فهرست مطالب

معرفی

دسترسی امن از راه دور دیگر انتخابی بین اتصالات رمزگذاری شده و غیر رمزگذاری شده نیست. هر دو راه حل دسترسی از راه دور VPN مدرن و Zero Trust می‌توانند داده‌ها را در حین انتقال محافظت کنند. سوال مهم‌تر این است که یک کاربر یا دستگاه پس از احراز هویت به چه چیزی می‌تواند دسترسی پیدا کند.

یک VPN اغلب اتصال شبکه را به یک نقطه انتهایی از راه دور گسترش می‌دهد. دسترسی شبکه با اعتماد صفر به رویکردی مبتنی بر منابع می‌پردازد و قبل از اعطای دسترسی، کاربر، دستگاه، برنامه درخواست شده و زمینه فعلی را ارزیابی می‌کند. برای بسیاری از سازمان‌ها، بهترین طراحی نه یک جایگزینی کامل، بلکه یک تقسیم عمدی بین دسترسی به برنامه و دسترسی واقعی به شبکه است.

VPN چیست؟

A شبکه خصوصی مجازی یک تونل رمزگذاری شده بین یک دستگاه از راه دور و یک دروازه VPN ایجاد می‌کند که قبل از مسیریابی ترافیک تأیید شده به شبکه‌های خصوصی، زیرشبکه‌ها یا خدمات، اتصال را احراز هویت می‌کند.

اگرچه یک VPN نیازی به ارائه دسترسی نامحدود ندارد، مدل عملیاتی آن همچنان مبتنی بر شبکه است. مدیران می‌توانند اعمال کنند:

  • احراز هویت چندعاملی
  • دی گواهی‌نامه‌های دستگاه
  • قوانین فایروال
  • تقسیم‌بندی شبکه
  • الف لیست‌های کنترل دسترسی

با این حال، نقطه پایانی معمولاً هنوز یک مسیر در سطح IP به یک یا چند منبع داخلی دریافت خواهد کرد.

زیرا این مدل به خوبی تثبیت شده و از طیف وسیعی از پروتکل‌ها پشتیبانی می‌کند، زمانی که مدیران به دسترسی گسترده به زیرساخت نیاز دارند، برنامه‌ها به آدرس‌دهی داخلی وابسته هستند یا دو سایت نیاز به تبادل ترافیک به صورت ایمن دارند، همچنان مفید باقی می‌ماند.

خطر اصلی زمانی بروز می‌کند که مجوزهای VPN فراتر از آنچه کاربر واقعاً نیاز دارد، گسترش یابد. به عنوان مثال، یک کارمند از راه دور که فقط به یک برنامه حسابداری نیاز دارد، ممکن است به دسترسی به کل زیرشبکه مالی نیازی نداشته باشد.

Zero Trust Remote Access (ZTNA) چیست؟

در استفاده عمومی، دسترسی از راه دور Zero Trust معمولاً به دسترسی شبکه Zero Trust، یا ZTNA اشاره دارد. ZTNA اعمال می‌شود اصول صفر اعتماد به اتصال از راه دور با اعطای دسترسی به یک برنامه، دسکتاپ یا سرویس خاص به جای گسترش دسترسی عمومی به شبکه.

تصمیم می‌تواند چندین سیگنال را در نظر بگیرد:

  • هویت و نقش کاربر
  • مالکیت دستگاه و وضعیت امنیتی
  • منبع درخواست شده
  • محل و زمان دسترسی
  • قدرت احراز هویت
  • ریسک جلسه یا رفتار غیرمعمول

NIST توصیف می‌کند اعتماد صفر به عنوان یک معماری که اعتماد ضمنی را بر اساس موقعیت شبکه حذف کرده و منابع فردی را از طریق احراز هویت و مجوزدهی صریح محافظت می‌کند. ZTNA یکی از راه‌های اعمال آن اصل است، نه کل معماری Zero Trust.

پس از تأیید یک درخواست، کاربر به یک مسیر کنترل‌شده به منبع مجاز دسترسی پیدا می‌کند. سیستم‌های تأییدنشده نیازی به قابل مشاهده یا قابل مسیریابی شدن از نقطه پایانی ندارند. سیاست‌ها همچنین ممکن است باعث احراز هویت مجدد، دسترسی محدود یا خاتمه جلسه شوند زمانی که ریسک تغییر کند.

دسترسی از راه دور صفر اعتماد در مقابل VPN: تفاوت‌های کلیدی

تفاوت بین ZTNA و VPN بیشتر به جنبه‌های معماری مربوط می‌شود تا صرفاً فناوری. یک VPN به‌خوبی تقسیم‌بندی‌شده می‌تواند بسیار محدودکننده باشد، در حالی که یک پیاده‌سازی ZTNA که به‌خوبی مدیریت نشده باشد، هنوز هم می‌تواند دسترسی بیش از حدی را فراهم کند.

