零信任網(wǎng)絡(luò)訪問名不副實

時間：2022-03-30 12:21:02 | 來源：行業(yè)動態(tài)

時間：2022-03-30 12:21:02 來源：行業(yè)動態(tài)

盡管零信任并不復(fù)雜并且可以被看作是最小權(quán)限訪問這一古老安全原則的加強版，但其實兩者并不相似。事實上，它與最小權(quán)限訪問最顯著的區(qū)別之一在于零信任基于應(yīng)用程序訪問，而不是網(wǎng)絡(luò)訪問。了解網(wǎng)絡(luò)訪問和應(yīng)用程序訪問之間的區(qū)別至關(guān)重要。

傳統(tǒng)的企業(yè)應(yīng)用程序訪問基于網(wǎng)絡(luò)訪問。您需要在企業(yè)網(wǎng)絡(luò)上才能訪問企業(yè)應(yīng)用程序。如果您在企業(yè)的某幢辦公大樓里，那么您就會連接該企業(yè)的Wi-Fi網(wǎng)絡(luò)或以太網(wǎng)并且可能還需要通過一個額外的網(wǎng)絡(luò)訪問控制（NAC）步驟。如果您在其他地方，那么您將使用虛擬私人網(wǎng)絡(luò)（VPN）。無論哪種方式，都會有某種形式的驗證和授權(quán)允許您在企業(yè)網(wǎng)絡(luò)上訪問。此時，如果您有較高的權(quán)限，就可以訪問企業(yè)的應(yīng)用程序。

但這種伴隨著網(wǎng)絡(luò)訪問的高級權(quán)限也會給您帶來不需要的額外功能。具體而言，您可以看到該網(wǎng)絡(luò)連接的每個應(yīng)用程序。您可能無法登錄到每一個這樣的應(yīng)用程序，但可以看到它們。也就是說，您可以將數(shù)據(jù)包發(fā)送給它們。這個區(qū)別十分重要。如果您能看到一個應(yīng)用程序，您就可以讓它執(zhí)行代碼（例如顯示登錄屏幕或啟動一些其他形式的登錄挑戰(zhàn)）。如果您能讓它執(zhí)行代碼，您就可以利用漏洞。

這明顯違反了最小權(quán)限原則。您需要訪問某些應(yīng)用程序，但無需看到其他應(yīng)用程序，更不用說掃描網(wǎng)絡(luò)漏洞。零信任通過使用基于應(yīng)用程序的訪問模式來解決這個問題。

通過零信任訪問，用戶和應(yīng)用程序之間不存在直接路徑，所有訪問均通過代理進(jìn)行。一般情況下，零信任訪問作為一種服務(wù)提供，代理位于多個互聯(lián)網(wǎng)地點。這樣，用戶只需要連接互聯(lián)網(wǎng)，而不需要連接企業(yè)網(wǎng)絡(luò)。

即使在遠(yuǎn)程訪問的情況下，也不需要VPN。當(dāng)用戶試圖連接一個應(yīng)用程序時，他們會被轉(zhuǎn)到這些代理之一。只有在代理對用戶進(jìn)行認(rèn)證并確定用戶被授權(quán)使用該應(yīng)用程序后，它才會建立與該應(yīng)用程序的前向連接并允許用戶與該應(yīng)用程序進(jìn)行通信。

我們現(xiàn)在已了解基于網(wǎng)絡(luò)的傳統(tǒng)訪問模式和基于應(yīng)用程序的零信任訪問模式之間的明顯區(qū)別。在基于網(wǎng)絡(luò)的訪問中，應(yīng)用程序被暴露在網(wǎng)絡(luò)中（無論是整個互聯(lián)網(wǎng)還是企業(yè)網(wǎng)絡(luò)），因此對任何可能需要訪問的人都是可見的。相反，在基于應(yīng)用程序的訪問中，應(yīng)用程序是不可見的，只有確實需要訪問的人在經(jīng)過驗證和授權(quán)后才能看見應(yīng)用程序。