7 零信任应用程序和网络解决方案为企业

网络传统的边界已经消失。从远处访问组织的应用程序和数字资产已成为一项严峻的挑战。网络边界可以被保护的日子早已过去。现在是采用新的零信任安全策略的时候了。

当一个公司的数字资产必须通过不安全的互联网路径穿越长距离时，风险太高，您不能信任任何人。这就是为什么您应该采用零信任网络模型，始终限制所有用户对所有网络资源的访问。

在零信任网络中，无论用户或设备之前是否访问过相同资源，都会限制对资源的访问。任何用户或设备在访问资源时，都必须经过身份验证和验证过程，即使他们在组织内部身处实体位置。为了避免安全策略降低应用程序和用户体验的性能，这些身份验证和验证必须快速进行。

零信任 vs. vpn

零信任网络模型正在取代公司传统用于员工远程访问数字资产的vpn模型。vpn正在被替换，因为它们存在一个重大缺陷，而零信任网络可以解决这个问题。在vpn中，任何在将用户与组织网络连接的加密通道中发生的漏洞都会使潜在攻击者获得对连接到网络的所有公司资源的无限访问权限。

在旧的本地基础设施上，vpn运作良好，但在云或混合基础设施上，它们产生的风险多于解决方案。

零信任网络解决了vpn的这个缺点，但还增加了一个潜在的缺点：在实施和维护方面可能会增加额外的复杂性，因为必须针对所有用户、设备和资源保持授权的最新状态。这需要额外的工作，但it部门可以获得对资源的更大控制，并减少漏洞。

幸运的是，通过自动化和协助网络管理任务的工具，可以实现零信任网络的好处，而无需增加维护和部署工作。下面讨论的工具可以帮助您以最小的工作量和成本应用零信任策略。

nordlayer

nordlayer提供了一种基于安全服务边缘框架的自适应网络访问安全解决方案。作为软件即服务（saas）网络安全解决方案提供，它体现了关键的零信任原则，并提供安全的远程访问，最大程度地减少了组织的风险。

所有基础设施中都移除了隐式信任，将安全网关用作进入内部公司网络的门户。用户端点到swg的链接使用aes 256位密码进行加密，同时网关本身强制执行设定的安全策略，防止各种威胁。没有经过监督的连接能够绕过nordlayer的防御机制。

swg与用户设备之间的流量也通过先进的隧道协议（如由nord security开发的wireguard的专有版本nordlynx）进行处理。同时，其他选项如ikev2和openvpn（udp和tcp）版本增加了跨设备的兼容性。这样一来，就可以在路由器和其他硬件设备上设置nordlayer。

在访问敏感数据或工作资源之前，可以多次检查用户身份。nordlayer还支持与azure ad、onelogin、okta和g suite的单点登录（sso），方便在当前使用的工具和零信任网络之间进行过渡。通过利用云访问安全代理的功能，nordlayer增强了网络可见性，并对关键组织资源保持更大的访问控制。

此解决方案也不需要企业舍弃当前使用的工具 – nordlayer可以与现有基础架构结合使用。该产品不限制用户数量，使其高度可扩展而不会大幅增加订阅价格。通过提供网络参与者的清晰概述，使用户分段更加简单和有效。此外，许可证可以在用户之间轻松转移，适应快节奏的工作环境动态。

perimeter 81

perimeter 81提供了两种管理和保护组织应用程序和网络的方法，无论是在云端还是在本地环境中。这两个方案都始于提供作为服务的零信任网络。为此，perimeter 81使用了软件定义的边界架构，为新用户提供了极大的灵活性，并提供了对网络的更大可见性。此外，该服务与主要的云基础设施提供商兼容。

零信任应用访问是基于一个假设，即每个公司都有一些大多数用户不需要访问的关键应用程序和服务。该服务允许根据用户的角色、设备、位置和其他标识符提高对特定用户的障碍。

与此同时，零信任网络访问通过信任区域划分了组织的网络，从而允许创建控制数据流的信任限制，实现更高粒度级别的控制。信任区域由一组基于相同信任级别运行并提供类似功能的基础设施元素组成。这减少了通信通道的数量，并将威胁的可能性降到了最低。

perimeter 81的零信任网络访问（ztna）服务为组织的网络提供了完整和集中的视图，确保每个资源都具有最低特权访问。其安全功能符合gartner的sase模型，因为安全和网络管理在单一平台上统一。

这两种perimeter 81服务包含在一个价格方案中，提供了广泛的选择。这些选择从基本计划到安全和管理网络的基本要素，再到可以无限扩展并提供专门的24/7支持的企业计划。

最近，perimeter 81被评为ztna领导者。

zscaler private access

zscaler private access (zpa) 是一种基于云的零信任网络服务，无论私有应用程序位于专有数据中心还是公有云中，都可以控制对组织的私有应用程序的访问。使用 zpa，未经授权的用户无法看到应用程序。

在 zpa 中，应用程序和用户之间的连接是按照由内向外的策略进行的。与将网络扩展到包括用户（如果使用 vpn，则应该这样做）不同，用户从未在网络内部。这种方法通过避免恶意软件的传播和侧向移动的风险，大大降低了风险。此外，zpa 的范围不仅限于 web 应用程序，还包括任何私有应用程序。

zpa 使用微隧道技术，允许网络管理员通过应用程序对网络进行分段，避免在网络中创建人为分段或应用控制防火墙策略或管理访问控制列表（acl）的需要。微隧道采用 tls 加密和自定义私钥，增强了访问企业应用程序时的安全性。

