ZTNA vs. VPN

比較本指南中的 ZTNA 和 VPN,檢視安全性、效能和彈性,以協助您選擇符合組織需求的遠端存取解決方案。


概要

As data breaches become more common, organizations need a better way to protect their data. A zero trust network architecture (ZTNA) and a virtual private network (VPN) are two different solutions for user authentication and authorization.

image_pdfimage_print

雖然零信任網路架構 (ZTNA) 和虛擬私有網路 (VPN) 都提供了安全的解決方案,以遠端存取您的環境,但它們使用不同的框架和規則進行使用者驗證和授權。允許遠端存取您的網路環境,會為您的資料安全性帶來極大風險,但 ZTNA 和 VPN 提供策略,以封鎖未經授權的使用者和資料竊聽。了解這兩種策略之間的差異,有助於您確定哪種策略適合您的組織。

什麼是 ZTNA?

零信任策略包含“從不信任,永遠驗證”,這意味著每個資料請求都經過驗證流程。每項資料請求都假設網路已遭入侵,且請求可能來自威脅。這表示即使使用者已通過網路驗證,使用者在網路系統驗證使用者是否有權提出請求的情況下,絕對無法信任使用者存取資料。

例如,假設使用者使用其憑證在網路上進行驗證。現在,他們需要使用內部業務應用程式存取資料。ZTNA 需要額外的帳戶驗證(例如應用程式使用者名稱和密碼),以驗證軟體和存取資料。管理員可以使用單一登入 (SSO) 解決方案,但這些解決方案必須與您的零信任網路架構整合,才能提供資料保護

什麼是 VPN?

虛擬私有網路 (VPN) 會在使用者要求存取本機環境時,對使用者進行驗證。通常,使用者位於公司辦公室以外的遠端位置,但有些組織為位於輔助辦公室位置的使用者實施 VPN。VPN 與網路驗證服務整合,但也與多因素 (MFA) 解決方案搭配使用,以提供更佳的安全性。

使用者通過 VPN 系統驗證後,只要使用者是授權群組的一部分,即可存取網路的任何區域。次要驗證可與 VPN 整合,包括 ZTNA。VPN 的最大優勢是易於實施,許多解決方案直接與 Active Directory 或 LDAP 配合使用。

ZTNA 與 VPN 之間的主要差異

雖然 VPN 是 ZTNA 策略的一部分,但僅 VPN 並不遵循 ZTNA 框架。ZTNA 要求管理員在存取任何公司資源之前,一律先驗證使用者帳戶,因此比舊式安全架構更安全。VPN 僅驗證使用者,並驗證使用者是否應能夠存取公司網路,但在初次驗證後不會進行驗證。

在 ZTNA 環境中,使用者只能存取執行工作所需的資源。這種最低權限策略的原則限制了攻擊者入侵帳戶的風險。VPN 允許存取網路管理員,前提是允許存取資源或資源群組,即使使用者的工作功能具有廣泛且不必要的權限。

透過 VPN 使用 ZTNA 的優勢

隨著資料外洩的發生,企業組織需要更好的方法來保護檔案和資料。使用 VPN 遭入侵的使用者帳戶會讓整個環境變得脆弱。有了 VPN,使用者即可存取整個環境,除了 VPN 解決方案所使用的驗證和授權之外,無需驗證。使用 ZTNA 時,使用者帳戶可能會遭到入侵,但額外的驗證會阻止攻擊者遭受額外的傷害。

舉例來說,使用者可能會透過網路進行驗證,但所有軟體存取資料都需要額外的驗證。使用者必須先輸入密碼才能開啟軟體,沒有軟體密碼的使用者將無法開啟。這種額外的安全性限制了使用者網路帳戶遭入侵時所揭露的資料量。

ZTNA 的使用案例

每個組織都應該考量 ZTNA 的安全性,但有遠端使用者和敏感資料的環境應該特別使用 ZTNA。有了 ZTNA,使用者在存取資料前必須一律驗證存取,即使他們之前已存取資料並在網路上進行驗證。使用者必須針對每項資料要求驗證其帳戶,通常由系統處理,而非提示使用者持續輸入密碼。

應用程式也會驗證其授權。例如,要求資料的指令檔在每次執行時都需要驗證。如果攻擊者入侵指令碼,他們能夠存取的資料將受到限制。Ransomware在能夠存取資料並加密之前也會被阻止。

VPN 的使用案例

遠端使用者需要一種方法來存取內部網路,VPN 是絕佳的解決方案。它可與 ZTNA 整合,但有些小型組織只使用 VPN 驗證。VPN 非常適合輕鬆存取應用程式或伺服器。遠端使用者若要求在工作期間從網路中提取資料,即可從簡單的 VPN 連線中獲益。

當使用者在不安全的 Wi-Fi 網路中時,遠端存取必須採用 VPN。公共 Wi-Fi 可能遭到入侵,但 VPN 會將資料加密,以避免遭到竊聽。VPN 也保護資料在網際網路上傳輸時免於竊聽。它還能防止中間人 (MITM) 攻擊造成資料竊聽。

結論

遠端使用者的安全是保護公司資料的必要條件,但 ZTNA 會在使用者帳戶遭入侵時保護資料。ZTNA 和 VPN 都有安全性優勢,可以一起建立一套完整的安全性計畫,以限制網路風險。

為協助災害復原與提升 ZTNA 安全性,Pure Storage 提供數種解決方案:

  • SafeMode」 快照利用資料快照保護資料,在事件發生後復原資料,防範勒索軟體
  • Evergreen 架構升級您的基礎架構,確保其安全,不會中斷
  • ActiveDRShield主動、永遠在線的災害復原
  • ActiveCluster 解決方案:跨環境同步複寫,實現快速故障轉移