零信任网络访问 (ZTNA) 是一种基于一个简单而强大的理念的安全模型:'永不信任,始终验证'。它抛弃了旧有的思维模式,即假设网络内部的任何事物都是安全的。相反,ZTNA 将每一次访问网络的尝试都视为潜在威胁,要求每次都进行严格验证。
抛弃堡垒:为什么旧的安全模型已经失效
数十年来,我们一直依赖“城堡与护城河”的安全方法。我们用防火墙和 VPN 构建了坚固的边界,假设只要挡住了坏人,内部的所有人都可以信任。一旦您通过了大门,就有了相对自由的行动权限。
但那个模型已经完全过时了。我们的工作方式已经打破了传统的网络边界。想一想:
- 混合和远程办公:我们的团队从家庭办公室、咖啡店和酒店连接。网络中安全“内部”的概念已经消失。
- 云应用:关键业务工具和数据不再存在于单一的服务器机房中。它们分布在无数云服务上。
- 多样设备:人们不仅从公司笔记本电脑登录,还从个人手机和平板电脑登录。
当您的员工和数据无处不在时,城堡与护城河的方法根本行不通。它最大的缺陷是假设一旦有人通过了大门(可能是使用偷来的密码),他们就值得信任。实际上,真正的破坏就在这时开始,因为他们可以自由地在内部网络中移动。
新理念:从位置到身份
零信任彻底颠覆了这种旧模式。它完全放弃了受信任网络的概念,而是完全专注于验证每个请求的身份和上下文。它是任何有效的 网络保护与安全 现代策略的核心组成部分。
想象一下,从城堡的唯一吊桥升级到高度安全的政府大楼。在那栋大楼里,您需要在前门、电梯以及您想要进入的每一间办公室门口出示身份证。已经在大楼里并不重要;每个新区域都需要新的、特定的权限。这就是 ZTNA 的精髓。
下面的表格清楚地说明了这两种理念之间的区别。
传统安全与零信任网络访问
| 安全方面 | 传统 VPN/防火墙模型 | 零信任网络访问 (ZTNA) 模型 |
|---|---|---|
| 核心理念 | 信任但验证。假设网络内部的用户和设备是安全的。 | 永不信任,始终验证。假设所有访问请求都是敌对的,直到证明并非如此。 |
| 主要防御 | 强大的网络边界(防火墙、VPN)。 | 对每个访问请求进行身份和设备验证。 |
| 访问级别 | 广泛的网络访问。一旦进入,用户通常可以查看并穿越整个网络。 | “最小权限”访问。用户只能访问其需要的特定应用程序,且仅限该会话。 |
| 攻击面 | 大。单个凭据或设备被入侵就可能暴露整个网络。 | 最小。攻击者访问一个应用程序后无法横向移动到其他应用程序。 |
| 关注点 | 保护网络边界。 | 保护各个应用程序和资源,无论其位置如何。 |
| 用户体验 | 通常笨拙,VPN 连接缓慢且登录程序复杂。 | 无缝且无密码。根据验证的身份和设备健康状况,无形地授予访问权限。 |
如您所见,ZTNA 不仅仅是渐进式改进;它是我们处理安全方式的根本性转变。
这一转变正在进行中。最近的研究表明,英国的 ZTNA 采用正达到一个临界点,81% 的组织计划在未来 12 个月内推出零信任策略。尽管绝大多数 96% 的企业同意这一理念,但实际实施仍然是一个挑战。对于那些成功实施的企业来说,回报是巨大的,因为 76% 的企业报告安全性和合规性得到了改善,这是主要的好处。
最终,ZTNA 创建了一个更具弹性的安全姿态。通过基于每个会话、每个应用程序授予访问权限,它大幅缩小了攻击面,并阻止潜在的入侵。它不再只是一个流行语,而是任何认真保护其关键资产的组织的基本策略。
零信任架构的核心原则
