为当今的业务构建安全的远程连接解决方案

为当今的业务构建安全的远程 连接解决方案 目录 1. 2. ExecutiveOverview 许多组织使用虚拟专用网络(VPN)，其功能类似于回到公司网络的隧道，但完全依赖VPN存在安全风险。即使在大流行结束后，CISO也需要一个更好的策略来支持远程工作，因为许多员工可能会至少在部分时间继续远程工作。鉴于VPN的局限性以及当今网络的动态和分布式特性。很明显，需要更好的解决方案。零信任网络访问（ZTNA）是VPN远程它简化了安全连接，提供对应用程序的无缝访问，无论用户或应用程序可能位于何处。 3 54％的就业成年人表示他们想在家工作在冠状病毒爆发结束的全部或大部分时间里。1 4 Introduction 最近，远程工作的兴起使人们关注虚拟专用网络（VPN）的局限性。多年来，VPN一直是访问公司网络的事实上的方法，但它们存在一些严重的缺点，特别是在安全性方面。 最大的问题是VPN采用基于外围的安全方法。用户通过VPN客户端进行连接，但是一旦进入外围，他们通常就可以广泛访问网络，从而使网络面临威胁。每当设备或用户以这种方式自动信任时，它都会使组织的数据，应用程序和知识产权面临风险。 除了使用VPN进行远程访问的问题之外，网络运营商正在寻找一种更好的方法来保护应用程序。在云上有一些应用程序和一些本地应用程序，很难提供一种通用的控制和执行方法，特别是当一些用户在现场而另一些用户在远程时。将应用程序部署到云可能会将它们暴露给来自不需要的参与者的探测器，并增加风险。 5 超越VPN 零信任网络访问(ZTNA)提供了更好的远程访问解决方案，还解决了相关问题到应用程序访问。该术语零信任使用此安全模型，假设没有用户或设备是可信的，并且在没有首先验证用户和设备是否被授权访问的情况下，没有对任何交易授予信任。 因为ZTNA从位置不授予信任级别的想法开始，所以用户工作的位置变得无关紧要。无论用户或设备物理位置在哪里，相同的零信任方法都适用。因为任何设备都被认为可能被感染，并且任何用户都有恶意行为，所以ZTNA访问策略反映了这一现实。 与具有无限制访问权限的传统VPN隧道不同，ZTNA仅在用户和/或设备通过身份验证后，才向单个应用程序和工作流授予每个会话的访问权限。对用户进行验证和认证，以确保他们在被授予访问权限之前被允许访问应用程序。每次访问应用程序时，还会检查每个设备，以确保设备符合应用程序访问策略。授权使用各种上下文信息，包括用户角色、设备类型、设备合规性、位置、时间以及设备或用户如何连接到网络或资源。 6 有了ZTNA，一旦用户提供了适当的访问凭据（如多因素身份验证和端点验证）并已连接，他们就可以获得所谓的最低特权访问权限。 通过建立更高级别的访问控制,ZTNA为最终用户提供了更高效的解决方案,并在需要时提供策略执行。 尽管ZTNA身份验证过程提供了身份验证点，但与传统的VPN不同，它没有指定身份验证是如何进行的。随着新的或不同的身份验证解决方案的实施，它们可以无缝地添加到ZTNA策略中。新的身份验证解决方案可能有助于消除与弱或被盗密码和凭据相关的问题，解决由于某些安全性不足而带来的挑战。物联网(IoT)设备，或添加额外的验证级别以访问敏感或机密信息或关键资源。 7 ZTNAvs.VPN 对于用户来说，ZTNA比VPN更容易管理。用户不再需要记住何时使用VPN或完成连接过程。也没有因为有人忘记断开连接而导致隧道意外开放的风险。使用ZTNA，用户只需单击应用程序，即可立即获得安全连接，无论应用程序是在本地，公共云中还是私有云中。此隧道是按需创建的，对用户透明。因为网络不再是信任区域,所以如果用户在网络上或网络外,则创建相同的隧道。加密隧道以透明的方式发生，在后台提供安全性。 在应用程序方面，由于用户连接回执行点，然后将该连接代理到应用程序，因此应用程序可以存在于本地，私有云中或公共云中，而所有这些都隐藏在Internet上。应用程序只需要与执行点建立连接，以确保它们免受窥探或黑客的侵害。 8 ZTNA型号 供应商在其产品和服务中采用了两种主要方法来实施ZTNA ：客户发起和服务发起。 1.客户端启动的ZTNA 有时称为端点发起的ZTNA，客户端发起的ZTNA模型最初被称为软件定义的边界，并基于云安全联盟架构。这种方法 使用设备上的代理创建安全隧道。当用户想要访问应用程序时 ，代理执行评估以确定安全状况。在收集用户身份、设备位置 、网络和正在使用的应用程序等信息后，它将构建风险概况。然后，它通过代理连接连接回应用程序，然后 如果信息符合组织的策略，则授予对应用程序的访问权限。应用程序可以本地或软件即服务(SaaS)基于云的应用程序。