保護遠程訪問安全的傳統(tǒng)方法是使用VPN。然而，隨著企業(yè)開始了解零信任理念，即用戶未經(jīng)身份驗證不得訪問任何數(shù)據(jù)源，VPN逐漸被證明是遠遠不夠的。

　　多年來，對安全遠程訪問本地資源的需求一直在穩(wěn)步上升。然而眾所周知，在疫情期間向遠程工作方式的轉移加速了這種需求。盡管企業(yè)在尋求接受各種數(shù)字化轉型計劃并實現(xiàn)遠程工作時已將更多數(shù)據(jù)移至云端，但對本地資源的需求一直存在，員工仍然需要安全地遠程訪問這些數(shù)據(jù)。

　　當公司在尋求實施零信任網(wǎng)絡訪問（ZTNA）解決方案時，需要考慮一些重要的因素以避免性能、數(shù)據(jù)丟失保護（DLP）、高級威脅保護（ATP）、可見性和報告等領域常出現(xiàn)的一些陷阱。

　　如何避免零信任安全陷阱

　　在比較ZTNA選項時，組織應詢問以下四個關鍵問題，以確保其方法能夠滿足其安全需求：

　　1.它能否適應當今的混合工作環(huán)境？

　　在選擇正確的ZTNA解決方案時，性能至關重要。自疫情初期以來，工作場所已經(jīng)發(fā)生了較大的變化，當時許多組織投入巨資擴展其VPN容量以適應遠程工作。由于許多工作場所已過渡到混合環(huán)境，因此可能不再需要擴展這項技術的程度。

　　基于本地設備的VPN將配置和擴展的負擔交給了消費組織。為了限制導致的風險，公司應該尋求一種ZTNA解決方案，該解決方案允許解決方案提供商在公共云中托管運行所需的基礎設施。

　　尋找一個公共的、云托管的解決方案是一個開始，但它不是唯一需要考慮的性能組件。安全團隊還必須仔細審查解決方案，以確保其響應能力和可靠性符合業(yè)務需求。為此，組織應根據(jù)其典型用戶群（應包括全球不同地點的用戶）對其進行評估，并檢查是否存在任何潛在的附加延遲。無論每個用戶位于何處，一個良好的解決方案都能夠適應使用高峰，并擁有一致高可用性的可認證記錄。

　　2.它會實時識別和防止不必要的暴露嗎？

　　組織需要的解決方案不僅僅是在事件發(fā)生后向他們發(fā)出警報。相反，它必須提供實時強制執(zhí)行以避免數(shù)據(jù)丟失。在向遠程工作環(huán)境轉變以及由此導致的非托管個人設備使用激增的過程中，防止敏感信息泄露一直是安全團隊面臨的眾多挑戰(zhàn)之一。

　　這就是為什么在選擇ZTNA解決方案時，必須考慮該技術成功實施本地資產(chǎn)下載和上傳（如有必要）DLP策略能力的原因。

　　為了在整個組織的IT基礎架構中促進零信任規(guī)則的實施，安全團隊必須確保解決方案變得精細，并且可以根據(jù)位置、用戶類型和其他身份要素等因素進行配置。

　　3.ATP：它能實時阻止惡意軟件嗎？

　　ATP是ZTNA解決方案的另一個重要組成部分。惡意軟件很容易在員工不知情的情況下上傳到文檔中；它還可以通過下載傳播到其他設備和用戶。一旦發(fā)生這種情況，如果沒有合適的技術，威脅行為者就可以在整個組織中橫向移動。這就是為什么ZTNA解決方案必須擁有實時阻止惡意軟件的上傳、下載和傳播能力的原因。

　　ATP現(xiàn)在特別重要，因為它能夠保護使用個人、非管理設備的遠程員工，而在這些設備上公司無法安裝安全軟件。對于這些人來說，ZTNA解決方案能夠阻止惡意軟件的上傳和下載而無需在用戶設備上安裝軟件。

　　4.是否有助于監(jiān)管合規(guī)？

　　最后，組織應尋求一種提供實時可見性和控制的ZTNA解決方案，以幫助他們證明合規(guī)性。報告功能應包括完整詳細的日志，用于指定托管和非托管設備的所有文件、用戶和應用程序活動（包括設備類型、IP地址、位置和訪問時間）。

　　選擇能夠實現(xiàn)簡單SIEM集成和可導出日志的解決方案還可將可視性擴展到公司內部網(wǎng)絡的其他部分。

　　綜合平臺的一個方面

　　ZTNA的戰(zhàn)略性投資意味著確保所選技術是綜合平臺的一部分，例如安全訪問服務邊緣（SASE）。SASE是Gartner在2019年首次提出的網(wǎng)絡安全概念，它整合了傳統(tǒng)上不同的網(wǎng)絡和云服務。該平臺可以在一個統(tǒng)一的、基于云的平臺中使用各種安全技術來保護設備、應用程序、Web目標、本地資源和基礎設施之間的每一次交互。