在我们深入细节之前,理解零信任网络访问的真正含义至关重要。它不是您可以购买并安装的单一产品。它是安全理念的彻底转变,建立在挑战旧有做事方式的三个核心支柱之上。
可以将其视为从默认信任状态转变为健康的怀疑态度。采用这种思维方式意味着将这些原则视为一种新的安全文化,而不仅仅是一套技术规则。每一个原则都旨在修补过时的“城堡与护城河”安全模型中的特定漏洞,构建起更加坚固的防御。
显式验证
首要且最重要的原则是显式验证。这意味着您必须对每一个访问请求、每一次都进行身份验证和授权,无一例外。在零信任世界中,没有受信任的区域、没有受信任的用户,也没有受信任的设备。在证明并非如此之前,所有事物和每个人都是潜在威胁。
这就像一个银行金库,要求提供多种身份证明才能进入。无论您是分行经理还是已工作20年的员工。每次您想要访问时,都必须通过完整的安全检查。没有例外。
这种验证不仅仅涉及用户名和密码。ZTNA 会查看一系列信号来做出智能决策,包括:
- 用户身份:此人是否如其声称?通常通过多因素身份验证 (MFA) 进行确认。
- 设备健康状况:他们使用的笔记本电脑或手机是否安全?系统检查最新的防病毒软件、操作系统补丁以及任何危险信号。
- 位置:连接来自预期位置,还是某个不寻常且可能存在风险的地方?
- 请求的服务:他们试图访问什么特定的应用程序或数据?
通过实时收集和分析这些数据点,系统做出智能的一次性访问决策。这种不懈的、持续的验证是零信任策略背后的真正引擎。
使用最小权限访问
第二个支柱是使用最小权限访问。这是一种实践,即授予用户、设备和应用程序完成工作所需的最低限度的访问权限,不再多给。这一原则的力量在于,如果某个账户或设备被入侵,它能极大地限制影响范围。
想象一下,给油漆工一张钥匙卡,这张卡只能打开他们正在工作的特定房间,并且只在上午9点到下午5点之间有效。他们不能在大楼里闲逛,不能进入服务器机房,当然也不能进入高管楼层。这就是最小权限的实际应用。它通过设计来遏制威胁。
通过强制执行最小权限,您可以确保即使攻击者获得立足点,他们在您的网络中横向移动的能力也会受到严重限制。例如,一个被入侵的营销账户将无法访问财务或工程系统。
实现这一目标需要详细了解您的网络以及不同角色实际需要访问什么。如需深入了解,您可能会发现我们关于 有效的网络访问控制解决方案 的指南很有帮助。它提供了更多关于构建能够有效遏制威胁的访问策略的见解。
假设入侵
最后一个原则是假设入侵。这听起来可能有点悲观,但实际上,它是一种极其有效的安全思维方式。这意味着您在设计、运行网络时,要假设攻击者已经潜入,或者入侵只是“何时”发生而非“是否”发生的问题。
这种思维方式完全改变了您的优先事项。它将您的注意力从全力构建更强的边界,转移到被迫从内而外构建防御。如果您假设攻击者已潜伏,自然就会专注于最大限度地减少其潜在影响并尽快检测到他们。
基于这种假设,直接导出了几项关键的安全实践:
- 微隔离:将网络切割成微小的隔离区域,阻止攻击者自由地从一个部分移动到另一个部分。
- 端到端加密:加密所有网络流量,即使是发生在您内部网络中的通信,以保护传输中的数据。
- 持续监控:在整个网络中主动搜寻可疑活动、异常行为以及其他潜在威胁的迹象。
通过构建一个入侵既可遏制又高度可见的系统,您就从被动安全态势转向了主动安全态势。这三大支柱——显式验证、授予最小权限和假设入侵——是任何现代、有效的零信任架构不可动摇的基础。
超越 VPN,迈向卓越的 ZTNA 解决方案
