「新世代零信任佈局建構資安鋼鐵盔甲」線上研討會:Zentry Security零信任架構協助企業守住每個關口

或許還有許多人尚未了解何謂ZTNA?對此Zentry Security業務暨行銷副總裁Paul Andersen說明:ZTNA不再區分企業的內網、外網,任何用戶取用任何資源均要通過認證,換言之ZTNA嚴控所有存取,沒有所謂基本信任。

近年來Array Networks有感於行動通訊、雲端服務的普及使資安防禦邊界逐漸模糊,業界開始積極倡議零信任網路存取(ZTNA),零信任為資安防護架構的新變革,為迎接新變革Array Networks成立了Zentry Security,期許Zentry Security能在零信任資安時代一展長才。

已有11年資深資歷的Array Networks亞太區技術顧問何健男解釋,Zentry為Z(Zero,零)與Entry(進入)兩字複合而成,明顯針對ZTNA新概念市場而來。而Zentry的Zen(禪)則有東方意境,甚至Zentry Security公司的標章為三塊疊放石頭,同樣也在呼應東方禪意。

零信任意涵與實例

或許還有許多人尚未了解何謂ZTNA?對此Zentry Security業務暨行銷副總裁Paul Andersen說明:ZTNA不再區分企業的內網、外網,任何用戶取用任何資源均要通過認證,換言之ZTNA嚴控所有存取,沒有所謂基本信任。

ZTNA為企業帶來多項好處,例如避免未授權的存取、避免橫向移動(駭客或惡意程式的滲透)、將網路攻擊與資料外洩可能性降至最低,也可以去除VPN用戶端軟體的困擾、擺脫龐雜死板的VPN硬體,並把新一代的存取防護以軟體服務方式實現。

Paul舉兩個ZTNA的時應用情境,一是醫院的電子病例(EMR),由於COVID-19疫情關係專業醫療人員必須在家工作,但卻無法存取限定內網使用的病例系統及資料,對此導入ZTNA即可在家安全存取。

另一是學校的數位教學,校方建置的教學軟硬體及教材內容多限定在校內使用,同樣因疫情學生無法到校,此時ZNTA即能讓學生在家存取使用,使綁限的資源再度活化。

毫無疑問的ZTNA是未來趨勢,Paul引用Gartner的預測:2022年將有80%新的數位業務應用程式以ZTNA方式存取、2023年有60%的企業會從VPN轉向ZTNA,以及40%的企業將在其他情境下採用ZTNA。

Gartner在預測外也歸結詮釋:企業的業務(商務)轉型需要資訊系統、資訊服務、應用程式介面、資料以及程序等,都是可夠跨多個生態系統進行存取的,並且是隨時隨地透過Internet以各種裝置來存取。言下之意ZTNA將逐漸成為不可或缺。

圖1 Zentry應用情境之一:運用Zentry的ZTNA解決方案,讓COVID-19疫情期間無法到校的學生透過瀏覽器,以網頁方式操作過去只能在校內使用的數位教學系統與內容(Classroom Applications),允許合法連線也將透過AD(Active Directory)確認該用學生具有合法存取權限。

Zentry六大元件與運作

了解ZTNA意涵與應用情境後,進一步的由Zentry Security產品管理資深總監Andy Oehler說明Zentry的具體ZTNA作法。Zentry Security公司的ZTNA方案即稱為ZTNA,其內容包含六大組件:Device identity裝置識別、Access gateway存取閘道、Service broker服務仲介、Policy engine政策引擎、Reporting and analytics報表與分析,以及Transient authentication臨時認證。

在運作上,外網用戶透過瀏覽器以SSL連上存取閘道,由閘道向政策引擎確認其用戶的存取權限,確認具有權限後即可透過服務仲介使用各種形式的軟體,如SSH、網頁型應用程式、桌面型應用程式。

Andy也說明Zentry的佈建型態,Zentry需要建立三個虛擬機器(access gateway、master、worker)並透過虛擬交換器相互連接,目前支援兩種Hypervisor,即VMware的ESX或Array AVX,另可用K8s(Kubernetes)來擴展延伸服務效能或實現高可用性(HA)。

說明完組件架構、運作機制與佈建型態後,Andy實機展示ZTNA的管理介面(Admin UI)、免用戶端軟體的遠端存取(Clientless remote access),以及零信任的應用程式存取(Zero-trust application access)。

在管理介面上,管理者可以輸入關鍵字查出哪個用戶在何時透過何種裝置、哪個IP來存取哪些資源(應用程式、資料),或以資源的角度檢視哪些用戶來存取過。

在遠端存取上,Zentry讓用戶可直接以網頁方式存取使用Microsoft RDP,甚至比原生使用更快速流暢,且用戶持續開啟新的瀏覽器分頁(tab)也不用重複驗證帳密,而能直接使用其他的資源服務。另外零信任的應用程式存取則用來限定用戶可用的應用程式,例如某用戶可使用Firefox瀏覽器,但不可使用記事本等。

圖2 Zentry有六大元件,終端使用者透過HTML5的瀏覽器並以SSL/TLS加密連線連上Zentry的存取閘道,而後透過Device Identity驗證連線裝置是否合法,透過政策引擎確認其存取權限等,最後透過服務仲介讓用戶存取各種形態的軟體、資訊資源。

ZTNA深具連線行為的智慧學習力

在Zentry兩名資深主管解說與示範後,Array Networks亞太區技術顧問何健男接續補充並接受各方問答。何健男解釋ZTNA是一種新的遠端存取資安結構,並非是用來取代VPN,反而是有各司其職的補強作用。

ZTNA賦予資訊資源不同的定義,對於使用權驗證有著複雜的過程,即便是合法的帳密,若不是使用帳密常用的筆電登入,而是使用同事的筆電登入,仍可能被認定為不尋常不合法的登入,或者不尋常的連線時段也在其列,系統對於合法連線的認定,是具有習慣特性學習能力的。

何健男也回覆各方對ZTNA、Zentry的詢問,如有人問及其Zentry的具體佈署型態,是硬體?軟體?或雲端服務?

答案三者皆是,Zentry既可以用購買資安設備(appliance)的方式佈建在企業機房,也可以用虛擬機的純軟體方式在企業虛擬環境中執行,或者是直接訂閱雲端服務。

若為軟體型態Zentry目前可建構在VMware的Hypervisor/ESX上,後續的版本也將支援Microsoft HyperV。另外也可以採混合雲的形態,例如同時使用雲端Zentry服務與落地(在地,企業自有機房)的Zentry軟硬體,但以雲端為主控,各地端則為其延伸,屬輔助搭配的角色。

另外何健男也解釋,確實ZTNA內含VPN技術與概念,但結構已大幅變革,過去VPN只要帳密正確之後可以在內網環境中暢行無阻,ZTNA則否。因此有些情境適合VPN有些則適合ZTNA,例如美國醫療體系很龐雜,各醫療機構與院所間允許的存取關係也複雜,對此採行ZTNA較為合適。

最後Zentry方案高度重視如何降低資訊管理者的管理心力,Zentry可以直接匯入第三方的權限設定與管理政策,不需要從零開始建立。另也盡可能給予終端使用者便利,除了以帳密方式驗證外也支援多因子驗證(MFA)或其他現行常見的驗證方式。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416