零信任網(wǎng)絡(luò)訪問采購指南 -2023.08

零信任網(wǎng)絡(luò)訪問采購指南解析零信任核心要點(diǎn)，保護(hù)您最寶貴的資產(chǎn)目錄03引言：辦公環(huán)境巨變嚴(yán)重影響私有訪問安全形勢(shì)05為何傳統(tǒng)遠(yuǎn)程辦公安全防護(hù)無法奏效06零信任網(wǎng)絡(luò)訪問11ZTNA的七項(xiàng)基本功能20CheckPoint如何提供幫助引言：辦公環(huán)境巨變嚴(yán)重影響私有訪問安全形勢(shì)這兩年，組織經(jīng)歷了采用遠(yuǎn)程和混合辦公模式的巨大轉(zhuǎn)變。受疫情影響，有60%的組織幾乎在一夜之間轉(zhuǎn)為

100%在家辦公模式。一年多過去了，78%的組織仍有大量員工在家辦公1或遠(yuǎn)程辦公。這一現(xiàn)象大大增加了公司面臨的攻擊面和安全風(fēng)險(xiǎn)。根據(jù)

Check

Point

Research

的數(shù)據(jù)，與往年相比，2021

年全球企業(yè)網(wǎng)絡(luò)每周遭受的攻擊嘗試次數(shù)增加了

50%。92%

的高管表示，其所在組織曾遭受給業(yè)務(wù)造成影響的網(wǎng)絡(luò)攻擊或入侵，并導(dǎo)致以下后果：客戶數(shù)據(jù)、員工數(shù)據(jù)或其他機(jī)密數(shù)據(jù)丟失，日常運(yùn)營中斷，勒索軟件贖金支付，財(cái)務(wù)損失或盜竊，以及/或者知識(shí)產(chǎn)權(quán)盜竊2。如今遠(yuǎn)程訪問公司網(wǎng)絡(luò)和云環(huán)境對(duì)于確保業(yè)務(wù)連續(xù)性至關(guān)重要，于是網(wǎng)絡(luò)攻擊者迅速利用其中的漏洞發(fā)起攻擊。利用員工自有設(shè)備、供應(yīng)鏈合作伙伴以及薄弱的云安全措施發(fā)起的攻擊嘗試越來越多，這促使人們尋求新的方法來確保遠(yuǎn)程訪問的安全。購買指南：零信任網(wǎng)絡(luò)訪問3BYOD

使風(fēng)險(xiǎn)增加員工即使使用

IT團(tuán)隊(duì)配置的系統(tǒng)進(jìn)行遠(yuǎn)程辦公，也會(huì)通過其他設(shè)備訪問和共享大量的公司數(shù)據(jù)及信息。在家辦公的員工中，有

53%的員工會(huì)通過個(gè)人設(shè)備訪問客戶數(shù)據(jù)，有

36%的員工會(huì)訪問財(cái)務(wù)記錄，大約30%的員工會(huì)訪問公司的知識(shí)產(chǎn)權(quán)或其他機(jī)密信息。不受管理的員工自有設(shè)備也會(huì)帶來重大風(fēng)險(xiǎn)。此類設(shè)備的風(fēng)險(xiǎn)態(tài)勢(shì)不為人知，因此可以很容易讓惡意軟件趁虛而入，感染網(wǎng)絡(luò)和資產(chǎn)，并為威脅打開大門。供應(yīng)鏈攻擊代價(jià)高昂員工并不是唯一需要訪問企業(yè)資源的人員。第三方合作伙伴、承包商和供應(yīng)商也需要訪問具有不同敏感度級(jí)別的應(yīng)用程序、服務(wù)器和數(shù)據(jù)庫。如果不能提供安全的遠(yuǎn)程訪問，風(fēng)險(xiǎn)會(huì)增加，后果也會(huì)相應(yīng)加重。2021年，供應(yīng)鏈攻擊造成的平均財(cái)務(wù)損失高達(dá)

140萬美元。云環(huán)境日益成為攻擊目標(biāo)向遠(yuǎn)程辦公模式的轉(zhuǎn)變使許多組織加快了云計(jì)劃的實(shí)施進(jìn)程。云數(shù)據(jù)中心和生產(chǎn)環(huán)境支持隨時(shí)隨地訪問，但薄弱的安全措施以及未受妥善保護(hù)的基礎(chǔ)設(shè)施和憑據(jù)日益使其成為攻擊目標(biāo)。攻擊者已經(jīng)開始將瞄準(zhǔn)開源軟件、無服務(wù)器架構(gòu)和基礎(chǔ)設(shè)施即代碼

