如今,远程工作和云计算已经变得司空见惯,企业网络安全正迎来新的转折点。
ZTNA(零信任网络访问)作为广泛使用的 VPN 的替代方案而受到关注。
VPN和ZTNA都是“从公司外部安全访问内部资源的机制”,但它们的机制、安全性和操作方法有很大不同。
在本文中,我们将对 VPN 和 ZTNA 之间的差异进行易于理解的比较,并帮助您决定使用哪一个。
如果您是信息系统管理员或安全管理员,认为 VPN 可能不够,请参阅本文。
ZTNA(零信任网络访问)和VPN(虚拟专用网络)都是提供从公司外部安全访问内部系统的机制,但在设计理念和安全模型上存在显着差异。
1. 基本思想
| 项目 | VPN | ZTNA(零信任) |
|---|---|---|
| 信任的前提 | 网络安全 | 不相信任何人(零信任) |
| 连接单元 | 连接到每个网络(广泛访问) | 允许基于应用程序/用户的最小访问权限 |
2. 安全和访问控制
| 项目 | VPN | 中泰通讯社 |
|---|---|---|
| 认证方式 | 专注于单一认证(ID和密码) | 多重身份验证(MFA)、设备识别、策略控制 |
| 访问范围 | 连接后即可访问整个公司网络 | 仅限必要的应用程序和系统 |
| 会话监控 | 基本上一直处于连接状态 | 验证每个会话并动态确定许可/拒绝 |
| 应对内部威胁 | 弱(容易横向扩展) | 强(被资源阻止) |
3、实施的便捷性和灵活性
| 项目 | VPN | 中泰通讯社 |
|---|---|---|
| 云/SaaS 兼容 | 有限(主要是本地) | 灵活且经过云优化 |
| 兼容 BYOD(个人设备) | 困难/不推荐 | 是(可以进行设备识别和上下文控制) |
| 安装工作量 | 需要 VPN 服务器/客户端设置 | 采用基于云的ZTNA,安装和扩展都比较顺利。 |
| 用户体验 | 连接/断开需要时间 | 更无缝(身份验证后直接连接到应用程序) |
ZTNA 的好处
从这里,我们将以易于理解的方式总结 ZTNA(零信任网络访问)的好处。
让我们将其与传统 VPN 进行比较,看看为什么越来越多的公司采用它。
1. 最小权限访问提高安全性
ZTNA 遵循最小特权原则,该原则规定,只有需要的人才能在需要时访问所需的资源。
即使发生未经授权的访问,也可以将损害范围降至最低。
2. 灵活支持外部、云端、SaaS使用
ZTNA是云原生设计,不依赖于位置或设备,因此
远程工作
移动设备(BYOD)
云服务(SaaS)
它符合现代工作方式。
3. 始终验证用户和设备
ZTNA 在用户每次访问站点时动态检查用户的身份、设备状态、位置信息等。
即使在身份验证之后,如果出现异常活动,也可以阻止访问,从而创建抵御内部威胁的配置。
4. 往往比 VPN 更容易管理
由于设置、分发、故障排除等问题,VPN 往往给管理员带来沉重负担,但 ZTNA 主要基于云,可以集中管理。
日志获取和访问控制规则也可以基于策略可视化和集中管理。
5. 防止内网暴露
ZTNA 允许按应用程序进行访问,而不是按网络进行访问,因此用户不需要位于“整个公司网络”上。
这允许您创建一个配置,其中服务器和内部资源从外部不可见。
概括
| 比较项目 | 传统VPN | ZTNA(零信任) |
|---|---|---|
| 访问范围 | 整个内部网络 | 仅限必要的应用程序和服务 |
| 兼容环境 | 主要在本地 | 还兼容云、SaaS 和 BYOD |
| 运用管理 | 账户管理和连接控制复杂 | 可基于策略在云端集中管理 |
| 安全 | 内部利差风险高 | 以最小权限+动态控制降低泄露风险 |
ZTNA 是下一代访问管理方法,可以解决 VPN 无法防御的现代威胁。
许多公司还采用混合实施,即利用 VPN 并分阶段迁移到 ZTNA。