隨著云計算、虛擬化、物聯(lián)網(wǎng)概念以及遠程辦公的蓬勃發(fā)展，移動設備數(shù)量劇增，網(wǎng)絡的邊界正變得越來越模糊。不僅內部系統(tǒng)和設備必須受到保護，外部系統(tǒng)和設備也需要額外的防御層。因此ZTNA應運而生。

ZTNA是什么呢？

2010年，F(xiàn)orrester Research 分析師 John Kindervag 引入了零信任（ZT）的概念，作為對傳統(tǒng)網(wǎng)絡邊界保護方法的改進。ZTNA即零信任網(wǎng)絡訪問，是一種安全體系結構，其中僅將來自經(jīng)過身份驗證的用戶，設備和應用程序的流量授予組織內其他用戶，設備和應用程序的訪問權限。它背后的基本思想是，在公司網(wǎng)絡內外部都不設任何安全區(qū)域或可信用戶。
 
基于ZTNA的基礎設施的基本原理

（1）受保護的區(qū)域分割。不要試圖一次覆蓋整個邊界，而是將其劃分為微邊界（應用程序、設備、系統(tǒng)、網(wǎng)絡等），針對每個微邊界建立不同的安全策略、保護和控制。
（2）強制加密。所有通信和網(wǎng)絡流量都必須加密，防止惡意干擾。
（3）訪問控制。所有用戶、系統(tǒng)、應用、設備和進程每次連接到任何受保護資源時都必須進行掃描。
（4）各級最低特權原則。僅授予最低權限，即使對用戶或系統(tǒng)有危害也不會導致對整個基礎設施的未授權訪問。
（5）完全控制。持續(xù)收集和分析所有基礎設施組建的事件、行為和狀態(tài)，確保對安全事件的前期響應。

ZTNA的架構和組件

策略引擎（PE）和策略管理員（PA）是ZTNA模型的基本邏輯元素。前者在用戶、設備、系統(tǒng)和應用四個層面管理訪問策略，后者應用分配的策略，控制對資源的訪問，并監(jiān)控訪問對象和主體的狀態(tài)。兩者形成策略決策點（PDP）---檢查用戶或設備以確定他們是否可以進行下一步，策略執(zhí)行點（PEP）---負責根據(jù)PA的命令連接和斷開企業(yè)資源。這些組件構成了系統(tǒng)基礎。用戶和企業(yè)服務之間的良性屏障還包括下一代防火墻和云訪問安全代理。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務云化、數(shù)據(jù)中心、網(wǎng)絡安全、行業(yè)IT解決方案等相關服務。