(IaC)配置。最近的一項(xiàng)研究發(fā)現(xiàn)，2021年針對(duì)開源供應(yīng)鏈的攻擊比2020年增加了

650%。購買指南：零信任網(wǎng)絡(luò)訪問4傳統(tǒng)遠(yuǎn)程辦公安全防護(hù)無法奏效傳統(tǒng)上，組織依靠虛擬專用網(wǎng)絡(luò)

(VPN)和本地安全防護(hù)措施來保護(hù)對(duì)網(wǎng)絡(luò)和應(yīng)用程序的訪問，但它們通常作為“一刀切”的解決方案部署。并非每個(gè)訪問公司資源的人員都需要或應(yīng)該擁有相同的權(quán)限，并對(duì)應(yīng)用程序進(jìn)行相同級(jí)別的訪問。如今廣泛、安全的遠(yuǎn)程訪問成為企業(yè)開展業(yè)務(wù)的一項(xiàng)要求，但

VPN卻無法滿足這一要求。無法擴(kuò)展VPN

到云的復(fù)雜性組織無法快速配置和擴(kuò)展

VPN連接，以應(yīng)對(duì)疫情期間突然出行受限的大量員工或季節(jié)性流量激增。如果不額外投入巨額資金，幾乎不可能做到在按需擴(kuò)展的同時(shí)確保不間斷連接。VPN無法輕松地跨眾多服務(wù)器、云提供商和混合架構(gòu)進(jìn)行擴(kuò)展。例如，使用本地

VPN設(shè)置大量

AWSVirtualPrivateCloud(VPC)非常復(fù)雜。缺少特權(quán)訪問管理訪問缺乏可見性VPN不提供針對(duì)特權(quán)用戶和資源的原生特權(quán)訪問管理

(PAM)功能。因此，很難確保

DevOps團(tuán)隊(duì)和工程團(tuán)隊(duì)能夠安全訪問數(shù)據(jù)庫、管理終端以及數(shù)百個(gè)動(dòng)態(tài)云服務(wù)器和工作負(fù)載?；?/p>

VPN的遠(yuǎn)程訪問方案通常允許廣泛的網(wǎng)絡(luò)訪問，這使組織遭受潛在威脅執(zhí)行者進(jìn)行橫向移動(dòng)攻擊的風(fēng)險(xiǎn)增加。更糟糕的是，IT

團(tuán)隊(duì)無法集中了解用戶在網(wǎng)絡(luò)中或使用應(yīng)用程序時(shí)的實(shí)際行為。開銷高對(duì)于第三方和

BYOD

不切實(shí)際依靠

VPN來保護(hù)所有員工、網(wǎng)絡(luò)和應(yīng)用程序的安全會(huì)導(dǎo)致很高的運(yùn)營對(duì)于大多數(shù)組織而言，在

BYOD

和合作伙伴設(shè)備上安裝與維護(hù)

VPN

客戶開銷。這需要額外的硬件、軟件更新和管理資源。端既不切實(shí)際也不可取。性能受到影響VPN

實(shí)施通常會(huì)將所有流量回傳到數(shù)據(jù)中心進(jìn)行安全檢查。如果無法使流量實(shí)現(xiàn)負(fù)載均衡，則吞吐量會(huì)降低，低延遲應(yīng)用程序的性能也會(huì)受到影響。Check

Point

Research

發(fā)現(xiàn)，67%

的組織將性能問題和延遲列為用戶抱怨最多的問題。5CheckPoint博客：《遠(yuǎn)程辦公影響

IT安全的四種方式以及您能做些什么》(FourWaysRemoteWorkHasImpactedITSecurityandWhatYouCanDoAboutIt)，2021年

