防特网 fortinet 科汇科技飞塔下一代防火墙总代理盘点零信任、零信任访问和零信任网络访问之间的差异

盘点零信任、零信任访问和零信任网络访问之间的差异

虽然许多网络和安全厂商使用包含零信任的术语，但是并非所有人都用它来表达相同的意思。更容易引起混淆的是零信任访问 (ZTA：zero trust access) 和零信任网络访问 (ZTNA：zero trust network access)，这两个术语通常可以互换使用。由于存在很多类似的术语和首字母缩略词，当您在与厂商讨论解决方案时，务必要了解厂商谈论的是什么。

通常，与几位客户沟通时发现越来越多的客户要求我们介绍零信任解决方案。多数情况下，客户希望大致了解一下这个主题，以此作为深入研究的起点。少数客户想要详细了解我们的 ZTNA 解决方案。

“内部表示可信”和“外部表示不可信”的旧网络安全模型已经过时，零信任概念应运而生。经过多年来的改进，这种基于边界的方法能够使用虚拟专用网 (VPN) 和隔离区 (DMZ) 来应对新的挑战，例如日趋移动化的用户和需要从网络外进行访问的业务合作伙伴。但是面对当今高度复杂的网络，这种基于边界的方法有一个固有缺陷：授予过多的隐式信任。一旦连接成功（无论直接连接还是使用 VPN 连接），其余的“内部网络”都会将您视为可信对象。

什么是零信任？

零信任（Zero Trust）模型对安全的定义不再是基于网络位置的隐式信任。相反，它专注于基于每个事务评估信任。零信任模型不再以网络位置或 IP 地址作为评估信任的标准。零信任模型规定应根据身份和基于上下文的方面明确授予信任。

零信任*初对尝试访问网络的*人和*设备都采取默认拒绝态度，故而得名（也就是说*不信任）。如果使用零信任模型，每当用户或设备请求访问资源时，都必须先对其进行验证，然后再授予访问权限。验证基于用户和设备的身份以及其他属性和上下文，例如时间和日期、地理位置和设备安全状况的各个方面。

对设备和用户进行验证后，仅授予所需的适度信任。访问权限基于*权限的原则进行授予。如果用户请求访问 HR 应用并且经过验证，那么他只能获得该应用的访问权限。
用户获取一项访问权限并不代表他可以查看其他*资源。访问是指仅授予对特定资源，而非整个网络的访问权限。零信任模型的关键要素是必须不断重新评估信任。如果用户或设备的重要属性发生改变，可能会取消验证并删除访问权限。

什么是零信任访问？

零信任访问 (ZTA：Zero Trust Access) 的要点是了解与控制您网络中的用户和设备。基于角色的访问控制是访问管理的重要组成部分。只有确定了用户的身份，才能根据他们的角色授予适当的访问级别。用户是员工、访客还是承包商？他们的角色是什么？该角色有权获得哪些网络访问权限？

ZTA 包含需要管理控制和可视性的用户端点。采用零信任模型意味着实施*少访问策略，为用户提供其角色所需的*级别网络访问权限，禁止其访问或查看网络的其他部分。

但是 ZTA 不仅关注网络中的用户，还可以确保网络中设备的安全性。随着联网设备的不断增多，其中不乏各类物联网设备，例如打印机、采暖通风设备和门禁系统等。这些设备没有可以用来识别其身份和角色的用户名和密码。对于这些“无头”设备，可使用网络访问控制 (NAC) 解决方案来发现与控制访问。厂商可使用 NAC 策略，将*少访问的零信任原则应用于这些物联网设备，仅授予它们足以执行角色职责的网络访问权限。

什么是零信任网络访问？

得益于 Gartner 和其他分析师，零信任网络访问 (ZTNA：Zero Trust Network Access) 正成为行业标准术语。遗憾的是，ZTNA 并不是*能表词达意的命名规则，因为它虽然被称作零信任网络访问，但是实际上是指用户对应用的代理访问。因此，将其称作零信任应用访问可能更贴切，但是不管怎样，它被称作 ZTNA。需要指出的重要一点是，ZTNA 是更广泛的 ZTA 主张的一个要素。

随着远程办公的兴起，ZTNA *近受到了更多关注，因为无论用户或应用位于何处，都可以用它来控制应用访问。用户可能正在使用公司网络，在家办公或者外出办公。应用可能位于企业数据中心、私有云或者公共互联网。

虽然传统 VPN 数十年来一直是支柱，但是 ZTNA 由 VPN 演变而来，可提供更高的安全性、更精细的控制和更好的用户体验，更符合当今网络的复杂需求。因此，ZTNA 是安全连接远程办公人员的明智之选。

传统 VPN 假设通过网络边界控制的*用户或设备都是可信的。但是 ZTNA 采取相反的方法：除非通过验证，否则*用户或设备都不能作为可信对象获得访问权限。不同于 VPN，ZTNA 将零信任模型扩展到网络之外，并通过对互联网隐藏应用，缩小了攻击面。

如何区分零信任、零信任访问和零信任网络访问

由于人们可以访问传统网络之外的资源，因此边界正在日渐消失，不能再基于位置授予信任。当您阅读有关零信任解决方案的文献时，需要记住的重要一点是零信任是一个通用术语，指的是不得自动信任*人；通过验证后，只能授予有限的访问权限；以及重新验证。在这个概念的基础上，ZTA 侧重于了解访问网络的用户和设备，ZTNA 以应用访问为中心，通常作为 VPN 的替代方案。

———————————————————————————————————

IT解决方案：

下一代防火墙部署场景：化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击，且无需进行其他更新
以更低的复杂性提供业内*的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、*威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应

飞塔防火墙服务：应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络

品类：零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制

方案适用机型：

机框设备：FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E
超高端设备：FortiGate 6300F\6301F\6500F\6501F
高端设备：FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D
中端设备：FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 400E 、FortiGate 300E、FortiGate 200E 、FortiGate 100E
入门级设备：FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged
Virtual Machines：FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV

专有型号/系列：FortiOS 7.0、Fortinet SASE、FortiXDR

服务区域：

四川飞塔 Fortinet：成都飞塔 Fortinet、绵阳飞塔 Fortinet、自贡飞塔 Fortinet、攀枝花飞塔 Fortinet、泸州飞塔 Fortinet、德阳飞塔 Fortinet、

广元飞塔 Fortinet、遂宁飞塔 Fortinet、内江飞塔 Fortinet、乐山飞塔 Fortinet、资阳飞塔 Fortinet、宜宾飞塔 Fortinet、南充飞塔 Fortinet、

达州飞塔 Fortinet、雅安飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州飞塔 Fortinet、广安飞塔 Fortinet、巴中飞塔 Fortinet、眉山飞塔 Fortinet

重庆飞塔 Fortinet

贵州飞塔 Fortinet：贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet

云南飞塔 Fortinet：昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、

丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、

西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet

西藏自治区飞塔 Fortinet：拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet

更多机型和方案请咨询

成都科汇科技有限公司 — 专业安全服务商。

无论您的IT架构是本地化、云端、还是混和云都能提供一站式安全方案。

地址：四川省成都市人民南路四段一号时代数码大厦18F

电话咨询热线：400-028-1235

手机：180 8195 0517（微信同号）