6 個面向企業的零信任應用程序和網絡解決方案

已發表: 2021-04-30

傳統的網絡邊界已經消失。對組織的應用程序和數字資產的訪問發生在很遠的地方，控制這些訪問成為一項嚴峻的挑戰。可以保護網絡邊界的日子早已一去不復返了。現在是採用新的零信任安全策略的時候了。

當一家公司的數字資產不得不在不安全的互聯網路徑上長途跋涉時，賭注如此之高，以至於您不能信任任何人，也不能信任任何人。這就是為什麼您應該採用零信任網絡模型來始終限制所有用戶對所有網絡資源的訪問。

在零信任網絡中，任何訪問資源的嘗試都受到用戶或設備的限制，無論他們之前是否訪問過相同的資源。任何用戶或設備都必須始終通過身份驗證和驗證過程才能訪問資源，即使他們實際位於組織內。這些身份驗證和驗證必須很快，以避免安全策略降低應用程序的性能和用戶體驗。

零信任與 VPN

零信任網絡模型正在取代公司傳統上用於員工遠程訪問其數字資產的 VPN 模型。 VPN 正在被替換，因為它們存在零信任網絡可以解決的主要缺陷。在 VPN 中，在將用戶連接到組織網絡的加密通道中發生的任何破壞都會授予潛在攻擊者對連接到網絡的所有公司資源的無限制訪問權限。

在舊的本地基礎設施上，VPN 運行良好，但與雲或混合基礎設施上的解決方案相比，它們產生的風險更大。

零信任網絡修復了 VPN 的這個缺點，但增加了一個潛在的缺點：它們可能導致實施和維護方面的額外複雜性，因為必須對所有用戶、設備和資源保持最新的授權。這需要額外的工作，但 IT 部門可以更好地控制資源並減少漏洞作為回報。

幸運的是，零信任網絡的好處可以在不需要額外維護和部署工作的情況下實現，這要歸功於自動化和協助網絡管理任務的工具。下面討論的工具可幫助您以最少的努力和成本應用零信任策略。

周長81

Perimeter 81 提供了兩種方法來管理和保持組織的應用程序和網絡安全，包括雲和本地環境。這兩個提案從提供零信任網絡即服務開始。為此，Perimeter 81 使用軟件定義的邊界架構，該架構為新用戶加入提供了極大的靈活性，並提供了對網絡的更高可見性。此外，該服務與主要的雲基礎設施提供商兼容。

零信任應用程序訪問基於這樣一個假設：每家公司都有大多數用戶不需要訪問的關鍵應用程序和服務。該服務允許根據特定用戶的角色、設備、位置和其他標識符對他們設置障礙。

同時，零信任網絡訪問通過信任區域定義了組織網絡的分段，這允許創建信任限制，以高粒度級別控制數據流。受信任的區域由一組基礎設施元素組成，這些元素的資源在相同的信任級別上運行並提供類似的功能。這減少了通信渠道的數量，並最大限度地減少了威脅的可能性。

Perimeter 81 的零信任網絡訪問 (ZTNA) 服務提供組織網絡的完整和集中視圖，確保對每個資源的訪問權限最低。其安全功能響應 Gartner 的 SASE 模型，因為安全和網絡管理統一在一個平台上。

兩種 Permiter 81 服務包含在具有多種選擇的定價方案中。這些選項的範圍從具有保護和管理網絡的基本要素的基本計劃到可以無限擴展並提供專門的 24/7 支持的企業計劃。

最近，Perimeter 81 被任命為 ZTNA 領導者。

ZScaler 私有訪問

ZScaler Private Access (ZPA) 是一種基於雲的零信任網絡服務，可控制對組織私有應用程序的訪問，無論它們位於專有數據中心還是公共雲中。使用 ZPA，未授權用戶對應用程序完全不可見。

在 ZPA 中，應用程序和用戶之間的連接遵循由內而外的策略。與其將網絡擴展到包括用戶（如果使用 VPN 就應該這樣做），用戶永遠不會進入網絡。這種方法通過避免惡意軟件的擴散和橫向移動的風險，大大降低了風險。此外，ZPA 的範圍不限於 Web 應用程序，而是任何私有應用程序。

ZPA 使用微隧道技術，允許網絡管理員按應用程序對網絡進行分段，避免在網絡中創建人為分段或通過防火牆策略應用控製或管理訪問控制列表 (ACL)。微隧道採用 TLS 加密和自定義私鑰，可在訪問企業應用程序時增強安全性。

由於其 API 和 ML（機器學習）增強功能，ZPA 允許 IT 部門通過發現應用程序並為其創建訪問策略以及為每個不同的應用程序工作負載自動生成分段來自動化零信任機制。

Cloudflare 訪問

Cloudflare 的零信任網絡服務由一個專有網絡提供支持，該網絡的接入點分佈在世界各地。這使 IT 部門能夠提供對組織的所有資源（設備、網絡和應用程序）的高速、安全訪問。

