零信任完全取代VPN还需“再烧三把火”

随着全球人才和企业员工流动性的不断增加，当今的企业需要更创新、更灵活、更安全的方法来管控员工的网络和应用程序访问权限。

不是VPN，胜似VPN？

在当今无处不在，始终连接的移动办公环境中，VPN（虚拟专用网络）采用的基于加密的安全方法不再是维护数据保护的有效手段。

近年来，一些影响广泛的重大VPN漏洞已经成为各路黑客的重点目标，与此同时零信任网络访问(ZTNA)迅速成长为一种有前途的VPN替代方案，特别是对于应用程序访问而言。

但是，ZTNA1.0虽然在可扩展性、数据丢失防护和高级威胁防护方面确实向前迈出了一步，但仍有一些成长空间。

要想在应用程序访问领域完全取代VPN，ZTNA还需“再烧三把火”，做出以下重大改进：ZTNA必须扩大其控制范围、增强风险缓解功能（改进网络访问执行策略，分析和监控连接设备），以及转向云原生架构，具体如下：

01、扩大访问控制

与传统VPN相比，ZTNA提供更精细、更动态的访问控制方法。通过采用零信任模型，ZTNA会验证访问应用程序的每个用户和设备的身份。然而，为了进一步改进方法，ZTNA还需扩大访问控制范围，包括：

• 上下文访问控制：ZTNA应利用上下文信息（例如用户行为、位置、访问时间和设备状态）来制定物理网络（有线和无线）和业务应用程序的访问决策。通过实时分析这些因素，ZTNA可以动态调整访问权限，降低未经授权访问的风险。
• 持续身份验证：ZTNA不应仅仅依赖于一次性登录，而应实现持续身份验证机制。这可能涉及多重身份验证(MFA)或基于行为的身份验证，以确保持续验证用户身份。
• 应用感知策略：ZTNA可以通过应用感知来增强其策略执行能力。通过了解不同应用的具体需求和漏洞，ZTNA可以应用更精确的访问控制和安全措施，减少攻击面。

02、增强风险缓解功能

随着越来越多的企业采用混合和完全远程工作策略，准确识别拥有网络和应用程序访问权限的所有设备并缓解相关的安全风险已变得势在必行。ZTNA需要将其权限范围扩大到包括以下内容，才能在缓解安全风险中发挥关键作用：

• 端点可见性和控制：ZTNA解决方案应提供对尝试访问网络的所有端点的全面可见性。这包括员工、承包商和合作伙伴拥有的设备。
• 网络分段：ZTNA应促进网络分段，将网络划分为更小的隔离段，以限制威胁的横向移动。通过将敏感数据和关键资产与网络的其他部分分离，ZTNA可以减少潜在攻击的影响。
• 持续监控：ZTNA必须结合持续监控和威胁情报功能，以识别新出现的威胁和漏洞，并采取措施通过自动端点修复来缓解这些威胁。通过与安全信息和事件管理(SIEM)系统集成，ZTNA可以帮助安全团队实时检测和响应安全事件。

03、走向云原生

采用云原生架构的ZTNA控制可以进一步增强敏捷、资源有限的IT团队的能力，使其能够主动应对最复杂的安全挑战。一般来说，迁移到云原生的ZTNA可以实现：

• 更轻松的部署和更大的可扩展性：云原生ZTNA解决方案应该能够根据企业不断增长的需求轻松扩展。通过利用云基础设施，IT团队可以跨多个位置和不同环境轻松部署、管理和更新ZTNA功能。
• 自动化和编排：云原生ZTNA解决方案必须结合自动化和编排功能，减少手动工作并提高运营效率。通过自动化配置、策略实施和威胁响应，IT团队可以专注于战略安全计划，而不是重复性的文书任务。
• 集中管理和监控：云原生ZTNA解决方案应提供集中管理控制台，使IT团队能够全面了解网络、用户活动和安全事件。这种集中式方法简化了策略管理、降低了复杂性并缩短了事件响应时间。

通过不断改进网络和应用程序访问策略的实施方法、准确分析所有具有访问权限的设备并缓解相关的安全风险，ZTNA可以为身处业务互联的数字化转型深水区中的企业提供强大的自适应安全框架。

最后，采用云原生架构ZTNA意味着IT团队能以敏捷和高效的方式主动应对安全挑战。随着企业应用访问设备数量的不断增长，ZTNA要想完全取代VPN还需做出以上三大改进，才能在确保员工安全高效访问应用程序的同时保护敏感数据。