معیار VPN دسترسی از راه دور صفر اعتماد یا ZTNA
دسترسی به هدف شبکه، زیرشبکه یا دامنه خدمات برنامه خاص، دسکتاپ یا سرویس
زمینه سیاست اصلی مسیرها، آدرس‌های IP، گروه‌ها و قوانین فایروال هویت، دستگاه، منبع و سیگنال‌های زمینه‌ای
دیدVisibility شبکه خدمات داخلی ممکن است پس از اتصال قابل دسترسی شوند منابع غیرمجاز می‌توانند ناشناخته باقی بمانند
جریان کاربر تونل را ایجاد کنید، سپس منبع را باز کنید درخواست یا راه‌اندازی یک منبع تأیید شده به‌طور مستقیم
بهترین تناسب دسترسی در سطح شبکه، دسترسی قدیمی و دسترسی سایت به سایت دسترسی در سطح برنامه برای کاربران و طرف‌های سوم
معامله اصلی عملیاتی آشنا اما می‌تواند گسترده و سنگین بر روی دروازه شود جزئیاتی اما نیاز به نقشه‌برداری برنامه و هویت دارد

مدل امنیتی

یک VPN سنتی تصمیم اصلی اعتماد خود را زمانی که تونل برقرار می‌شود، اتخاذ می‌کند. پلتفرم‌های مدرن می‌توانند آن تصمیم را با دسترسی شرطی، بررسی‌های نقطه پایانی و احراز هویت مجدد تقویت کنند، اما جلسه هنوز با گسترش اتصال شبکه به کاربر آغاز می‌شود.

ZTNA رویکردی متمرکز بر منابع بیشتری اتخاذ می‌کند. یک رمز عبور معتبر و عامل دوم به طور خودکار دسترسی به هر سیستم داخلی را فراهم نمی‌کند، زیرا سیاست همچنین می‌تواند نیاز به یک دستگاه مدیریت شده، یک مکان تأیید شده، یک نقش کاربری خاص یا یک جلسه با ریسک کمتر قبل از در دسترس قرار دادن برنامه درخواست شده داشته باشد.

این مدل دسترسی باریک‌تر از حداقل امتیاز پشتیبانی می‌کند و می‌تواند تعداد سیستم‌های در معرض خطر را در صورت سرقت اعتبارنامه‌ها محدود کند. با این حال، ZTNA خطر نقض حساب را از بین نمی‌برد، زیرا یک مهاجم ممکن است هنوز از هر برنامه‌ای که حساب نقض شده مجاز به باز کردن آن است، سوءاستفاده کند.

تجربه کاربری

کاربران VPN اغلب نیاز دارند که یک کلاینت را باز کنند، منتظر بمانند تا تونل متصل شود، درخواست‌های احراز هویت را تکمیل کنند و سپس برنامه مورد نیاز را راه‌اندازی کنند. زمانی که تضادهای DNS، قوانین تونل‌زنی تقسیم‌شده، شبکه‌های محلی ناپایدار یا پیکربندی‌های منقضی‌شده کلاینت باعث بروز مشکلات می‌شوند، نتیجه می‌تواند درخواست‌های پشتیبانی اضافی باشد.

ZTNA می‌تواند این فرآیند را با ارائه تنها منابع تأیید شده از طریق یک پورتال، مرورگر یا کلاینت سبک ساده کند. به جای دریافت دسترسی عمومی به شبکه در ابتدا، کاربر می‌تواند برنامه مورد نیاز را به طور مستقیم راه‌اندازی کند.

تجربه هنوز به پیاده‌سازی بستگی دارد، زیرا برخی پروتکل‌ها به یک عامل نقطه پایانی نیاز دارند و برخی برنامه‌های قدیمی به خوبی از طریق یک پروکسی برنامه کار نمی‌کنند. بنابراین، قبل از مهاجرت، تیم‌های IT باید آزمایش کنند:

  • احراز هویت
  • چاپ
  • انتقال فایل
  • · کنترل‌های کلیپ بورد
  • رفتار اتصال مجدد

معرض شبکه

یک دروازه VPN یک سرویس لبه رو به اینترنت است، بنابراین باید وصله‌گذاری، نظارت و محافظت شود. بسته به مسیرها، تقسیم‌بندی و سیاست فایروال موجود، یک کاربر متصل ممکن است بتواند آدرس‌ها یا خدمات داخلی را نیز کشف کند.

ZTNA می‌تواند این معرض را با قرار دادن یک کارگزار یا نقطه اجرایی بین کاربر و برنامه کاهش دهد. این به نقطه پایانی دسترسی به منبع تأیید شده را بدون ایجاد یک مسیر عمومی به شبکه اطراف می‌دهد.