Cloudflare 的服務取代了傳統的、以網絡為中心的安全邊界，使用安全的近距離訪問來確保分佈式工作組的最佳速度。

Cloudflare 的零信任訪問在組織中運行整體應用程序，通過其自己的全球網絡對用戶進行身份驗證。這允許 IT 經理記錄每個事件和每次訪問資源的嘗試。此外，它還可以輕鬆維護用戶和添加其他用戶。

使用 Cloudflare Access，組織可以維護其身份、保護提供者、設備狀態、每個應用程序的位置要求，甚至其現有的雲基礎設施。對於身份控制，Cloudflare 與 Azure AD、Okta、Ping 和設備狀態、Tanium、Crowdstrike 和 Carbon Black 集成。

Cloudflare 提供其服務的免費版本，該版本提供主要工具並允許您保護多達 50 個用戶和應用程序。您必須選擇該服務的付費版本才能擴展到許多用戶或應用程序，這會增加其他好處，例如 24x7x365 電話和聊天支持。

萬德拉

Wandera Private Access 零信任網絡解決方案提供對組織應用程序的快速、簡單和安全的遠程訪問，無論這些應用程序是在 SaaS 中運行還是在內部部署。該服務以其簡單性而著稱，安裝過程可在幾分鐘內完成，不需要專門的硬件、證書或大小調整。

Wandera Private Access 為分佈式工作團隊提供了靈活性，在異構平台上運行，使用託管或自有設備 (BYOD)。該解決方案提供對應用程序訪問的實時可見性、識別影子 IT 並自動限制來自受感染或不安全設備的訪問，這要歸功於風險感知訪問策略。

使用 Wandera Private Access，可以實施以身份為中心的安全模型，確保只有授權用戶才能連接到組織的應用程序。使用基於應用程序的微隧道僅將用戶連接到他們有權訪問的應用程序。安全策略的應用在所有基礎設施中保持一致，無論是雲、數據中心還是 SaaS 應用程序。

Wandera 的保護系統由名為 MI:RIAM 的智能威脅檢測引擎提供支持。該引擎每天接收 4.25 億個移動傳感器提供的信息，確保抵禦最廣泛的已知威脅和零日威脅。

奧克塔

Okta 提供了一個零信任安全模型，涵蓋了廣泛的服務，包括應用程序、服務器和 API 保護；統一且安全的用戶訪問本地和雲應用程序；自適應的、基於上下文的、多因素身份驗證和自動退出以降低孤兒帳戶風險。

Okta 的通用目錄服務為組織中的每個用戶提供單一、整合的視圖。由於用戶組與 AD 和 LDAP 的集成，以及與 HR 系統、SaaS 應用程序和第三方身份提供商的連接，Okta Universal Directory 集成了各種用戶，無論他們是公司員工、合作夥伴、承包商還是客戶。

Okta 以其 API 保護服務脫穎而出，因為 API 被視為一種新形式的影子 IT。 Okta 的 API 訪問管理將設計和應用基於 XML 的策略的時間縮短到幾分鐘，促進新 API 的加入以及與合作夥伴的集成以使用 API。 Okta 的策略引擎允許在 API 安全方面實施最佳實踐，輕鬆與 OAuth 等身份框架集成。 API 授權策略是根據應用程序、用戶上下文和組成員身份創建的，以確保只有正確的用戶才能訪問每個 API。

Okta 的集成網絡避免了供應商鎖定，使組織可以自由地從 7,000 多個與雲和本地系統的預構建集成中進行選擇。

眾擊獵鷹

CrowdStrike Falcon 身份保護零信任安全解決方案可快速阻止因身份受損而導致的安全漏洞，使用零信任策略保護組織中所有用戶、位置和應用程序的身份。

Falcon Identity Protection 旨在通過減少工程資源需求和消除冗余安全流程來降低成本和風險並提高所使用工具的投資回報率。

對所有身份的統一控制使實施條件訪問和自適應身份驗證策略變得容易，並確保更好的用戶體驗和多因素身份驗證 (MFA) 的更大覆蓋範圍，即使對於遺留系統也是如此。

CrowdStrike 遠程訪問解決方案提供對所有帳戶和端點的身份驗證活動的完整可見性，提供位置數據、源/目的地、登錄類型（人員或服務帳戶）等。反過來，它保護網絡免受內部威脅，例如已棄用的特權帳戶、錯誤分配的服務帳戶、異常行為以及因側向移動攻擊而受損的憑據。

通過與現有的安全解決方案集成，Falcon Identity Protection 的部署可以在最短的時間內完成，並且不會出現摩擦。除了為 CyberArk 和 Axonius 等關鍵資產提供與安全解決方案的直接集成之外，CrowdStrike 還提供高性能 API，使公司能夠與幾乎任何系統集成。

結論

新常態似乎仍然存在，IT 管理員需要習慣它。遠程工作將繼續成為日常現實，組織網絡將不再有明確的界限。

在這種情況下，如果 IT 管理員不想將組織最寶貴的數字資產置於風險之中，就必須盡快採用零信任網絡和應用程序解決方案。