7月購買指南：零信任網(wǎng)絡(luò)訪問5零信任網(wǎng)絡(luò)訪問為什么采用“零信任”來確保安全訪問？零信任網(wǎng)絡(luò)訪問

(ZTNA)是軟件定義功能，支持對(duì)網(wǎng)絡(luò)和應(yīng)用程序的安全訪問。這一概念從傳統(tǒng)的安全措施演變而來，但卻顛覆了信任的概念。現(xiàn)在，“零信任”模型不再假定網(wǎng)絡(luò)上的用戶和設(shè)備是可信任的，而是基于“從不信任，始終驗(yàn)證”的原則。ZTNA模型：???對(duì)每個(gè)設(shè)備和用戶進(jìn)行身份驗(yàn)證，無論其所在的位置逐應(yīng)用程序限制訪問權(quán)限應(yīng)用精細(xì)的應(yīng)用程序內(nèi)控制和授權(quán)??對(duì)用戶和互聯(lián)網(wǎng)隱藏未經(jīng)授權(quán)的應(yīng)用程序，以最大限度減少橫向移動(dòng)持續(xù)監(jiān)控用戶活動(dòng)，并實(shí)時(shí)實(shí)施策略Gartner?

對(duì)

ZTNA進(jìn)行了如下定義：“創(chuàng)建基于身份和情景的邏輯訪問邊界的產(chǎn)品及服務(wù)，該邊界包含企業(yè)用戶和內(nèi)部托管的應(yīng)用程序或一組應(yīng)用程序。應(yīng)用程序是隱藏的，不會(huì)被發(fā)現(xiàn)；由于使用可信任的代理，只有一組指定實(shí)體可以訪問。在允許訪問之前，該代理將驗(yàn)證指定參與者的身份、情景和策略遵從性，并盡量減少網(wǎng)絡(luò)中其他位置的橫向移動(dòng)1?！?

Gartner，《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》，IDG00730534購買指南：零信任網(wǎng)絡(luò)訪問6終端與服務(wù)發(fā)起的零信任在零信任網(wǎng)絡(luò)訪問領(lǐng)域，零信任可以由終端發(fā)起，也可以由服務(wù)發(fā)起。終端發(fā)起的連接依賴于安裝在用戶設(shè)備上的客戶端向基于云的可信任代理提供身份驗(yàn)證和授權(quán)信息。另一方面，正如

TechTarget所述，“服務(wù)發(fā)起的架構(gòu)使用連接器設(shè)備發(fā)起到

ZTNA提供商云的出站連接，其中會(huì)評(píng)估身份憑據(jù)和情景要求，無需終端軟件代理。”無論其實(shí)施是否使用客戶端，通過為每個(gè)數(shù)據(jù)中心、網(wǎng)段或虛擬私有云

(VPC)部署單一連接器，云信任代理會(huì)審查和控制針對(duì)連接器背后資源的所有訪問嘗試，以實(shí)施零信任策略。購買指南：零信任網(wǎng)絡(luò)訪問77購買指南：零信任網(wǎng)絡(luò)訪問8零信任的運(yùn)作方式以下是零信任訪問架構(gòu)的運(yùn)作方式：應(yīng)用程序連接器

—

零信任服務(wù)連接器（又稱應(yīng)用程序連接器軟?網(wǎng)絡(luò)級(jí)訪問

—

網(wǎng)絡(luò)級(jí)訪問是一種

VPN即服務(wù)技術(shù)，支持安全的第3層網(wǎng)絡(luò)連接。用戶和辦公室都可以使用這種訪問模式。需要使用輕量級(jí)客戶端或代理進(jìn)行連接。辦公室使用

IPSec從邊緣設(shè)備連接到云服務(wù)。通常，此類設(shè)備是

SD-WAN路由器。件）部署在相關(guān)網(wǎng)絡(luò)、網(wǎng)段、數(shù)據(jù)中心、IaaS或云生產(chǎn)環(huán)境中。在分段網(wǎng)絡(luò)中，每個(gè)網(wǎng)段都部署一個(gè)連接器。連接器是一種輕量級(jí)容器，可通過簡單的命令行在幾秒內(nèi)部署完畢。它可以創(chuàng)建一個(gè)安全的、連接到云信任代理服務(wù)的僅出站隧道。這就產(chǎn)生了一種“將數(shù)據(jù)中心隱藏在黑暗中”的效果，所有私有應(yīng)用程序都被隱藏，在互聯(lián)網(wǎng)上不可見。零信任服務(wù)