长期以来,虚拟专用网络 (VPN) 一直是远程访问的首选工具。它就像一个数字吊桥,创建了一条从用户设备直达企业城堡的安全加密隧道。当每个人都在中央办公室工作时,这种模式运作良好。
但如今,这种模式已显得过时。随着向混合办公和云应用的大规模转变,旧吊桥不仅效率低下,更是一个明显的安全风险。一旦用户通过 VPN 连接,他们实际上就处于网络内部,往往拥有危险的广泛访问权限。
传统 VPN 的关键缺陷
VPN 建立在过时的隐性信任思想之上。它们在保护用户到网络边缘的连接方面做得很好,但一旦建立连接,它们的工作就基本完成了。对于现代组织而言,这带来了一些严重的麻烦。
最大的问题是它们打开了巨大的攻击面。VPN 连接不仅仅授予用户所需的一个应用程序的访问权限,而是授予对整个网段的访问权限。如果攻击者设法入侵了用户的登录凭据,他们就可以利用 VPN 访问权限在网络中横向移动,寻找易受攻击的系统和有价值的数据。
这种横向移动的概念是现代网络攻击设计用来利用的一个关键弱点。VPN 连接就像给攻击者一把整层办公楼的总钥匙,而他们真正需要的只是访问一个文件柜。
除了安全漏洞,VPN 还因糟糕的用户体验而臭名昭著。它们可能慢得令人痛苦,迫使所有流量通过一个中心点,造成令人沮丧的瓶颈。这通常导致员工试图完全绕过 VPN,从而造成更多安全漏洞。
ZTNA 如何提供更优的替代方案
这就是零信任网络访问 (ZTNA) 彻底改变游戏规则的地方。ZTNA 不是给予用户广泛的网络访问权限,而是基于最小权限原则运行。它按会话、按应用程序授予访问权限,并使得底层网络对用户完全不可见。
可以这样想:
- VPN 给您一把整栋楼的钥匙。您可以看到每扇门并尝试打开每一扇。
- ZTNA 则像私人礼宾。您告诉礼宾您需要访问营销部门的文件服务器,他们会直接护送您到那个特定服务器的门口,而不去其他地方。您甚至看不到财务或人力资源部门的门。
这种方法直接解决了 VPN 的弱点。因为用户只连接到他们被授权使用的特定应用程序,横向移动的风险几乎被消除了。入侵账户的攻击者无法探索网络,因为从他们的角度看,没有网络可探索。
ZTNA 与 VPN 正面比较
当您将它们并排比较时,差异更加明显。虽然两者都试图提供安全访问,但它们的方法和产生的结果却天差地别。
| 特性 | 传统 VPN | 零信任网络访问 (ZTNA) |
|---|---|---|
| 访问模式 | 授予对整个网络的广泛访问。 | 仅授予对特定应用程序的细粒度访问。 |
| 安全原则 | 一旦用户通过身份验证并进入边界,就信任他们。 | 从不信任,始终验证每个访问请求。 |
| 攻击面 | 大;单个被入侵的账户可能暴露整个网络。 | 最小;入侵被限制在单个应用程序内。 |
| 用户体验 | 通常缓慢笨拙,需要手动连接。 | 无缝透明,性能更快。 |
| 可见性 | 一旦连接,用户对全网可见。 | 使应用程序和网络对用户不可见。 |
对于任何有远见的组织,选择是明确的。摆脱 VPN 的局限性并采用零信任网络访问模型不仅仅是一次升级;这是应对现代威胁、同时提高性能和用户满意度的必要演进。ZTNA 只是提供了一种更智能、更安全、更高效的方式,将您的分布式员工与他们所需的资源连接起来。
Purple 如何提供证书级别的零信任 WiFi 访问
谈论零信任的理论是一回事,但实际将其应用于企业 WiFi 网络可能感觉是一项巨大的工程。显式验证和最小权限访问的概念非常有道理,但如何将其转化到拥有数百个用户和设备的繁忙网络中呢?
