許多企業組織對零信任網絡訪問(Zero Trust Network Access,簡稱「ZTNA」)的興趣非常濃厚,因為這是替代傳統VPN技術的一種有效方式,但是企業普遍缺乏實施方面的經驗。Gartner分析師最近列出了早期採用者給出的5個最佳實踐供企業借鑑,這些經驗可以讓企業未來應用ZTNA時變得更順暢、更高效。
圖 1. 實施零信任網絡訪問(ZTNA)的最佳實踐
圖片來源:Gartner
一、基於應用場景實施ZTNA
一些最終用戶組織表示,起初他們配置ZTNA以便為用戶授予訪問所有應用程序的權限,這與配置傳統VPN的方式相似。這種方法的問題在於,組織無法獲得ZTNA的全部好處。在部署ZTNA之前,應確定ZTNA的使用場景(比如用來控制對敏感應用程序的訪問或將訪問權限授予承包商),並針對適當的用戶組運用特定的策略。如果能迅速運用策略以限制對敏感應用程序的訪問,最終用戶組織將更容易受益於ZTNA。
二、提前了解應用程序的使用
許多組織往往在實施ZTNA解決方案時,才開始研究用戶和應用程序之間的關係。然而一些早期採用者表示,他們在實施ZTNA解決方案之前就開始研究兩者之間的關係了。比如,他們詢問營銷和財務等特定部門的業務負責人,以確定他們的團隊在使用哪些應用程序、以及需要訪問哪些承包商等。這種方法使他們能夠為每個團隊設定標準,並讓其在部署ZTNA時可以更快地取得進展。ZTNA項目經理表示,即使擁有應用程序發現工具,在確定哪些用戶需要訪問哪些應用程序時也需要做大量工作,因此最好儘早開始做好這一步。
三、重新梳理應用程序的訪問權限
與業務團隊和負責應用程序的團隊會面,以確保所有用戶訪問權限都是最新的。一些早期的ZTNA採用者表示,他們能夠更改或消除已換工作崗位或已離開公司的用戶訪問權限,並終止與自己不再有業務關係的第三方(承包商)的訪問權限。
四、 根據業務需求適時調整訪問策略
在部署ZTNA方面有經驗的最終用戶組織表示,對ZTNA策略採取「一勞永逸」的做法不切實際。隨着業務需求的不斷變化,應適時調整遠程訪問策略。例如:伴隨新應用程序(或季節性應用程序)的部署,ZTNA團隊將需要添加新的訪問策略;隨着應用程序不斷變化或業務負責人確定需要粒度更強或限制性更強的策略,訪問策略也可能需要予以更新。ZTNA團隊要有這樣的觀念,即要始終不斷改進和完善訪問策略。
五、與業務部門充分溝通
一些業務負責人可能會對遷移到ZTNA帶來的用戶體驗變化提出異議。應向這些業務負責人表明:新的ZTNA模式比傳統VPN提供更大的靈活性。基於上下文的多因子身份驗證(MFA)就是一個例子。如果用戶試圖使用企業擁有和管理的設備來訪問應用程序,可以繞過MFA。然而,如果用戶試圖使用個人擁有的設備來訪問應用程序,就需要MFA。ZTNA解決方案天生具有更大的靈活性,可能有助於打消改用這項新技術所引起的擔憂。
參考鏈接:
https://www.gartner.com/doc/reprints?__hstc=129011283.f046b83eb09ceb70ed069cec53f7da7c.1647239350145.1647239350145.1647239350145.1&__hssc=129011283.1.1647239350148&__hsfp=2871144469&id=1-28WOV45M&ct=220126&st=sb&submissionGuid=f0d9fb37-7ac9-4224-b734-32f7f047f5ba
相關閱讀
NSTAC:建設零信任安全的八個要點
留言列表