通用 ZTNA:零信任网络接入的新发展

零信任网络接入(ZTNA)重新定义了企业连接,为传统 VPN 提供了安全的替代方案。我们之前的文章概述了为什么 ZTNA 是一个重大飞跃,尤其是对远程用户而言。但是,当企业采用第一代 ZTNA 解决方案时,许多企业发现了新的挑战:政策分散、执行不一致,以及因设备、位置或应用不同而导致的用户体验不均衡。

进入通用 ZTNA–零信任的新发展。与传统实施不同,它为每个用户、设备、位置和应用应用了一个单一、统一的策略框架。这种方法解决了早期 ZTNA 部署中固有的碎片化难题,为混合工作、多云环境和生成式人工智能等新兴技术奠定了坚实的基础。

在本博客中,我们将探讨

  • 第一代 ZTNA 的局限性
  • 全球 ZTNA 的四大支柱
  • Aryaka 的通用 ZTNA 架构和用例
  • 如何评估企业的通用 ZTNA 解决方案

政策执行

碎片化问题:第一代 ZTNA 的不足之处

许多企业最初部署 ZTNA 以确保远程用户的安全,但后来发现网络和安全堆栈的分散性带来了新的问题。通常情况下,企业会遇到以下问题

  • 为远程用户提供一个堆栈(ZTNA)
  • 另一个用于分支机构(传统防火墙或 VPN)
  • 针对数据中心流量的不同方法
  • 每个系统都有独立的策略、控制台和报告功能

这种割裂导致了一些关键问题:

  1. 政策不一致和安全漏洞:针对不同用户群的不同工具几乎不可能保持政策的一致性。例如,从家中访问敏感应用程序的承包商可能会通过严格的 ZTNA 设备检查。但如果他们访问分支机构,本地网络策略可能会绕过这些检查–为攻击者打开潜在后门。
  2. 用户体验下降:不同地点的用户体验截然不同:远程用户可享受快速、直接的应用程序访问,而分支机构用户则可能因通过数据中心防火墙进行回程而遇到延迟。不同地点之间的切换往往会导致性能不一致,从而使用户感到沮丧,并加重 IT 支持的负担。
  3. 管理复杂性和开销:管理多个产品意味着要处理不同的控制台、策略语言、日志格式和更新时间表。这种复杂性增加了运营成本和错误配置的可能性。
  4. 有限的可见性和控制:各自为政的安全堆栈很难获得统一的视图,以了解谁在访问哪些应用程序、正在使用哪些设备、在哪里发生事故以及如何执行一致的合规性。

什么是通用 ZTNA?定义下一代

通用 ZTNA 是一个统一的框架,可在所有用户、设备、地点和应用程序中应用单一、一致的安全策略–无论用户是在远程、分支机构还是总部工作,也无论应用程序是内部部署、基于云还是 SaaS 交付。

通用 “一词反映了区别于第一代 ZTNA 的四个关键方面:政策、执行、绩效和管理。

全球 ZTNA 的四大支柱

支柱 1–普遍政策:适用于每个人、每个地方的一个框架

单一策略框架适用于所有用户,无论其连接方式或地点如何。策略一次定义,随处执行,确保设备状态一致,消除漏洞。

Aryaka 实施:Aryaka 的统一 SASE 平台在以下方面执行统一的策略模型:

  • 远程用户(通过通用 ZTNA 客户端)
  • 分支机构(通过 SD-WAN)
  • 数据中心(通过零信任广域网)
  • 云应用

商业价值:

  • 消除政策不一致
  • 减少管理开销
  • 简化合规性审核
  • 提供一致的用户体验
1

多站点和复杂性增加

在多个站点部署和维护 MPLS 的成本很高。扩展缓慢,每个站点需要数周或数月的时间。缺乏对云和 SaaS 应用程序的本地支持,迫使流量发针,降低性能。

2

公共互联网广域网的陷阱

公共互联网广域网存在带宽不稳定和延迟不可预测的问题。这导致用户体验下降,尤其是实时应用程序和人工智能工作负载。

3

缺乏一致的安全性和可观察性

公共广域网和多协议标签交换都缺乏统一的可观察性、一致的策略和实时的威胁可视性,因此很难检测、分析或应对跨云、边缘和远程环境的异常情况。这种分散性造成了盲点,削弱了安全态势。