这就是实用的、以身份为先的方法发挥作用的地方。Purple 帮助您摆脱不安全的共享密码和笨重的 captive portals ,为您的 WiFi 实施真正的零信任网络访问 (ZTNA) 模型。这是关于在不给用户带来麻烦的情况下获得现代、自动化的安全。
通过身份自动化安全访问
Purple 的方法从直接连接组织的唯一真实来源开始:其身份提供商 (IdP)。通过与 Microsoft Entra ID、Google Workspace 和 Okta 等平台集成,我们确保 WiFi 访问直接与用户的验证身份绑定。
这种集成使得在您的无线网络上实现零信任自动化成为可能。当新员工被添加到您的 IdP 时,Purple 会自动配置他们的安全 WiFi 访问。同样重要的是,当他们离职且账户被停用时,他们的网络访问权限会立即被撤销。无需手动清理,没有延迟,也没有因遗忘凭据而带来的暴露风险。
证书级别的无密码连接
对您的用户来说,最显著的变化是切换到证书级别的无密码访问。这完全省去了任何人输入 WiFi 密码的需要——这个过程不仅烦人,而且是一个主要的安全盲点。
每个用户和设备都拥有自己唯一的数字证书,而不是可能泄露或被网络钓鱼的共享密码。您可以将其视为一张不可转让的数字身份证,网络可以即时查验。
对您的员工来说,这个过程非常简单:
- 一次性设置:用户使用他们熟悉的公司凭据(通过您的 IdP)一次性登录。
- 签发证书:Purple 将唯一的证书安全地推送到他们的设备。
- 自动连接:从此以后,只要设备在公司 WiFi 覆盖范围内,就会自动安全连接。不再有密码提示。
这个简单的工作流程确保每个连接都根据受信任的身份进行显式验证,击中了零信任的核心原则,而无需为员工增加额外的工作。
这里强大的是,通过链接您现有的身份目录来构建一个安全的、基于证书的 WiFi 网络,非常简单。它消除了管理传统 RADIUS 服务器的所有常规成本和复杂性。
保护每个设备并简化员工访问
虽然证书是公司管理设备的标准,但并非您网络上的所有设备都符合这种模式。您总会有无法处理证书认证的旧系统、物联网硬件或共享设备。对于这些情况,Purple 使用个人预共享密钥 ( iPSK )。
通过结合现代设备的基于证书的访问和旧设备的 iPSK,您可以在整个 WiFi 生态系统中执行一致的零信任策略。这种分层方法确保每个连接都根据其特定上下文进行管理和保护。
除此之外,使用单点登录 (SSO) 会让员工的生活更轻松。通过使用他们已用于电子邮件和其他应用程序的相同凭据登录,员工可以获得更顺畅的体验。这提高了采用率,并减少了因忘记密码而打给帮助台的电话。如果您希望进一步锁定您的网络,我们关于实施Wi-Fi Secure 的指南为您的无线环境提供了更多实用策略。
Purple 使企业级 WiFi 的 ZTNA 既可实现又易于管理。通过处理身份验证的困难部分并与您已有的身份系统相连接,我们提供了安全、无缝且真正现代的网络访问体验,而无需昂贵的本地硬件。
部署 ZTNA 的实用路线图
投入零信任的实施可能感觉像一项巨大的工程,但它不必是复杂、多年的传奇。有了清晰的计划,将您的企业 WiFi 转移到坚实的零信任网络访问 (ZTNA) 模型实际上是一个非常易于管理的过程。真正的诀窍是将迁移分解为合乎逻辑的、易于管理的阶段。
这一切都始于确切知道您要保护什么。一个好的部署从一个发现阶段开始,您要绘制出整个网络。您需要一份完整的清单,列出所有用户、他们使用的设备以及他们工作所需的关键应用程序和数据。正确完成这第一步是成功的 ZTNA 策略的基石。
为安全访问奠定基础
