ZTNA 2.0:安全访问的新标准
背景与挑战
过去两年,办公方式和地点的灵活性显著提升,混合劳动力模式成为主流。攻击面随之指数级增长,传统远程访问架构和第一代 ZTNA (ZTNA 1.0) 无法满足新安全需求,导致企业面临日益复杂的网络攻击威胁。勒索软件等攻击在疫情期间尤为活跃,凸显了现有安全架构的不足。
ZTNA 1.0 的局限性
ZTNA 1.0 存在五大核心问题:
- 违反最低权限原则:依赖网络层(OSI 第 3、4 层)访问控制,无法实现应用级精细权限管理,导致过度授权和攻击面扩大。
- “允许并忽略”模式:建立连接后默认信任,不持续监控用户/应用行为,易被恶意活动利用。
- 不进行安全检查:不检测已授权会话中的恶意流量,无法应对动态威胁。
- 不提供数据保护:缺乏对私有应用数据的保护,需额外 DLP 解决方案,增加复杂性和风险。
- 无法保护所有应用:不支持云原生应用、动态端口应用或 SaaS 应用,无法覆盖现代企业应用环境。
ZTNA 2.0 的核心原则
为应对上述问题,ZTNA 2.0 提出五大关键原则:
- 最低访问权限:结合 App-ID、User-ID 和 Device-ID 实现应用级、动态权限控制,持续收集情境信息以实时调整访问策略。
- 持续进行信任验证:不间断监控设备状态、用户行为和应用行为,动态评估信任级别。
- 持续进行安全检查:通过 WildFire®、高级 URL 过滤、威胁防御等功能,实时检测并阻止威胁,包括零日攻击。
- 为所有数据提供一致的保护:统一应用 DLP 策略,覆盖私有和 SaaS 应用数据,消除安全盲区。
- 为所有应用提供一致的安全性:支持传统应用、私有应用、云原生应用和 SaaS 应用,实现全局统一防护。
Prisma Access:ZTNA 2.0 引擎
Prisma Access 是业界首款云交付 ZTNA 2.0 解决方案,整合 ZTNA、SWG、新一代 CASB、FWaaS 和 DLP 功能,提供:
- 精细访问控制,大幅减少攻击面;
- 基于行为的持续信任验证;
- 无缝的云原生架构和全球服务边缘;
- 单一产品覆盖所有应用类型,提升安全性和用户体验。
实施起点建议
企业可从以下三个项目起步:
- VPN 替换项目:用 ZTNA 2.0 解决方案替代传统 VPN,支持混合办公模式,提升安全性和可扩展性。
- SWG 替换项目:迁移至云 SWG,消除延迟,增强 Web 访问安全,支持显式/代理/无客户端模式。
- 高级 SaaS 应用安全项目:利用新一代 CASB 功能,实现 SaaS 应用可视性、控制和数据保护,应对“影子 IT”风险。
结论
ZTNA 2.0 代表了安全访问的新标准,通过持续信任验证、动态权限控制和全局统一防护,有效应对混合劳动力模式下的安全挑战。Prisma Access 作为 ZTNA 2.0 的实现引擎,为企业提供了现代化、高效的安全解决方案。
