ZTNA
ZTNA 是什么?
ZTNAZTNA 是一种模型,仅在持续校验身份、设备和上下文之后,才授予用户对特定私有应用的访问权限,默认不提供任何网络层访问。
零信任网络访问(ZTNA)以按应用代理的方式取代传统进入企业网络的 VPN 隧道。信任代理通过企业 IdP 与 MFA 对用户进行身份验证,评估设备姿态,结合地理位置和风险等上下文,然后只代理被允许的应用会话。用户始终看不到底层网络,即使终端被攻破也无法在网络中横向移动。ZTNA 是 SSE 与 SASE 产品的核心组成部分,通常与身份治理、EDR 和持续访问评估一起部署,以落地零信任的最小权限、显式授权原则。
● 示例
- 01
外部承包商在通过 MFA 与设备姿态检查后,经 ZTNA 代理只能访问工单系统。
- 02
用 ZTNA 代理替换站点到站点 VPN,只发布选定的内部应用。
● 常见问题
ZTNA 是什么?
ZTNA 是一种模型,仅在持续校验身份、设备和上下文之后,才授予用户对特定私有应用的访问权限,默认不提供任何网络层访问。 它属于网络安全的 网络安全 分类。
ZTNA 是什么意思?
ZTNA 是一种模型,仅在持续校验身份、设备和上下文之后,才授予用户对特定私有应用的访问权限,默认不提供任何网络层访问。
ZTNA 是如何工作的?
零信任网络访问(ZTNA)以按应用代理的方式取代传统进入企业网络的 VPN 隧道。信任代理通过企业 IdP 与 MFA 对用户进行身份验证,评估设备姿态,结合地理位置和风险等上下文,然后只代理被允许的应用会话。用户始终看不到底层网络,即使终端被攻破也无法在网络中横向移动。ZTNA 是 SSE 与 SASE 产品的核心组成部分,通常与身份治理、EDR 和持续访问评估一起部署,以落地零信任的最小权限、显式授权原则。
如何防御 ZTNA?
针对 ZTNA 的防御通常结合技术控制与运营实践,详见上方完整定义。
ZTNA 还有哪些其他名称?
常见的别称包括: 零信任网络访问, 软件定义边界(SDP)。
● 相关术语
- network-security№ 1086
SSE
SSE 是 SASE 中的安全部分,即云交付的 SWG、CASB、ZTNA 组合,通常还包括 DLP 与 FWaaS,用于保护用户到互联网、SaaS 与私有应用的流量。
- network-security№ 969
SASE
SASE 是 Gartner 于 2019 年提出的云交付架构,在网络边缘将 SD-WAN 与 SWG、CASB、ZTNA、FWaaS 等安全服务融合在一起。
- network-security№ 1119
SWG
安全 Web 网关(SWG)是部署在本地或云端的代理,负责检查用户的 Web 流量,强制执行可接受使用策略,并阻断恶意软件、钓鱼与数据外泄。
- identity-access№ 510
身份与访问管理 (IAM)
用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。