—

無論用戶采用哪種連接方式，他們對(duì)數(shù)據(jù)中心或云環(huán)境的訪問始終遵循組織的零信任訪問策略，此類策略由云信任代理實(shí)施。零信任訪問

—

有兩種選擇來連接用戶：?應(yīng)用程序級(jí)訪問

—

用戶僅使用瀏覽器或者現(xiàn)有的

RDP或

SSH軟件進(jìn)行連接。用戶首先使用其當(dāng)前的身份提供程序向

ZTNA服務(wù)進(jìn)行身份驗(yàn)證，或直接向服務(wù)進(jìn)行身份驗(yàn)證。第

7層應(yīng)用程序級(jí)訪問可作為無客戶端訪問提供，無需

VPN客戶端即可連接。應(yīng)用程序級(jí)訪問使用基于云的反向代理技術(shù)發(fā)布應(yīng)用程序。購買指南：零信任網(wǎng)絡(luò)訪問9零信任要點(diǎn)ZTNA不僅僅是

VPN的替代品，它逐漸成為標(biāo)準(zhǔn)化安全架構(gòu)的一個(gè)關(guān)鍵要素，這是因?yàn)?/p>

ZTNA可以確保在授予或保持任何設(shè)備上的任何用戶（無論位于組織網(wǎng)絡(luò)內(nèi)部還是外部）對(duì)應(yīng)用程序和數(shù)據(jù)的訪問權(quán)限之前，已經(jīng)對(duì)其進(jìn)行身份驗(yàn)證、授權(quán)以及持續(xù)的安全配置和安全態(tài)勢(shì)驗(yàn)證。無論是采用第

3層網(wǎng)絡(luò)級(jí)訪問還是第

7層應(yīng)用程序級(jí)訪問，均應(yīng)遵循的關(guān)鍵零信任原則包括：??基于用戶的訪問策略設(shè)備安全態(tài)勢(shì)驗(yàn)證??在用戶和應(yīng)用程序之間使用信任代理基于應(yīng)用程序的訪問策略（不僅僅是網(wǎng)絡(luò)級(jí)訪問策略）???不可直接訪問企業(yè)網(wǎng)絡(luò)私有應(yīng)用程序在互聯(lián)網(wǎng)上不可見同時(shí)連接到不同位置6Gartner《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》，2022年

2月

17日購買指南：零信任網(wǎng)絡(luò)訪問10ZTNA

的七項(xiàng)基本功能如何選擇最佳的

ZTNA

解決方案組織在不斷尋求

VPN替代品，以獲得靈活性并降低風(fēng)險(xiǎn)，因此市場(chǎng)上出現(xiàn)了越來越多的

ZTNA解決方案。在評(píng)估

ZTNA解決方案是否適用于您的環(huán)境時(shí)，需要考慮以下七點(diǎn)。確保對(duì)所有用戶的支持ZTNA解決方案應(yīng)能夠保護(hù)所有用戶的訪問，包括使用托管設(shè)備和BYOD設(shè)備的員工、第三方合作伙伴、工程團(tuán)隊(duì)和

DevOps用戶?；诳蛻舳说脑L問功能非常適合用于確保使用被管理設(shè)備的員工。對(duì)于使用自有設(shè)備（如

BYOD、移動(dòng)設(shè)備）的員工以及第三方合作伙伴，需要尋找一種無客戶端架構(gòu)，以實(shí)現(xiàn)對(duì)目標(biāo)資源的安全訪問，而無需安裝和管理代理。為了創(chuàng)造良好的用戶體驗(yàn)，應(yīng)確保訪問簡單且直觀。購買指南：零信任網(wǎng)絡(luò)訪問111據(jù)庫等私有資源?；镜?/p>

PAM工具可能包括

SSH密鑰管理、憑據(jù)保管和務(wù)必要考慮工程團(tuán)隊(duì)和

DevOps團(tuán)隊(duì)的基本特權(quán)訪問管理

(PAM)需求。他們需要訪問多云環(huán)境，并通過單點(diǎn)登錄

(SSO)訪問服務(wù)器、終端和數(shù)用戶會(huì)話記錄。[ZTNA]

基于人員及其設(shè)備的身份以及其他屬性和情景（如時(shí)間/日期、地理位置和設(shè)備安全態(tài)勢(shì)等）授予訪問權(quán)限，并自適應(yīng)地提供當(dāng)時(shí)所需的適當(dāng)信任。Gartner

