零信任網路訪問(ZTNA)：使用 Forcepoint ONE 可輕鬆簡化零信任之路

當人們談論實施零信任時，通常首先將事情分為兩大類，“資源”和“使用者”。這是有道理的，因為資源和使用者之間的交互必須通過零信任控制來保護。過去常常以預先確定的內部網路為重要的起始點。 因此，主要從實施網路分段的控制開始。隨著流行將更多的使用者推到網路之外，並將更多的工作環境推向雲端，人們開始關注使用零信任網路訪問 (ZTNA) 解決方案來保護對私人應用程序的遠端訪問，而無需擔心 VPN 帶來的痛苦和風險。 它還更加關注雲端訪問安全代理 (CASB) 的使用，以便為雲端應用程序的使用者提供類似的控制。

訪問網路是至關重要的，那麼為何它會被忽視呢？

經常被忽視的是典型使用者對一般網站造訪的依賴性。因為一般網路使用通常是大多數組織的最大威脅媒介。點擊不安全的連結通常是攻擊的開始。除此之外，掃描暴露在公共網路上的資源是一種標準的偵察策略，用於識別勒索軟件攻擊或資料外洩的潛在受害者。員工需要使用一系列資源來完成他們的工作。而我們對每個階層也有不同級別的控制。

訪問網路是組織內各部門和不同類型組織中使用最廣泛的資源之一。但到目前為止，我們對一般網路內容的控制最少。如果我們將控制私人資源、雲端資源和一般網路使用圖，它可能看起來像這樣：

對於雲端應用程序的過程，只需考慮常見的共同承擔責任的類型，即可了解組織在從基礎設施服務(IaaS) 轉向平台服務 (PaaS) 和軟體服務時對資源的控制逐漸減少（SaaS）。 IaaS 為組織提供了比 PaaS 或 SaaS 更多的控制權。當我們訪問網路時，沒有任何控制，它就會消失。然而，我們不能僅僅切斷對網路的訪問，因為它至關重要，因此我們正在接受相關風險。這些風險不僅僅來自一個方向，我們需要阻止的不僅僅是進入網站的惡意軟體，還有離開網站後可能會有的資料遺失。

僅限制對受信任的網站訪問並不能解決問題

通用的上網行為過濾已經存在了幾十年，隨著應用的演進，需求上不斷的變化。安全網路閘道 (SWG) 更進一步為組織，實施傳輸內容檢查，以掃描網路流量中的個資與敏感資料等內容，防止資料外洩，並檢查是否有惡意內容與惡意軟體的入侵。如果您充分使用資料外洩防護 (DLP) 功能，那麼您可以真正阻止敏感資料遺失，但許多不具備強大 DLP 功能的組織發現，除了”事後稽核”和”事中發送通知” 外，很難做到其他更多的事情。

若只允許訪問可信任的網站內容會有許多的不便。因為有時組織可能仍然需要開放訪問某些不特定網站，或特定網站類別，而不確定其可能存在的風險為何。例如，在銀行行員地上網控管情境中，可能個金或法金的放款人員，需要訪問某個中小企業網站，或透過Google搜尋，來調查該企業狀況，以確定是否批准貸款。

關鍵問題仍然存在：我們如何在我們無法管理的所有網站內容上實施諸如私人和雲端應用程序的零信任控制呢？ 答案是被稱之為零信任網路訪問(ZTNA)的概念。

零信任網路訪問提供保護和訪問

零信任網路訪問允許您使用遠端瀏覽器隔離 (RBI) 來隔離和保護瀏覽器的使用。 可以把它想像成在手機上使用 FaceTime 直播與網站的互動。使用者真正得到的只是遠端隔離瀏覽器中發生的事件影片。這允許使用者訪問網路內容——即使它是惡意的。遠端瀏覽器可能會被感染，但它會在使用結束時即被刪除。換句話說，它們都不能觸及到終端使用者的電腦，因為隔離，所以確保端點的安全。

RBI 內的內容清洗和重建 (CDR) 使事情更進一步。它清理文檔和圖像，從頭開始將它們重新變為乾淨的文件，沒有任何潛在的隱藏元素，如隱藏在圖像中的惡意軟體或敏感資料。透過將 CDR 與 RBI 相結合，由安全網路閘道 (SWG) 管理的流量就會獲得高度的安全控制，您可以輕鬆地透過這些增強的保護網路流量，並透過正常的 SWG 控制發送更安全的流量。

這使您可以對網路流量進行足夠的控制以隔離使用者，從而提供真正的零信任保護。Forcepoint作為SASE 解決方案的核心供應商，能協助您透過一條簡單的途徑來採用統一的安全平台，為您的使用者和各地的分支機構站點提供安全、快速的訪問。從訪問網站內容到雲端資源，再到私人應用程序和網路，Forcepoint 能夠簡化零信任之路。

在此處了解有關 Forcepoint ONE SWG 的更多訊息https://www.forcepoint.com/product/secure-web-gateway。

原文連結：https://www.forcepoint.com/blog/insights/zero-trust-web-access-extends-zero-trust-model-to-web-access