ZTNA vs. VPN

雖然零信任網路架構 （ZTNA） 和虛擬私有網路 （VPN） 都提供了安全的解決方案，以遠端存取您的環境，但它們使用不同的框架和規則進行使用者驗證和授權。允許遠端存取您的網路環境，會為您的資料安全性帶來極大風險，但 ZTNA 和 VPN 提供策略，以封鎖未經授權的使用者和資料竊聽。了解這兩種策略之間的差異，有助於您確定哪種策略適合您的組織。

什麼是 ZTNA？

零信任策略包含“從不信任，永遠驗證”，這意味著每個資料請求都經過驗證流程。每項資料請求都假設網路已遭入侵，且請求可能來自威脅。這表示即使使用者已通過網路驗證，使用者在網路系統驗證使用者是否有權提出請求的情況下，絕對無法信任使用者存取資料。

例如，假設使用者使用其憑證在網路上進行驗證。現在，他們需要使用內部業務應用程式存取資料。ZTNA 需要額外的帳戶驗證（例如應用程式使用者名稱和密碼），以驗證軟體和存取資料。管理員可以使用單一登入 （SSO） 解決方案，但這些解決方案必須與您的零信任網路架構整合，才能提供資料保護。

什麼是 VPN？

虛擬私有網路 （VPN） 會在使用者要求存取本機環境時，對使用者進行驗證。通常，使用者位於公司辦公室以外的遠端位置，但有些組織為位於輔助辦公室位置的使用者實施 VPN。VPN 與網路驗證服務整合，但也與多因素 （MFA） 解決方案搭配使用，以提供更佳的安全性。

使用者通過 VPN 系統驗證後，只要使用者是授權群組的一部分，即可存取網路的任何區域。次要驗證可與 VPN 整合，包括 ZTNA。VPN 的最大優勢是易於實施，許多解決方案直接與 Active Directory 或 LDAP 配合使用。

ZTNA 與 VPN 之間的主要差異

雖然 VPN 是 ZTNA 策略的一部分，但僅 VPN 並不遵循 ZTNA 框架。ZTNA 要求管理員在存取任何公司資源之前，一律先驗證使用者帳戶，因此比舊式安全架構更安全。VPN 僅驗證使用者，並驗證使用者是否應能夠存取公司網路，但在初次驗證後不會進行驗證。

在 ZTNA 環境中，使用者只能存取執行工作所需的資源。這種最低權限策略的原則限制了攻擊者入侵帳戶的風險。VPN 允許存取網路管理員，前提是允許存取資源或資源群組，即使使用者的工作功能具有廣泛且不必要的權限。

透過 VPN 使用 ZTNA 的優勢

隨著資料外洩的發生，企業組織需要更好的方法來保護檔案和資料。使用 VPN 遭入侵的使用者帳戶會讓整個環境變得脆弱。有了 VPN，使用者即可存取整個環境，除了 VPN 解決方案所使用的驗證和授權之外，無需驗證。使用 ZTNA 時，使用者帳戶可能會遭到入侵，但額外的驗證會阻止攻擊者遭受額外的傷害。

舉例來說，使用者可能會透過網路進行驗證，但所有軟體存取資料都需要額外的驗證。使用者必須先輸入密碼才能開啟軟體，沒有軟體密碼的使用者將無法開啟。這種額外的安全性限制了使用者網路帳戶遭入侵時所揭露的資料量。

ZTNA 的使用案例

每個組織都應該考量 ZTNA 的安全性，但有遠端使用者和敏感資料的環境應該特別使用 ZTNA。有了 ZTNA，使用者在存取資料前必須一律驗證存取，即使他們之前已存取資料並在網路上進行驗證。使用者必須針對每項資料要求驗證其帳戶，通常由系統處理，而非提示使用者持續輸入密碼。

應用程式也會驗證其授權。例如，要求資料的指令檔在每次執行時都需要驗證。如果攻擊者入侵指令碼，他們能夠存取的資料將受到限制。Ransomware在能夠存取資料並加密之前也會被阻止。

VPN 的使用案例

遠端使用者需要一種方法來存取內部網路，VPN 是絕佳的解決方案。它可與 ZTNA 整合，但有些小型組織只使用 VPN 驗證。VPN 非常適合輕鬆存取應用程式或伺服器。遠端使用者若要求在工作期間從網路中提取資料，即可從簡單的 VPN 連線中獲益。

當使用者在不安全的 Wi-Fi 網路中時，遠端存取必須採用 VPN。公共 Wi-Fi 可能遭到入侵，但 VPN 會將資料加密，以避免遭到竊聽。VPN 也保護資料在網際網路上傳輸時免於竊聽。它還能防止中間人 （MITM） 攻擊造成資料竊聽。

結論

遠端使用者的安全是保護公司資料的必要條件，但 ZTNA 會在使用者帳戶遭入侵時保護資料。ZTNA 和 VPN 都有安全性優勢，可以一起建立一套完整的安全性計畫，以限制網路風險。

為協助災害復原與提升 ZTNA 安全性，Pure Storage 提供數種解決方案：

• SafeMode」 快照： 利用資料快照保護資料，在事件發生後復原資料，防範勒索軟體
• Evergreen 架構：升級您的基礎架構，確保其安全，不會中斷
• ActiveDRShield：主動、永遠在線的災害復原
• ActiveCluster 解決方案：跨環境同步複寫，實現快速故障轉移