اگرچه این طراحی می‌تواند حرکت جانبی را دشوارتر کند، اما کانکتورها، ارائه‌دهندگان هویت، دروازه‌ها و سرورهای برنامه هنوز نیاز به ایمن‌سازی دارند. راهنمای CISA همچنین نرم‌افزار دسترسی از راه دور و دستگاه‌های لبه را به عنوان زیرساخت‌های با ارزش بالا در نظر می‌گیرد که نیاز به احراز هویت چندعاملی، وصله‌گذاری، ثبت وقایع و کاهش قرارگیری دارد.

عملکرد

طراحی‌های VPN معمولاً ترافیک را از طریق یک دروازه مرکزی یا مرکز داده منتقل می‌کنند که می‌تواند تأخیر را زمانی که یک کاربر از راه دور از طریق دفتر مرکزی به یک برنامه میزبانی شده در ابر متصل می‌شود، اضافه کند.

ZTNA ممکن است مسیر مستقیم‌تری به برنامه مجاز ارائه دهد، به‌ویژه زمانی که اتصالات یا نقاط خدمات نزدیک به کاربران و بارهای کاری توزیع شده باشند. با این حال، عملکرد هنوز به:

  • الزامات بازرسی
  • معماری ارائه‌دهنده
  • قرارگیری کانکتور
  • کیفیت اینترنت

یک VPN می‌تواند برای بارهای کاری مرکز داده داخلی یا محیط‌هایی با متمرکزکننده‌های محلی کارآمد باقی بماند. به جای فرض اینکه یک مدل همیشه سریع‌تر است، تیم‌های IT باید زمان‌های پاسخ برنامه و ثبات جلسه را در محیط خود مقایسه کنند.

مدیریت

تیم‌های شبکه با متمرکزکننده‌های VPN، مسیرها، قوانین فایروال و لیست‌های کنترل دسترسی آشنا هستند که می‌تواند استقرار را آسان‌تر کند. با این حال، با گذشت زمان، مجوزها ممکن است به دلیل انباشت گروه‌ها، زیرشبکه‌ها و استثناها سخت‌تر برای بررسی شوند.

ZTNA نیاز به فهرست واضح‌تری از کاربران، برنامه‌ها، الزامات دستگاه و وابستگی‌ها دارد. مدیران باید مشخص کنند که هر منبع را چه کسی نیاز دارد، کدام دستگاه‌ها را می‌توانند استفاده کنند و تحت چه شرایطی باید دسترسی داده شود. اگرچه این کار سیاستی نیاز به تلاش دارد، اما می‌تواند بررسی‌های دسترسی را معنادارتر کند زیرا مجوزها به طور مستقیم به برنامه‌های تجاری مرتبط هستند.

هر مدلی که استفاده شود، مدیریت مؤثر به اختصاص یک مالک به هر منبع، مستندسازی استثنائات و بررسی منظم امتیازات بستگی دارد. نه VPN و نه ZTNA بدون انضباط عملی مداوم ایمن نمی‌مانند.

هزینه

یک VPN ممکن است گزینه‌ای کم‌هزینه‌تر باشد زمانی که یک سازمان قبلاً زیرساخت‌های فایروال یا دروازه سازگار را در اختیار دارد. با این حال، هزینه کلی هنوز می‌تواند شامل موارد زیر باشد:

  • ظرفیت متمرکزکننده
  • دسترس‌پذیری بالا
  • پشتیبانی مشتری
  • پهنای باند
  • کار تقسیم‌بندی
  • نگهداری قوانین جاری

ZTNA ممکن است اشتراک‌های مبتنی بر کاربر، ادغام هویت، عامل‌های نقطه پایانی، اتصالات و کارهای مهاجرت را معرفی کند. در عین حال، می‌تواند بار بازگشتی VPN را کاهش دهد، دسترسی پیمانکاران را ساده کند و هزینه پشتیبانی از اتصال شبکه گسترده را کاهش دهد.

به همین دلیل، مقایسه باید بر هزینه کل مالکیت تمرکز کند نه فقط قیمت اولیه محصول. تیم‌های IT باید مجوزها، زیرساخت، تلاش‌های مرکز تماس، مدیریت سیاست‌ها، ریسک زمان‌های غیرقابل دسترسی و هزینه اعطای دسترسی بیشتر از آنچه کاربران واقعاً نیاز دارند را در نظر بگیرند.

VPN چه زمانی هنوز منطقی است؟

با وجود حرکت به سمت مدل‌های دسترسی خاص‌تر به منابع، یک VPN همچنان انتخاب مناسبی است زمانی که کاربران یا سیستم‌ها به‌طور واقعی به اتصال در سطح شبکه نیاز دارند.