由于具备 api 和机器学习（ml）增强功能，zpa 可让 it 部门自动化零信任机制，通过发现应用程序并为其创建访问策略，并为每个不同的应用程序工作负载自动生成分段。

cloudflare access

cloudflare 的零信任网络服务由一种专有网络支持，该网络的访问点分布在全球各地。这使得 it 部门能够为组织的所有资源（设备、网络和应用程序）提供高速安全访问。

cloudflare 的服务取代了传统的以网络为中心的安全边界，改用确保分布式工作组最佳速度的安全近距离访问。

cloudflare 的零信任访问适用于组织中的所有应用程序，通过自己的全球网络对用户进行身份验证。这使得 it 管理员能够记录每个事件和每次尝试访问资源。此外，它还可以轻松地维护用户并添加其他用户。

通过 cloudflare access，组织可以保持其身份、保护提供者、设备姿态、每个应用程序的位置要求，甚至现有的云基础架构。对于身份控制，cloudflare 与 azure ad、okta、ping 集成，与设备姿态，与 tanium、crowdstrike 和 carbon black 集成。

cloudflare 提供其服务的免费版本，提供主要工具，并允许保护最多 50 个用户和应用程序。您必须选择付费版本的服务，以扩展到多个用户或应用程序，这将增加其他好处，如全年无休的电话和聊天支持。

wandera

wandera private access 零信任网络解决方案为组织的应用程序提供快速、简单和安全的远程访问，无论这些应用程序是在 saas 中运行还是部署在内部。该服务因其简单性而脱颖而出，安装过程可以在几分钟内完成，无需专用硬件、证书或大小调整。

wandera private access为分布式工作团队提供了灵活性，可以在异构平台上操作，使用托管或自有设备（byod）。该解决方案提供了对应用程序访问的实时可见性，识别影子it，并根据风险感知的访问策略自动限制来自感染或不安全设备的访问。

通过wandera private access，可以实施以身份为中心的安全模型，确保只有授权用户可以连接到组织的应用程序。基于应用程序的微隧道仅将用户连接到他们被授权访问的应用程序。安全策略的应用在所有基础设施上保持一致，无论是云、数据中心还是saas应用程序。

wandera的保护系统由一个名为mi:riam的智能威胁检测引擎驱动。该引擎每天根据4.25亿个移动传感器提供的信息进行更新，确保对各种已知和零日威胁的保护。

okta

okta提供了一个包括应用程序、服务器和api保护在内的零信任安全模型；统一且安全的用户访问本地和云应用程序；自适应的、基于上下文的多因素身份验证和自动下线以减轻孤立帐户风险。

okta的通用目录服务为组织中每个用户提供了一个单一的、合并的视图。由于用户组与ad和ldap的集成，以及与人力资源系统、saas应用程序和第三方身份提供商的连接，okta通用目录集成了各种类型的用户，无论他们是公司员工、合作伙伴、承包商还是客户。

okta的api保护服务突出了其api被视为一种新形式的影子it。okta的api访问管理将基于xml的策略的设计和应用时间从几小时缩短到几分钟，简化了新api的入职和与合作伙伴集成使用api的过程。okta的策略引擎允许实施api安全的最佳实践，易于与oauth等身份框架集成。基于应用程序、用户上下文和组成员资格创建api授权策略，以确保只有合适的用户可以访问每个api。

okta的集成网络避免了供应商锁定，使组织可以自由选择超过7000个预构建的与云和本地系统的集成。

crowdstrike falcon

crowdstrike falcon identity protection零信任安全解决方案可以快速阻止由于受损身份导致的安全漏洞，使用零信任策略保护组织中所有用户、位置和应用程序的身份。

falcon identity protection旨在通过减少工程资源需求和消除冗余的安全流程，降低成本和风险，并增加正在使用的工具的投资回报率。

统一控制所有身份使得实施条件访问和自适应身份验证策略变得容易，同时确保更好的用户体验和更广泛的多因素身份验证（mfa）覆盖范围，即使对于传统系统也是如此。

the crowdstrike远程访问解决方案提供了对所有帐户和终端的身份验证活动的完全可见性，提供位置数据、源/目的地、登录类型（人工或服务帐户）等。反过来，它可以保护网络免受内部威胁的侵害，例如废弃的特权帐户、错误分配的服务帐户、异常行为和受到侧移攻击损害的凭据。

通过与现有安全解决方案集成，falcon identity protection的部署只需最少的时间和无摩擦。除了直接与关键资产的安全解决方案（如cyberark和axonius）进行集成外，crowdstrike还提供高性能的api，使公司可以与几乎任何系统集成。

结论

新常态似乎将继续存在，it管理员需要适应它。远程工作将继续成为日常现实，组织网络将再也没有明确定义的边界。

在这种情况下，如果it管理员不想将其组织的最宝贵的数字资产置于风险之中，他们必须尽快采用零信任网络和应用解决方案。