零信任網(wǎng)絡(luò)訪問市場(chǎng)指南11

Gartner，零信任網(wǎng)絡(luò)訪問市場(chǎng)指南，作者：AaronMcQuaid、NeilMacDonald、JohnWatts、ShilpiHanda。Gartner是

Gartner,Inc.和/或其關(guān)聯(lián)機(jī)構(gòu)的美國和國際注冊(cè)商標(biāo)，經(jīng)許可在本文中使用。保留所有權(quán)利。提示可以考慮在特定用例中試用

ZTNA

解決方案，例如第三方合作伙伴訪問特定門戶或

DevOps

訪問多云環(huán)境。購買指南：零信任網(wǎng)絡(luò)訪問12確保支持所有目標(biāo)資源確保

ZTNA

解決方案支持組織的所有關(guān)鍵應(yīng)用程序和資源。在啟用零信任

(ZT)遠(yuǎn)程訪問時(shí)，支持Web應(yīng)用程序通常輕而易舉。不過，大多數(shù)組織還需要支持對(duì)

SSH終端、SQL數(shù)據(jù)庫、遠(yuǎn)程桌面

(RDP)和服務(wù)器的

ZT訪問，這通常依賴于使用特定協(xié)議的專用反向代理來進(jìn)行第

7層應(yīng)用程序級(jí)訪問。DevOps團(tuán)隊(duì)和工程團(tuán)隊(duì)需要對(duì)基礎(chǔ)設(shè)施即服務(wù)

(IaaS)產(chǎn)品、云生產(chǎn)環(huán)境、微服務(wù)和虛擬私有云的

ZT訪問。如果組織依賴使用非標(biāo)準(zhǔn)協(xié)議的內(nèi)部應(yīng)用程序或舊環(huán)境，則需要第

3層網(wǎng)絡(luò)級(jí)訪問或

VPN即服務(wù)

(VPNaaS)功能。提示一些

ZTNA

供應(yīng)商選擇將其開發(fā)重點(diǎn)放在只支持

Web

應(yīng)用程序協(xié)議

(HTTP/HTTPS)

上。事實(shí)證明，將

ZTNA

服務(wù)與舊應(yīng)用程序及協(xié)議結(jié)合可能會(huì)給供應(yīng)商開發(fā)和客戶部署帶來更大的技術(shù)挑戰(zhàn)。?詢問該解決方案具體如何支持高優(yōu)先級(jí)私有應(yīng)用程序。?供應(yīng)商對(duì)于支持低優(yōu)先級(jí)應(yīng)用程序（如本地?cái)?shù)據(jù)中心資源、IaaS或虛擬私有云）提出何種建議？Gartner《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》13購買指南：零信任網(wǎng)絡(luò)訪問確?？焖偻茝V和實(shí)現(xiàn)價(jià)值Gartner指出：“組織將替換

VPN作為評(píng)估

ZTNA

產(chǎn)品和服務(wù)的主要?jiǎng)訖C(jī)，但發(fā)現(xiàn)這樣做的理由是為了降低風(fēng)險(xiǎn)，而不是任何成本節(jié)約?！憋@著降低風(fēng)險(xiǎn)意義非凡，但對(duì)安全和

IT團(tuán)隊(duì)而言，快速部署也是如此。您應(yīng)要求供應(yīng)商提供特定功能，如能與您組織的身份提供程序

(IdP)進(jìn)行開箱即用的集成，或驗(yàn)證對(duì)

SAML2.0或

SCIM等身份集成標(biāo)準(zhǔn)的支持。直觀、精細(xì)的策略配置可使所有團(tuán)隊(duì)成員快速提高工作效率，而不需要進(jìn)行大量的培訓(xùn)。如何在

15

分鐘內(nèi)部署無客戶端

ZTNA

是快速實(shí)現(xiàn)價(jià)值的示例之一，請(qǐng)點(diǎn)擊觀看。1提示????詢問部署所需的時(shí)間長度。詢問如何定義和實(shí)施新策略。詢問需要多少個(gè)控制臺(tái)。是否需要任何額外的硬件或軟件？14確保操作簡便由于

