零信任网络访问名不副实
时间:2022-03-30 12:21:02 | 来源:行业动态
时间:2022-03-30 12:21:02 来源:行业动态
尽管零信任并不复杂并且可以被看作是最小权限访问这一古老安全原则的加强版,但其实两者并不相似。事实上,它与最小权限访问最显着的区别之一在于零信任基于应用程序访问,而不是网络访问。了解网络访问和应用程序访问之间的区别至关重要。
传统的企业应用程序访问基于网络访问。您需要在企业网络上才能访问企业应用程序。如果您在企业的某幢办公大楼里,那么您就会连接该企业的Wi-Fi网络或以太网并且可能还需要通过一个额外的网络访问控制(NAC)步骤。如果您在其他地方,那么您将使用虚拟私人网络(VPN)。无论哪种方式,都会有某种形式的验证和授权允许您在企业网络上访问。此时,如果您有较高的权限,就可以访问企业的应用程序。
但这种伴随着网络访问的高级权限也会给您带来不需要的额外功能。具体而言,您可以看到该网络连接的每个应用程序。您可能无法登录到每一个这样的应用程序,但可以看到它们。也就是说,您可以将数据包发送给它们。这个区别十分重要。如果您能看到一个应用程序,您就可以让它执行代码(例如显示登录屏幕或启动一些其他形式的登录挑战)。如果您能让它执行代码,您就可以利用漏洞。
这明显违反了最小权限原则。您需要访问某些应用程序,但无需看到其他应用程序,更不用说扫描网络漏洞。零信任通过使用基于应用程序的访问模式来解决这个问题。
通过零信任访问,用户和应用程序之间不存在直接路径,所有访问均通过代理进行。一般情况下,零信任访问作为一种服务提供,代理位于多个互联网地点。这样,用户只需要连接互联网,而不需要连接企业网络。
即使在远程访问的情况下,也不需要VPN。当用户试图连接一个应用程序时,他们会被转到这些代理之一。只有在代理对用户进行认证并确定用户被授权使用该应用程序后,它才会建立与该应用程序的前向连接并允许用户与该应用程序进行通信。
我们现在已了解基于网络的传统访问模式和基于应用程序的零信任访问模式之间的明显区别。在基于网络的访问中,应用程序被暴露在网络中(无论是整个互联网还是企业网络),因此对任何可能需要访问的人都是可见的。相反,在基于应用程序的访问中,应用程序是不可见的,只有确实需要访问的人在经过验证和授权后才能看见应用程序。
在线咨询