一旦您对环境有了清晰的了解,下一步就是制定一些精确的访问策略。在这里,最小权限原则不再只是流行语,而是成为实际现实。您的目标是创建规则,使每个用户仅访问他们绝对需要的资源,绝不多给。
例如,营销团队的某个人应该能够访问活动服务器和社交媒体工具,但他们应该被完全阻止访问财务部门的数据库。这种细粒度控制是 ZTNA 的核心,它极大地缩小了被入侵账户的潜在影响范围。您正在构建一种安全态势,从设计上遏制威胁,而不是事后反应。
这就是以身份为先的平台如何使整个零信任 WiFi 过程变得更加简单。
如您所见,用户身份是起点。然后该身份由像 Purple 这样的平台进行检查,以授予对 WiFi 网络的安全、上下文感知的访问。
分步迁移检查清单
使用基于平台的方法的一大好处是部署变得非常简单。使用 Purple,我们为您处理技术上的繁重工作。这得益于与 Meraki、Aruba 和 Ruckus 等供应商的领先网络硬件的开箱即用兼容性。
它完全消除了对复杂且昂贵的本地硬件的需求,比如您可能习惯使用的老式 RADIUS 服务器。如果您想深入了解,我们有一整篇文章解释什么是 RADIUS 服务器 ,以及为什么现代解决方案更合适。
为了帮助指导您迁移到零信任 WiFi,我们整理了一份实用的检查清单。遵循这些步骤将确保平稳、可控且成功的迁移。
零信任 WiFi 迁移检查清单
| 阶段 | 关键行动 | 注意事项和最佳实践 |
|---|---|---|
| 1. 基础 | 集成您的身份提供商 (IdP) | 将 Purple 连接到您现有的目录(Entra ID、Okta、Google Workspace)。这使用户身份成为整个安全模型的核心。 |
| 2. 策略 | 定义基于角色的访问策略 | 使用 IdP 中的现有用户组来创建规则。例如,为员工、承包商和访客创建单独的规则。 |
| 3. 测试 | 部署到试点小组 | 从小处着手。首先向像您的 IT 部门这样的受控小组推出,以测试策略并在上线前获得真实反馈。 |
| 4. 入职 | 入职用户和企业设备 | 使用简单的一次性流程签发唯一的数字证书。这样从那时起就可以实现安全、无密码连接。 |
| 5. 遗留设备 | 保护遗留和物联网设备 | 对于无法使用证书的设备(例如打印机、传感器),创建并分配个人预共享密钥 (iPSK) 以安全管理其访问。 |
| 6. 推广 | 逐步扩大部署 | 逐步添加更多部门和用户组。在扩展的每个阶段检查您的策略是否按预期工作。 |
| 7. 优化 | 监控、调整和适应 | 留意访问日志和网络活动。使用这些数据来微调策略,并在出现新的安全需求时作出响应。 |
通过遵循这些管理步骤,您可以在几周内(而不是几年)将整个企业 WiFi 过渡到尖端的 ZTNA 模型。这种方法论揭开了整个流程的神秘面纱,并确保从始至终平稳、安全的迁移。
进行这种转变的必要性再清楚不过了。最近的研究显示,英国的组织正在落后;只有 12% 的组织觉得自己为 AI 增强的网络攻击做好了充分准备,而美国为 16%。虽然金融服务(42% 采用率)和医疗保健(38% 采用率)等行业处于领先地位,但全国仍存在显著的准备差距。您可以从 ZTNA 采用率的完整研究 中获得更多详细信息。
关于零信任网络访问的常见问题
即使您掌握了零信任网络访问背后的理念,从您多年来熟悉的安全模型转向仍然是一大步。对成本、复杂性以及这对您的团队日常意味着什么有疑问是很自然的。
让我们来解决一些我们听到的组织在考虑进行转变时最常见的问题。获得直接的答案将帮助您建立信心,并为您的企业制定可靠的 ZTNA 案例。
ZTNA 是单一产品还是一项战略?
