(huán)境中。單純的內(nèi)部網(wǎng)絡(luò)管理不足以完成所有系統(tǒng)的管理，ZTNA 可以將多樣的網(wǎng)絡(luò)進(jìn)行統(tǒng)一的訪問(wèn)策略管控，做到數(shù)字資產(chǎn)統(tǒng)一管理。

• 面向不同登錄方式的管理

用戶(hù)自帶設(shè)備 BYOD 是訪問(wèn)公司網(wǎng)絡(luò)的設(shè)備入口，安全性同樣需要得到重視。ZTNA 將兼容傳統(tǒng)C/S應(yīng)用的客戶(hù)端、Agentless 的 B/S 應(yīng)用，以及輕量的 SSH、RDP 應(yīng)用代理場(chǎng)景。滿足不同設(shè)備網(wǎng)絡(luò)接入問(wèn)題，多端適配。

例如在大型攻防演練實(shí)戰(zhàn)中，當(dāng)我們選擇什么樣的技術(shù)保障網(wǎng)絡(luò)接入安全時(shí)，需要結(jié)合自身需求場(chǎng)景、當(dāng)前防御弱點(diǎn)等方向?qū)W(wǎng)絡(luò)狀態(tài)做全面評(píng)估，才好根據(jù)核心需求選擇適合的技術(shù)方案。根據(jù)需求，在這個(gè)場(chǎng)景中，ZTNA 將是一個(gè)更符合需求的技術(shù)方案。

關(guān)于雪諾云ZTNA

雪諾云 ZTNA 完整落地零信任理念，并在此基礎(chǔ)上優(yōu)化適合國(guó)內(nèi)企業(yè)的辦公方式。搜索“snowtech.com.cn”，和解決方案專(zhuān)家預(yù)約一對(duì)一溝通，探索最佳實(shí)踐方式。