虚拟专用网络(VPN)是 30 多年前推出的,用于通过互联网访问局域网(LAN)上的配置端点。用户一旦获得访问权限,就可以访问网络上的任何内容。
另一方面,ZTNA 可根据细粒度的访问控制策略远程访问单个应用程序或服务。它贯彻零信任的安全原则,在用户会话期间持续监控用户活动,定期或在连接闲置一段时间后要求重新认证。
什么是 VPN?
企业 VPN 旨在为局域网端点提供安全的远程访问。该技术通常用于远程桌面访问员工的办公电脑。VPN 使用点对点(P2P)连接或加密 "隧道 "来保护内部端点的 IP 地址不被公开,同时仍允许直接连接。
常见的 VPN 协议
- IPSec/IKEv2
- IPSec/L2TP
- OpenVPN
- 点对点隧道协议(PPTP)
零信任网络访问(ZTNA)可实现对个别内部应用程序的安全远程访问,并包括基于上下文的访问控制技术。ZTNA 提供安全的身份验证过程,并限制入侵远程访问服务的攻击者可使用的工具。
ZTNA 通过访问代理安全代理提供访问。该代理不仅会验证用户身份、上下文和政策遵守情况,还会要求定期重新认证,以确保额外的安全性。ZTNA 采用自适应信任模型,信任绝不是隐含的,访问权限根据细粒度策略定义的最小权限授予。ZTNA 访问代理还能评估连接环境,包括设备安全状况和客户端地理位置,并可能要求多因素或生物特征认证。
ZTNA 与 VPN 有何不同?
VPN 提供对企业局域网端点的直接隧道访问,而 ZTNA 则不同,它只提供对明确授权的应用程序和服务的访问。ZTNA 的主要目标不是防止暴露特定资源的内部 IP 地址,而是通过持续监控连接行为和符合零信任原则的上下文感知再认证,为服务提供细粒度访问控制。
尽管 ZTNA 技术目前还无法将两个独立的企业局域网完全桥接到广域网中,但它确实可以将应用程序和资源托管到云中,从而实现从任何地方的远程连接。
哪个更好?VPN 还是 ZTNA?
VPN 连接是 "全有或全无",提供对内部端点及其所有内置工具的完全访问权限,这就带来了风险。VPN 还缺乏强大的身份验证控制和可视性,无法监控端点的用户行为。
ZTNA 允许对可访问的应用程序进行细粒度控制,并实施基于零信任的身份验证技术,因此比 VPN 更适合用于确保组织内部资源的访问安全。ZTNA 可在连接过程中和连接后持续监控用户活动,而不会暴露内部网络。
由于供应链日益复杂、物联网设备激增以及对远程工作的日益关注,现代企业面临的网络安全挑战似乎几乎难以克服。管理员需要一种支持分布式工作的方法,但他们也不能将关键资产置于风险之中。复杂且资源繁重的 VPN 并不适合这项任务。
CylanceGATEWAY™是一款云原生 ZTNA 解决方案,旨在支持对关键业务应用程序和服务的可扩展、仅出站访问。其多租户架构的设计考虑到了数字化转型和分布式工作,而其强大的人工智能可同时增强企业的安全态势,并简化细粒度动态策略和访问控制的配置和管理。
