Gartner零信任网络访问市场指南(2020版)(7)

2023-05-25 来源:飞速影视
在网络或云中隔离高价值企业应用程序,以减少内部威胁,并影响管理性访问职责的分离。在个人设备上验证用户——ZTNA可以通过降低全面管理要求和实现更安全的直接应用程序访问,提高安全性并简化自带设备(BYOD)项目。在物联网网段上,创建物联网设备的安全飞地或基于虚拟设备的连接器,进行连接。在敌意网络上隐藏系统,例如用于协作的系统,否则会开放给公共互联网。
02
风险
尽管ZTNA大大降低了总体风险,但并没有完全消除所有风险,如以下示例所示:
信任代理可能成为任何一种失效的单点。当服务关闭时,通过ZTNA服务完全隔离的应用程序将停止工作。精心设计的ZTNA服务,应包括物理和地理冗余,具有多个入口和出口点,以最大限度地降低中断影响整体可用性的可能性。此外,供应商的SLA(或缺少SLA)可以指示他们对其产品的看法有多稳健。应支持带有SLA的供应商,以尽量减少业务中断。信任代理的位置会给用户造成延迟问题,对用户体验产生负面影响。精心设计的ZTNA产品,应提供多个POP,结合对等关系,以提高冗余度,同时减少延迟。攻击者可能试图破坏信任代理系统。虽然不太可能,但风险并不是零。建立在公有云上或主要互联网运营商中的ZTNA服务,可得益于提供商强大的租户隔离机制。然而,租户隔离的崩溃,将允许攻击者渗透到供应商的客户的系统中,并在其内部和之间横向移动。
受损的信任代理应立即故障转移到冗余的信任代理。如果它不能,那么它就应该关闭——也就是说,如果它不能转移滥用,它就应该断开与互联网的连接。应支持采取这种立场的供应商。此外,请验证供应商是否维护了自己的安全运行团队,这些团队勤勉地监视其基础设施,以发现影响服务完整性的问题。受损的用户凭据,可能允许本地设备上的攻击者观察和渗出设备中的信息。结合设备身份验证和用户身份验证的ZTNA架构,在一定程度上遏制了这种威胁,阻止了攻击传播到设备本身之外。建议在可能的情况下,MFA应该与任何ZTNA项目一起使用。考虑到信任代理失效和用户凭据的问题,管理员帐户应准备好防范攻击。限制管理员的数量,并监视他们的活动,以减少内部威胁,并支持默认情况下需要对管理员进行强身份验证的供应商。一些ZTNA供应商已选择将其开发重点放在仅支持web应用协议(HTTP/HTTPS)上。
通过ZTNA服务承载遗留应用程序和协议,对供应商的开发和客户的部署都是一项更具技术挑战性的工作。市场在不断变化,较小的供应商可能消失或被收购。
相关影视
合作伙伴
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)

www.fs94.org-飞速影视 粤ICP备74369512号