IT和安全人才短缺，必須選擇能夠以最少的維護(hù)提供最大的價(jià)值且無需招募額外的人員的

ZTNA

解決方案。通過選擇可為團(tuán)隊(duì)創(chuàng)造順暢無縫體驗(yàn)的策略和服務(wù)，確保高效管理。具有統(tǒng)一控制臺(tái)的基于云的解決方案簡單易用，并提供跨所有

ZTNA用例的可見性，使團(tuán)隊(duì)無需經(jīng)過大量培訓(xùn)或?qū)W習(xí)就可以快速提高工作效率?；谠频?/p>

ZTNA服務(wù)不需要維護(hù)硬件和軟件。內(nèi)部團(tuán)隊(duì)無需管理備份、復(fù)原、災(zāi)難恢復(fù)和高可用性資源，即可實(shí)現(xiàn)業(yè)務(wù)彈性。提示對(duì)于基于云的

ZTNA產(chǎn)品，可擴(kuò)展性和易于采用是額外的優(yōu)勢(shì)。要求演示管理控制臺(tái)以及實(shí)施?策略和監(jiān)控用戶活動(dòng)的難易程度。Gartner《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》?詢問其他客戶取得的實(shí)際效果或?yàn)g覽客戶評(píng)論。購買指南：零信任網(wǎng)絡(luò)訪問15確保高性能和服務(wù)可用性尋找在每個(gè)區(qū)域都提供冗余的全球入網(wǎng)點(diǎn)

(PoP)網(wǎng)絡(luò)。基于位置的路由可無論是確保都市區(qū)還是世界各地用戶的安全訪問，ZTNA服務(wù)都必須基于服務(wù)級(jí)別協(xié)議

(SLA)，提供接近

99.999%的正常運(yùn)行時(shí)間和高性能。審查供應(yīng)商的

SLA，如果該組織跨時(shí)區(qū)或跨大洲運(yùn)營，則更應(yīng)如此。加快用戶的連接速度，確保應(yīng)用程序的高性能。設(shè)計(jì)精良的

ZTNA服務(wù)包含物理和地理冗余，有多個(gè)入口點(diǎn)和出口點(diǎn)，以最大限度降低中斷影響整體可用性的幾率。此外，從供應(yīng)商的SLA（或缺少

SLA）可以了解他們認(rèn)為自己產(chǎn)品的功能有多強(qiáng)大。優(yōu)先選擇擁有

SLA的供應(yīng)商，以最大限度減少業(yè)務(wù)中斷Gartner《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》提示??詢問

SLA

關(guān)于服務(wù)可用性和更新的保證。量化預(yù)期的延遲，確定對(duì)應(yīng)用性能的任何潛在影響。??確保該服務(wù)在總部、分支機(jī)構(gòu)、制造設(shè)施、零售商店和其他入網(wǎng)點(diǎn)附近有可用區(qū)。確定為了滿足您的合規(guī)要求需要哪些行業(yè)審計(jì)和認(rèn)證（如

SOC

2

認(rèn)證），以及供應(yīng)商是否符合條件。購買指南：零信任網(wǎng)絡(luò)訪問16確保提供可靠的零信任安全在最低特權(quán)訪問模式中，只授予用戶、應(yīng)用程序和設(shè)備執(zhí)行其工作或?qū)崿F(xiàn)其功能所需的最低級(jí)別訪問權(quán)限。這有助于在攻擊者成功攻破防御的情況下限制橫向移動(dòng)。為了對(duì)不受管理設(shè)備應(yīng)用零信任原則和方法，需要尋找將控制平面與數(shù)據(jù)平面分離的

ZTNA解決方案，以實(shí)現(xiàn)對(duì)應(yīng)用程序和其他資源的真正最低特權(quán)訪問。在用戶通過情景身份驗(yàn)證之前，應(yīng)將應(yīng)用程序隱藏起來，以防止惡意內(nèi)部威脅或遭入侵的帳戶帶來橫向移動(dòng)攻擊。此外，還應(yīng)對(duì)公共互聯(lián)網(wǎng)隱藏應(yīng)用程序，以防止攻擊者入侵企業(yè)資源。為了對(duì)受管理設(shè)備應(yīng)用零信任原則和方法，需要尋找能夠提供額外安全情景的

