Cloudflare ZTNA(零信任網路存取)可以取代您的 VPN 嗎?

零信任網路存取 (ZTNA) 會在特定應用程式、私有 IP 和主機名四周建立安全疆界,把預設允許的 VPN 連線替換為基於認證和情境授予存取權限的默認拒絕策略。
2023-02-13
by 樂雲

VPN及零信任網路存取 (ZTNA)的歷史演進:


安全、無縫的遠端存取是經營的命脈,可提高遠端用戶的工作效率,並減少了 IT 團隊讓用戶加入應用程式並加以維護,使其敏捷及耐用所花費的時間。然而,遠端存取對許多企業來說是個挑戰。

有段時間,VPN 提供了一種簡單的方法,可在短時間內讓遠端用戶連接到公司網路。然而,隨著勞動力變得更加分散,企業需要讓遠端使用者在更長的時間內保持安全的連結,這種方法的缺陷就變得明顯,包括性能緩慢、網路安全風險增加以及擴充性問題。
隨著遠端存取需求的增長,越來越多企業從傳統的 VPN 轉向更安全、更高效的遠端存取解決方案。

零信任網路存取 (ZTNA) 會在特定應用程式、私有 IP 和主機名四周建立安全疆界,把默認允許的 VPN 連線替換為基於認證和情境授予存取權限的默認拒絕策略。

 

根據Cloudflare 白皮書內容提到:


2020 年,有大約 5% 的遠端存取主要採取 ZTNA 服務。由於傳統 VPN 存取的侷限,加上對更精確的存取和 工作階段控管的需求,預計在 2024 年這一數字將躍升至 40%。雖然 ZTNA 對企業來說具有一些明顯的優勢和擴充功能,但許多企業發現它尚無法完全替代 VPN 基礎結構。 但隨著 ZTNA 變得更加強大且 VPN 的問題變得更嚴重,這種情況正在迅速改變。

 


一、傳統 VPN介紹:


過去數十年來,企業藉由 VPN,讓遠端使用者能連接到具有一定隱私和網路安全措施的企業網路。若透過公共網路存取敏感性資訊,可能遭受任何攻擊者窺探或竊取;而 VPN 不同之處在於,讓用戶透過加密連線安全地存取內部資源。

兩種最常見的 VPN 實施模式,分別是基於客戶端的 VPN 和無客戶端的 SSL-VPN,會於下表內列出這兩種模式的優缺點:


1. 基於客戶端的 VPN: 提供優點及挑戰供參考:

 


2. 無客戶端的 SSL-VPN: 提供優點及挑戰供參考:
 


使用VPN的圖示:
 



隨著遠端工作變得越來越普遍,VPN 的 問題開始成倍地增加:

(1) 用戶查覺到效能緩慢:當VPN 距離用戶和他 們要存取的應用程式伺服器都很遠時,就會造成等待時間。

(2) 企業網路容易受到攻擊:由於沒有內建限制 存取關鍵基礎結構和資源的方法,容易受到惡意橫向移 動的影響,導致更嚴重的資料外洩。

 


二、ZERO TRUST 零信任網路存取介紹:


Zero Trust 網路安全規避了 VPN 固有的許多挑戰。它的基本原則是,網路內外任何用戶或設備都不被默認為可信任。為了降低資料外洩、內部攻擊和其他威脅的風險及影響。

使用Zero Trust 方法如下:
  • 驗證每一個登入和要求
  • 對所有用戶和設備要求嚴格的驗證
  • 根據身份認證和使用情境,限制每個用戶和設備可以存取的資訊
  • 並添加端對端加密,以隔離網路內的應用程式和資訊。
 

與 VPN 一樣,ZTNA 可以用幾種方式配置:

1.無客戶端(或由服務啟動)的 ZTNA:

使用現有瀏覽器而不是客戶端來建立安全連線並驗證用戶設備。過去,無客戶端 ZTNA 一直僅限於使用 HTTP/HTTPS 通訊協定的應用程式,但其兼容性正在快速發展。

優點:無客戶端 ZTNA 使用反向 Proxy 連線來防止直接存取應用程式,阻止用戶存取他們可能無權查看的應用程式和資料,並允許管理員在管理時有更大的控制權和靈活性。

2. 基於客戶端(或由端點啟動)的 ZTNA:

先在用戶設備上安裝軟體,然後才在控制媒介和經授權的應用程式之間建立加密連線。

優點:基於客戶端的 ZTNA 讓管理員可以更深入地瞭解存取應用程式的用戶其設備狀態、位置和風險脈絡,因而能建立及採取更精細的策略。同時,這種方法不限於 HTTP/HTTPS,因此可用於存取更廣泛的非 HTTP 應用程式,例如那些透過 SSH、RDP、VNC、SMB 和其他 TCP 連線的應用程式。

 

三、CLOUDFLARE 的遠端存取方法介紹


保護和擴充遠端存取應該是一個無縫的過程,不會對安全解決方案造成負擔、造成性能下降或產生不必要的成本。

Cloudflare 讓團隊能夠處理所有遠端存取的使用方式,並具有以下優點:
  • 用戶和管理員可輕鬆、無風險地上手。Cloudflare 可輕鬆與現有識別提供者和端點保護平台整合,以便採行 Zero Trust 策略,限制對企業應用程式和資源的存取。
  • 靈活部署基於用戶端和無用戶端 ZTNA(零信任網路存取)。Cloudflare 針對到 Web、SSH、VNC(即 將包括 RDP)應用程式的連線提供無用戶端支援,並針對非 HTTP 應用程式以及到內部 IP 的私人路由提供基於用戶端的支援。
 
 

四、用ZERO TRUST 網路存取取代傳統的 VPN


在過渡到無 VPN 網路安全這段漫長而痛苦的過程中,Zero Trust 方法的承諾,對於 IT 安全領導者來說可 能覺得很空洞。但是用 Zero Trust 網路存取替換您的 VPN 是可能的,且無需對支援的通訊協定或功能性 妥協。 建議的遷移路徑,會根據推動這項計畫的業務優先等級而有所不同。
  • 如果您優先考慮更快連接到應用程式,請首先為非網路應用程式部署基於客戶端的 ZTNA。
  • 如果增強應用程式存取規則的安全性更重要,請從 Web 應用程式開始。

如果您對於Cloudflare網路零信任網路存取還有想要了解更多,歡迎與我們聯繫洽詢! 我們將有專人服務。