使用客户端启动的模型可能具有挑战性，因为管理上的代理 除非中央管理解决方案能够协调部署和 配置。此外，非托管设备需要通过其他方式进行处理，例如网络访问控制器（NAC）。 2.服务启动的ZTNA 服务发起的ZTNA模型使用反向代理架构,其有时也被称为应用发起的ZTNA。基于BeyodCorp模型，与客户发起的ZTNA最大的区别在于它不需要端点代理。它使用浏览器插件来创建安全隧道并执行设备评估和姿态检查。一个关键的缺点是它仅限于基于云的应用程序。因为应用程序的协议必须基于超文本 。传输协议(HTTP)/超文本传输协议安全(HTTPS)，它限制了Web应用程序和协议，如安全Shell(SSH)或远程桌面协议(RDP)HTTP。虽然一些较新的供应商提供 额外的协议支持，该模型不适合拥有混合云和本地应用程序组合的公司。 9 Gartner预测，到2023年，60%的企业将逐步淘汰传统VPN，并使用ZTNA模式。2 10 ZTNA与未来 采用零信任网络安全方法是一个涉及许多系统的过程，许多组织可能需要数年才能完全实现。但是，解决远程访问是实现完整零信任解决方案的第一步。 随着公司将其方法过渡到远程访问，他们通常会混合使用VPN和ZTNA。许多提供ZTNA服务的供应商都将其与SASE服务结合使用 。这种服务启动的方法可以轻松地从云安全控制云应用程序访问，但可能会产生昂贵的SASE费用，并且可能会限制其支持的应用程序类型。 B完整的零信任网络访问解决方案需要各种组件：客户端，代理，身份验证和安全性。这些解决方案通常由不同的供应商提供，并且组件通常在不同的操作系统上运行并使用不同的控制台进行管理和配置，因此建立跨供应商的零信任模型可能很困难或不可能。 通过选择集成的自动化工具，CISO可以克服实施ZTNA的关键挑战。使用基于防火墙和SASE的集成方法，他们可以使用ZTNA功能 ，并使用相同的自适应应用程序访问策略简化管理，无论用户是在网络上还是在网络上。ZTNA可应用于远程用户、家庭办公室和其他地点，如零售商店，通过提供对应用程序的受控远程访问，更容易和更快地启动，同时提供比传统传统VPN更精细的安全保护集。 11 只有15%的组织完成了过渡 零信任安全模型，该模型不会自动假定网络边界内的任何人都是受信任的。3 12 使用ZTNA实现安全远程访问 随着远程工作的增加，传统VPN的局限性变得越来越明显。从任何地方移动和工作的人越多，传统的基于外围的方法就越不安全 。每当设备或用户被自动信任时，它就会使组织的数据、应用程序和知识产权面临风险。 与传统VPN相比，ZTNA解决方案是保护远程访问的更好方法，并且还可以改善对应用程序访问的控制。 1金·帕克等人，“冠状病毒疫情如何改变了美国人的工作方式，也没有改变“，皮尤研究中心，2020年12月9日。 2MikeWronski由于远程工作不会消失，安全应该是重点，“黑暗阅读，2020年9月24日。 3“2019年零信任采纳报告，“网络安全内部人士，2019年11月。 版权所有©2021Fortinet,Inc.保留所有权利。Fortinet®,FortiGate®,FortiCare®和FortiGuard®某些其他标记是Fortiet，Ic.的注册商标。，以及此处的其他Fortiet名称也可以是Fortiet的注册商标和/或普通法商标。所有其他产品或公司名称可能是其各自所有者的商标。本文包含的性能和其他指标是在理想条件下的内部实验室测试中获得的，实际性能和其他结果可能会有所不同。网络变量、不同的网络环境和其他条件可能会影响性能结果。本文中没有任何内容代表Fortiet的任何具有约束力的承诺，并且Fortiet否认所有明示或暗示的保证，除非Fortiet签订了具有约束力的书面合同，由Fortiet的总法律顾问与买方签署，买方明确保证所识别的产品将根据某些明确识别的性能指标执行，在这种情况下，只有在具有约束力的书面合同中明确识别的特定性能指标才对Fortiet具有约束力。为绝对清楚起见，任何此类保修将仅限于在与Fortiet内部实验室测试相同的理想条件下的性能。Fortiet完全否认任何明示或暗示的契约、陈述和保证。Fortiet保留更改，修改，转让或以其他方式修改本出版物的权利，恕不另行通知，并且该出版物的最新版本应适用。Fortiet完全否认任何明示或暗示的契约、陈述和保证。Fortiet保留更改，修改，转让或以其他方式修改本出版物的权利，恕不另行通知，并且该出版物的最新版本应适用。 2021年3月6日12:36AM 电子书-ztna-远程连接 911928-0-0-EN