ZTNA解決方案，例如用于檢查網(wǎng)絡(luò)安全潔凈度的設(shè)備安全態(tài)勢(shì)檢查，如公司域成員身份以及是否安裝了最新的防病毒軟件。Gartner指出：“正如

Gartner的持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估

(CARTA)框架中所述，理想狀態(tài)下，應(yīng)持續(xù)監(jiān)控用戶和設(shè)備的行為，以發(fā)現(xiàn)異?；顒?dòng)?！睂ふ夷軌虺掷m(xù)監(jiān)控設(shè)備運(yùn)行狀況、用戶活動(dòng)、數(shù)據(jù)訪問等因素的零信任解決方案。此外，還應(yīng)能夠?qū)崟r(shí)實(shí)施策略更改。購買指南：零信任網(wǎng)絡(luò)訪問117與傳統(tǒng)

VPN解決方案相比，ZTNA解決方案可提供更具深度的可見性和更好的控制。尋找能夠提供精細(xì)應(yīng)用程序內(nèi)控制（例如只讀和寫入權(quán)限，以及支持命令和查詢級(jí)別的策略）的解決方案。如果解決方案能夠通過訪問視頻會(huì)話記錄來報(bào)告組、用戶和應(yīng)用程序的使用情況，則可以提供深度可見性，并使團(tuán)隊(duì)能夠快速調(diào)整策略或采取其他適當(dāng)?shù)拇胧?。提示可提供其他?qiáng)大安全功能的

ZTNA解決方案有助于提高整體的安全有效性。檢查解決方案是否提供集成的高級(jí)沙盒和云入侵防護(hù)系統(tǒng)

(IPS)等功能，這些功能可用于檢測(cè)和防范對(duì)已知漏洞和暴露的攻擊。集成的云數(shù)據(jù)丟失防護(hù)

(DLP)功能允許組織定義哪些數(shù)據(jù)是敏感數(shù)據(jù)，并防止敏感數(shù)據(jù)泄露到社交媒體、互聯(lián)網(wǎng)和Web應(yīng)用程序中。???詢問該解決方案具體如何確保最低特權(quán)訪問。詢問該服務(wù)如何防范威脅和保護(hù)敏感數(shù)據(jù)。該解決方案是否提供應(yīng)用程序內(nèi)控制，如讀/寫權(quán)限或者命令和查詢級(jí)別策略？??該解決方案是否提供精細(xì)的審計(jì)跟蹤？是否支持視頻會(huì)話記錄？購買指南：零信任網(wǎng)絡(luò)訪問18屬于面向未來的安全服務(wù)邊緣的一部分組織在轉(zhuǎn)向

ZTNA策略的過程中，應(yīng)考慮如何將他其

ZTNA解決方案擴(kuò)展到其他用例。例如，該解決方案能否確保分支機(jī)構(gòu)的安全訪問？能否為遠(yuǎn)程用戶提供安全的互聯(lián)網(wǎng)訪問？除了私有應(yīng)用程序外，能否確保對(duì)

Web應(yīng)用程序和SaaS應(yīng)用程序的安全訪問？展望未來，確保遠(yuǎn)程

ZTNA的安全是實(shí)現(xiàn)更大的零信任安全架構(gòu)的關(guān)鍵一步。面對(duì)簡化管理和整合單點(diǎn)產(chǎn)品的需求，安全服務(wù)邊緣

(SSE)的概念越來越受歡迎。該方法催生了面向未來、由單一供應(yīng)商提供且基于云的可擴(kuò)展解決方案，這些解決方案采用了一系列以往被視為獨(dú)立解決方案的技術(shù)。此類技術(shù)包括安全

Web網(wǎng)關(guān)

(SWG)、ZTNA和云訪問安全代理

(CASB)技術(shù)。市場(chǎng)越來越趨向于在大多數(shù)部署中采用基于

SSE

代理的架構(gòu)。我們還看到，在不受管理設(shè)備和/或第三方訪問用例中，對(duì)無代理部署的需求也在增加。安全和風(fēng)險(xiǎn)管理負(fù)責(zé)人需要確保所選的供應(yīng)商支持這兩種方法，以滿足最常見用例的要求。Gartner《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》提示詢問該解決方案是否包含于更廣泛的

SSE

產(chǎn)品和服務(wù)中。圖

3：采用零信任的核心網(wǎng)絡(luò)安全服務(wù)