4

支出增加

公共广域网和多协议标签交换(MPLS)通常需要昂贵的硬件、多个供应商和复杂的管理,从而增加了资本支出(CapEx)和运营支出(OpEx)。IT 团队只能忙于基础设施建设,而无法专注于战略计划。

支柱 2 – 普遍执行:单通道架构

Aryaka 通过检测引擎一次性应用所有安全功能,包括 ZTNA、防火墙、网页过滤、IPS、反恶意软件、CASB 和 DLP。

传统的方法通常是将多个产品捆绑在一起,造成延迟、复杂性和执行不一致。Aryaka的OnePASS™架构只检查一次流量,同时应用所有策略。

Onepass 建筑

支柱 3–普遍绩效:全球私有骨干网

说到通用ZTNA,性能通常不是普遍设计的。用户要求通过Aryaka的私有零信任广域网(Zero Trust WAN),而不是不可预测的公共互联网,获得稳定、高性能的连接体验。一旦性能成为问题,用户就不太可能质疑安全性/可用性之间的权衡。

福利包括

  • 可预测的延迟(PoP 之间为<30 毫秒)
  • 优化路由和广域网优化
  • 减少数据包丢失和抖动
  • 从家庭 WiFi 或远程位置提供类似办公室的性能
  • 用户不会在安全性和性能之间做出权衡。

雅利安卡零信托基金

支柱 4–通用管理:单一窗口

通过 MyAryaka 门户,IT 团队可以配置策略、配置用户和设备、实时监控性能(BQI 评分)、关联安全事件并生成合规性报告–所有这些都可以从一个控制台完成。

商业价值:

  • 减少管理费用
  • 更快解决问题
  • 改进安全态势
  • 简化审计

雅利安卡零信托基金

通用 ZTNA 架构:它是如何组合在一起的

Aryaka 的架构有四个集成组件:

  1. 轻量级通用 ZTNA 客户端(Cloudbrink)–安全连接、设备状态报告、端点优化。
  2. 全球 PoP 基础设施 – 具有低延迟和集成安全堆栈的全球存在点。
  3. 零信任广域网(专用主干网)–避免使用公共互联网,优化路由选择,保证正常运行时间。
  4. 统一管理平面(MyAryaka)–集中策略、监控和报告。

通用 ZTNA 在行动:实际应用案例

  • 确保混合型员工的安全:通用 ZTNA 可确保多个地点的策略和设备检查保持一致,从而提高工作效率和安全性。
  • 加速多云应用访问:访问 AWS、Azure、GCP 和内部部署资源的开发人员可受益于单一策略和一致的性能,从而加快开发周期。
  • 保护 GenAI 创新:Universal ZTNA 提供人工智能专用功能:及时检查、影子人工智能阻断、策略执行和数据保护。

Aryaka 的通用 ZTNA 层级:选择正确的级别

作为 Aryaka 统一 SASE 即服务的一部分,ZTNA 在三层功能和能力下采用按站点许可的方式

第 1 级
安全远程访问		 第 2 级
基本通用 ZTNA		 第 3 级
高级通用 ZTNA
安全远程访问》中的所有内容,以及 基本通用 ZTNA 中的所有内容,以及
  • 随时随地远程访问
  • 零信任客户
  • 姿势检查
  • 统一 SASE 的安全策略执行
  • 高级安全的安全策略执行
  • 无客户端访问选项
  • 政策驱动的接入选择

零信任的未来是普遍的

通用 ZTNA 将 “零信任 “扩展到每个地方:每个用户、设备、位置和应用。它消除了碎片,简化了管理,并确保了可预测的性能。

“准备好体验通用 ZTNA 的强大功能了吗?下载 Aryaka 数据表预约演示,了解一项政策在任何地方的实际应用。