第一代ZTNA解決方案有嚴重資安問題 可能為機構帶來重大風險
Palo Alto Networks 呼籲業界升級至Zero Trust Network Access 2.0 (ZTNA 2.0) ,並以它作為新世代安全存取的基礎。ZTNA的開發是為了取代虛擬私人網路 (VPN),因為多數虛擬私人網路都缺乏足夠延展性,在允許權方面也過於寬鬆,但第一代ZTNA產品 (ZTNA 1.0) 的過於輕信,可能為客戶帶來重大風險,因此ZTNA 2.0透過移除絕對信任 (implicit trust)解決上述問題 ,確保組織網路安全。
「現在是網路安全關鍵時刻。我們面對前所未見的網安攻擊,過去兩年間,工作型態大幅改變 – 對許多人而言,工作更側重於活動,而非場所。這意味著保護員工和其所需的應用變得更加困難和重要。」Palo Alto Networks創辦人暨技術長Nir Zuk表示:「零信任 (zero trust)在業界已經是個被廣為認可解決方案 – 它也絕對是正確的作法!不幸的是,並非所有名稱中有Zero Trust字樣的解決方案都值得信賴,例如ZTNA 1.0的安全性就未能達標。」
就以混合式工作模式和分散式應用為常態的現代組織而言,ZTNA 1.0有數項限制。因為它無法控制對次應用或特定功能的存取,所以賦予應用的允許權過於寬鬆;此外,它並未監控用戶、應用或裝置行為的改變或無法偵測或預防惡意軟體或跨連線的橫向移動,也無法保護全部企業數據。
Palo Alto Networks Prisma Access等支援ZTNA 2.0的產品可幫助組織滿足現代應用、威脅和混合式工作模式的資安需求。ZTNA 2.0導入下列重要原則:
- 最小特權存取 — 支援應用和次應用層級的精準存取控管,獨立於IP位址和通訊埠編號等網路架構之外。
- 持續信任確認 — 在允許應用存取後,持續根據裝置狀態、用戶行為和應用行為評估信任。
- 持續安全檢視 — 持續深度檢視所有應用流量 —甚至被允許的連線 – 協助預防包括零日攻擊等威脅。
- 保護所有資料 — 運用單一數據外洩防護 (DLP) 政策一致性地控管跨應用數據,包括私人應用和SaaS應用。
- 守護所有應用 — 一致性地保護整個企業使用的所有類型應用,包括新式雲端原生應用、舊式私有應用和SaaS應用。
ESG資深分析師John Grady在一份新報告中指出:「ZTNA 1.0解決方案在實現真正零信任的承諾上有許多不足。它允許的存取過多,而且一旦允許存取,該連線就永久處於絕對信任狀態,這為各種先進威脅和惡意行動與行為,提供了容易被濫用的管道。」他也表示:「現在是採用新ZTNA作法的時候了,它在一開始就是為了滿足現代應用、威脅、和混合式工作模式的網安需求所設計。」
「在雲端和行動技術演進的資安需求下,保護現在的混合式工作模式是個很複雜的任務。」Optiv工程研究員Jerry Chapman表示:「對現代混合型工作模式組織而言,要預防網安威脅,必需重新思考『零信任』。我們與Palo Alto Networks合作,建議客戶把持續跨網域檢視身分和連線等ZTNA 2.0原則整合到現有的架構中來確保組織網路安全。」
全新Prisma Access功能
Palo Alto Networks Prisma Access是業界唯一符合當前ZTNA 2.0標準的解決方案。Prisma Access提供同級最佳功能並同時保護存取和數據,保護所有應用流量。
今天宣布的Prisma Access新功能包括:
- ZTNA連接器— 簡化將雲端原生和傳統應用導入服務的流程,使ZTNA 2.0更容易部署和更安全。
- 業界唯一整合式SASE產品 — 提供共用政策架構和數據模式給所有SASE功能,可從單一雲端管理控制台管理。
- 自助自主數位經驗管理 (Self-serve autonomous digital experience management, ADEM) —有助於主動通知用戶需快速處理的問題,並指引客戶如何解決問題。
Availability上市時程
完整支援ZTNA 2.0的Prima Access已上市。全新ZTNA連接器、整合式SASE、和自助ADEM將於今後90天內開始提供。