-

Harmony

Connect購買指南：零信任網(wǎng)絡(luò)訪問19CHECK

POINT

如何提供幫助探索

Harmony

Connect?基于客戶端的網(wǎng)絡(luò)級(jí)訪問：這是一種

VPN即服務(wù)方案，利用了第

3層網(wǎng)絡(luò)連接的強(qiáng)大功能，此類連接受到

CheckPoint的零信任訪問策略保護(hù)。它非常適合用于保護(hù)員工使用受管理設(shè)備進(jìn)行的訪問。這一基于客戶端的方案在支持應(yīng)用程序和協(xié)議方面具有出色的通用性，它包含嵌入式云

DLP和行業(yè)領(lǐng)先的

IPS，可保護(hù)應(yīng)用程序免遭

Log4J等最新漏洞的攻擊。CheckPointHarmonyConnect提供

100%基于云的

SSE解決方案，涵蓋ZTNA、VPN即服務(wù)、安全

Web網(wǎng)關(guān)、SaaS安全和分支機(jī)構(gòu)防火墻即服務(wù)(FWaaS)。HarmonyConnect重新定義了

SSE，方便任何用戶或分支機(jī)構(gòu)隨時(shí)隨地從任何設(shè)備安全地連接到企業(yè)應(yīng)用程序、SaaS和互聯(lián)網(wǎng)。Harmony

Connect

遠(yuǎn)程訪問

—

實(shí)現(xiàn)專屬

ZTNAHarmonyConnect遠(yuǎn)程訪問只需

15分鐘即可部署完畢，并實(shí)施以身份為中心的零信任訪問策略，以保護(hù)駐留在數(shù)據(jù)中心、IaaS、公有云或私有云中的任何內(nèi)部企業(yè)應(yīng)用程序。HarmonyConnect

可與企業(yè)身份提供程序集成，通過單點(diǎn)登錄和多因素身份驗(yàn)證確保用戶訪問安全，并通過其設(shè)備安全態(tài)勢(shì)驗(yàn)證提供額外的安全保證。該服務(wù)有兩種類型，可以通過同一控制臺(tái)同時(shí)部署，以適應(yīng)不同的用例和角色。這些包括：?無客戶端應(yīng)用程序級(jí)訪問：該方案將直觀的

ZTNA應(yīng)用于

Web應(yīng)用程序、數(shù)據(jù)庫、遠(yuǎn)程桌面和

SSH服務(wù)器，并在云端使用應(yīng)用程級(jí)（第

7層）反向代理實(shí)現(xiàn)精細(xì)的應(yīng)用程序內(nèi)控制。由于不需要代理，它非常適合用于保護(hù)員工自有設(shè)備和第三方合作伙伴遠(yuǎn)程訪問的安全。該方案還可以確保工程團(tuán)隊(duì)和

DevOps團(tuán)隊(duì)的安全訪問，這些團(tuán)隊(duì)需要豐富的云原生自動(dòng)化功能，以及適用于多云和私有服務(wù)器的基本

PAM工具。購買指南：零信任網(wǎng)絡(luò)訪問20為什么選擇

Harmony

Connect

遠(yuǎn)程訪問30年來，CheckPoint一直在其解決方案應(yīng)用零信任原則。因此，CheckPointHarmony遠(yuǎn)程訪問可提供比任何其他遠(yuǎn)程訪問解決方案更深層次的零信任功能和更好的控制，為管理員和最終用戶帶來輕松的用戶體驗(yàn)：強(qiáng)大的

ZTNA

平臺(tái)獨(dú)特的無客戶端

ZTNA

體驗(yàn)100%基于云的簡單部署無客戶端訪問，無需代理可以選擇應(yīng)用程序級(jí)或網(wǎng)絡(luò)級(jí)訪問通用

RDP訪問命令和查詢級(jí)別的精細(xì)應(yīng)用程序內(nèi)控制通過單一客戶端對(duì)互聯(lián)網(wǎng)和私有訪問進(jìn)行統(tǒng)一管理適用于多云和私有服務(wù)器的提供

VPN即服務(wù)，包含嵌入式云

DLP和云

IPSPAM即服務(wù)簡單的全包定價(jià)，總擁有成本可選視頻記錄