什么是 VPN?
VPN 是一种技术,旨在通过互联网在用户设备和网络之间建立安全的加密连接。VPN 数据安全的基础是为跨设备和网络传输的数据创建加密隧道。
VPN 最初是微软公司在 20 世纪 90 年代推出PPTP(点对点隧道协议)时开发的。随着互联网的发展和网络攻击的日益复杂化,VPN 在企业和个人中的使用也越来越多。 它是各种企业应用中不可或缺的解决方案,包括对内部资源进行安全的远程访问、将分支机构与总部连接起来,以及在商务旅行中加强隐私保护。
VPN 如何工作?
VPN 首先要验证用户身份,通常使用密码或双因素验证。然后,VPN 客户端和服务器进行握手,这是一个使用 VPN 协议(如 L2TP、IKEv2 或 OpenVPN)确认数据加密和解密方法的过程。在会话过程中,数据包被封装并在可能不安全的网络中安全传输。
VPN 有两种主要类型:远程接入和站点到站点。远程访问网络用于个人连接远程网络。站点到站点网络通过在多个地点之间建立安全的加密连接,将整个网络连接在一起。
VPN 允许经过验证的用户访问整个网络。这种方法有其缺点,因为它增加了威胁行为者可利用的攻击面,这导致许多组织寻求限制性更强的解决方案,以提供对其网络的安全访问。
什么是 ZTNA?
ZTNA 是一种基于零信任原则的现代网络访问安全解决方案。在 ZTNA 网络中,默认情况下连接的设备不受信任。除了被授权连接的资源外,它无法知道其他资源,如应用程序和服务器。ZTNA 中的用户访问权限是在根据身份、设备状态和合规性评估每台设备的安全状态后授予的。
随着 ZTNA 越来越受欢迎,它已被企业采纳为在基于云的环境中管理安全访问的强大解决方案。它的有条件访问无需通过中央网络路由数据,这使其成为拥有分布式团队的企业的有利解决方案。
ZTNA 如何工作?
ZTNA 的安全模型建立在网络周边内外都不信任的基础上。在允许访问特定资源之前,它会逐个验证每个用户和设备。这一过程包括验证用户身份和评估设备的安全状况,以确保只允许符合要求的授权设备访问。
每次访问时,ZTNA 都会持续应用上下文安全检查,例如评估位置、设备健康状况和其他风险指标。用户验证采用多种技术,包括MFA(多因素验证)和 IAM(身份和访问管理)。它还通过各种方法进一步评估设备安全性,如检查恶意软件、确认最近的安全更新并确保端点保护处于激活状态。
通过采用最小权限原则,ZTNA 只允许访问每个会话所需的资源。这与授予整个网段访问权限的 VPN 形成鲜明对比,后者可能会向用户暴露非必要的应用程序和数据。
ZTNA 解决方案的优势
安全福利
ZTNA 只允许访问必要的资源,从而减少了攻击面。如果出现安全漏洞,其策略会限制对手的横向移动。
改善用户体验
用户从自己的设备通过 ZTNA 安全访问应用程序,只需进行最少的配置,无需依赖特定软件。除了 ZTNA 的上下文安全检查带来的安全优势外,它还不需要用户对每个应用程序进行单独的重新认证。
可扩展性
ZTNA 的设计非常适合云和混合环境,使管理员更容易添加或删除应用程序以及修改用户的访问权限。
性能
用户直接连接到应用程序,无需路由到中央服务器,从而降低了延迟,提高了性能。这种方法避免了 VPN 解决方案在高网络流量情况下偶尔出现的瓶颈。
强化控制
对每个用户连接的细粒度访问控制保证了每个用户可以访问哪些资源。
ZTNA 与 VPN:比较
安全模式
- VPN:用户只需验证一次,然后建立全网信任。
- ZTNA:每个会话都需要验证,重点是对用户和设备进行持续的上下文验证。
粒度访问控制
- VPN:连接在验证用户身份后允许访问整个网络,增加了攻击面和数据泄露的风险。
- ZTNA:根据上下文安全策略,提供对特定应用程序或资源的细粒度访问。
性能和可扩展性
- VPN:在大量数据传输和同时连接的用户增加时,用户可能会感到性能降低。它通过多个服务器将数据路由到数据中心的一个中心点,因此很难与云环境一起扩展。
- ZTNA:其直接面向应用的方法无需集中连接,性能更好,因此更适合在云环境中扩展。
用户体验
- VPN要求最终用户在本地计算机上安装客户端软件。对许多用户来说,安装和配置 VPN 客户端可能具有挑战性。此外,在网络流量大的时候,较慢的连接速度也会让人感到沮丧,降低工作效率。
- ZTNA:它的大部分复杂性都与初始设置有关,而初始设置则由 IT 和云计算专业人员负责。在用户层面,一旦终端用户通过身份验证,连接就会变得非常顺畅,从而更快、更无缝地访问必要的应用程序。
远程工作人员的适应性
- VPN:对于从多个地点连接到公司网络的动态、可扩展的远程员工来说,广泛的公司资源访问可能并不适合。
- ZTNA:适用于确保远程员工的访问安全,无需安装客户端应用程序,只允许访问必要的资源。
企业的主要考虑因素
可扩展性
对可扩展性有持续需求的业务环境,如 SaaS、金融科技和人工智能服务,可能会发现 ZTNA 更为适合,因为它能够与云环境一起扩展。VPN 会给这些环境带来更多挑战,因为它们需要具有不同技能组合的专家进行持续维护和管理。
安全
由于 ZTNA 可最大限度地减少网络内的横向移动,因此是加强 BYOD 政策和支持第三方访问的系统的首选解决方案。然而,由于 ZTNA 解决方案的新颖性,它们可能缺乏对传统系统的支持。在这种情况下,VPN 更有利于确保传统应用程序的访问安全。
性能
对于团队分布在不同地理位置的企业来说,ZTNA 是一个有利的解决方案。就零信任网络访问与 VPN 相比,其分散的直接访问模式可降低延迟并消除瓶颈。
现有基础设施
一些组织由于特定的合规要求或业务模式,对内部基础设施进行了大量投资。这种投资使得采用 VPN 解决方案变得更容易,因为运行和维护 VPN 所需的基础设施将由组织内部控制。
结论
远程员工和分布式团队的迅速增加促使企业考虑提高远程访问的安全性。ZTNA(零信任网络访问)和 VPN 是两种最流行的远程安全访问解决方案。通过了解组织的需求和每种解决方案的工作原理,您可以做出明智的决定,在组织内采用哪种解决方案。
MetaDefender IT Access™是 MetaDefender® Access Platform 的Secure 访问模块,可确保从任何设备访问云和传统应用程序的安全性。通过与 SAML IdP 集成的Secure Cloud 访问和软件 定义边界SDP),您的网络可以遵守法规,利用最小特权模式,并减少网络攻击面。了解MetaDefender IT Access 如何提高可视性并防止未经授权的网络访问。