这是很多困惑的起点。在其核心,零信任是一项战略,而不是您可以现成购买的单一产品。它是一种基于一个简单规则的安全哲学:'永不信任,始终验证'。您不能仅仅安装“一个零信任”。
您可以购买的是将这一战略付诸实施的平台和产品。这些解决方案为您提供了执行零信任主要原则的工具,如显式验证、最小权限访问和始终假设入侵可能发生。一个与您的身份提供商交互以为 WiFi 访问签发设备证书的平台,就是实现 ZTNA 战略的产品的完美示例。
可以这样想:'健康饮食'是感觉更好的一项策略。为您发送均衡、预先分装餐食的送餐服务是帮助您执行该策略的产品。ZTNA 是战略,而像 Purple 这样的平台提供了使之成为现实的工具。
ZTNA 如何处理非企业设备?
在一个自带设备 (BYOD) 和访客访问的世界里,这是一个关键问题。任何像样的 ZTNA 解决方案都必须考虑到 IT 团队不直接管理的设备。秘诀是应用相同的零信任原则,只是使用不同的工具。
对于这些非托管设备,您可以通过以下方式锁定:
- 细粒度访问策略:访客的个人设备可以被授予高度受限的访问权限,例如,仅限互联网,而公司网络上的其他任何内容都不行。
- 个人预共享密钥 (iPSK):您可以为特定用户或设备分配唯一的密钥,而不是为所有人使用同一个访客密码。这使您可以单独跟踪,并可以立即撤销一个人的访问权限,而不会影响其他人。
- 带有使用条款的 Captive Portal :对于短期访客,captive portal 可以要求他们在获得有限的互联网访问权限之前接受您的条款和条件。
目标保持不变:验证并遏制每一台设备,无论其是否归公司所有。灵活的 ZTNA 平台将为您提供处理每种情况的不同方式,确保没有设备可以自由进入您的网络。
对用户体验的真正影响是什么?
许多 IT 领导者担心加强安全只会给员工带来麻烦。对于老式安全,这通常是一个合理的担忧——只需想想笨重的 VPN 客户端和无休止的密码弹出窗口。但实施良好的 ZTNA 模型实际上会改善用户体验。
魔力在于自动化和以身份为先的设计。一旦用户的设备配置了安全证书,访问就变得完全无缝。他们可以连接到 WiFi 和其批准的应用程序,而无需输入密码或启动 VPN。
因为访问是基于他们的身份授予的,所以旧安全模型的所有摩擦都消失了。用户可以获得更快、更可靠的连接,而系统在后台静默处理所有安全检查。这是不碍事的安全。
ZTNA 对小企业来说太复杂了吗?
虽然零信任是由谷歌等巨头开创的,但实现它的工具现在已触手可及,适用于各种规模的企业。认为 ZTNA 只适用于拥有庞大 IT 预算的大型企业是一种常见的误解。
现代、基于云的平台完全降低了进入门槛。您不再需要购买和管理一堆复杂的本地硬件,也不需仅为了入门就雇佣一队安全专家。这些解决方案可插入您已在使用的身份提供商(如 Google Workspace 或 Microsoft Entra ID ),并设计为快速部署。
通过从一个具体、高影响力的领域(如保护您的 WiFi)开始,即使是中小企业也可以开启零信任之旅。关键是选择一个将技术复杂性抽象掉的解决方案,让您能够以可管理的步骤逐步推出强大的 ZTNA 策略。
Purple 提供了让零信任网络访问在您的组织中成为现实的工具。我们基于身份的平台用无缝、证书级别的 WiFi 访问取代了不安全的密码,并直接与您现有的系统集成。了解更多信息,请访问 https://www.purple.ai 。