این موضوع به ویژه زمانی مفید است که نیاز شامل پروتکل‌های متعدد، زیرساخت‌های مشترک یا برنامه‌هایی باشد که به دسترسی مستقیم به شبکه‌های داخلی وابسته‌اند.

نمونه‌های رایج شامل:

  • اتصال سایت به سایت بین دفاتر، مراکز داده یا شبکه‌های ابری
  • عیب‌یابی شبکه و مدیریت در سطح بسته
  • دسترسی به پروتکل‌های متعدد در یک بخش زیرساخت کنترل‌شده
  • برنامه‌های قدیمی که نمی‌توان از طریق یک دروازه برنامه منتشر کرد
  • محیط‌های توسعه، آزمایشگاه یا بازیابی از فاجعه که به اتصال گسترده نیاز دارند
  • ت دسترسی موقت در محیط‌هایی که تقسیم‌بندی و نظارت قبلاً به بلوغ رسیده‌اند

یک VPN بنابراین نه منسوخ است و نه به طور ذاتی ناامن. امنیت آن بستگی به این دارد که چگونه اتصال به دقت پیکربندی و مدیریت می‌شود، از جمله مسیرهای محدود، احراز هویت قوی، به‌روزرسانی منظم دروازه و جداسازی واضح بین کاربران عادی و مدیران دارای امتیاز.

زمانی که این کنترل‌ها در جای خود قرار دارند و نیاز کسب‌وکار به‌طور واقعی به شبکه مربوط می‌شود، یک VPN می‌تواند به‌عنوان یک راه‌حل مؤثر و عملی برای دسترسی از راه دور باقی بماند.

چه زمانی انتخاب بهتر صفر اعتماد است؟

ZTNA معمولاً انتخاب قوی‌تری است زمانی که کاربران به مجموعه‌ای مشخص از برنامه‌ها نیاز دارند تا به شبکه وسیع‌تر. این موضوع آن را به‌ویژه برای کارمندان دورکار، پیمانکاران، شرکا و تیم‌های پشتیبانی خارجی که نیازهای دسترسی آن‌ها به‌طور دقیق توصیف می‌شود، مناسب می‌سازد.

به عنوان مثال، یک سیاست اعتماد صفر ممکن است به اعضای گروه مالی اجازه دهد تا در ساعات تأیید شده به برنامه حسابداری دسترسی پیدا کنند، به شرطی که از دستگاه‌های مدیریت شده و احراز هویت چندعاملی استفاده کنند. این نوع قانون بررسی آن آسان‌تر از یک مجوز گسترده است که دسترسی به زیرشبکه مالی را فراهم می‌کند.

ZTNA همچنین به محیط‌های توزیع‌شده و مبتنی بر ابر مناسب است که در آن‌ها برنامه‌ها دیگر در پشت یک مرز اداری واحد قرار ندارند. با قرار دادن هویت و سیاست منابع در مرکز تصمیم‌گیری دسترسی، این مدل بار کاری را دنبال می‌کند نه یک مرز شبکه فیزیکی.

آیا نقطه میانی وجود دارد؟

بله. به جای اینکه هر جریان کاری را از طریق یک فناوری واحد مجبور کنیم، بسیاری از سازمان‌ها می‌توانند از ZTNA و VPN به طور همزمان استفاده کنند.

کارمندان استاندارد و پیمانکاران می‌توانند از طریق ZTNA یا یک پورتال امن برنامه، دسترسی در سطح برنامه دریافت کنند، در حالی که مدیران شبکه یک VPN کنترل‌شده یا دروازه دسترسی ویژه برای وظایفی که به اتصال در سطح IP نیاز دارند، حفظ می‌کنند. دفاتر شعب می‌توانند به استفاده از VPNهای سایت به سایت ادامه دهند و برنامه‌های قدیمی می‌توانند تا زمانی که به‌روز شوند، در مسیرهای VPN محدود باقی بمانند. به‌طور خاص منتشر شده .

یک انتقال مرحله‌ای معمولاً ایمن‌تر از یک جایگزینی ناگهانی است. تیم‌های IT می‌توانند گردش‌های کاری از راه دور را اختراع کنند، نیازهای سطح برنامه را از نیازهای سطح شبکه جدا کنند، کنترل‌های هویتی را تقویت کنند، یک برنامه محدود را آزمایش کنند و تنها پس از تأیید مسیر دسترسی جدید، مسیر VPN مربوطه را حذف کنند.

چگونه TSplus در این تصویر جا می‌شود؟

TSplus Advanced Security سرورهای ویندوز و محیط‌های دسترسی از راه دور را محافظت می‌کند. به جای جایگزینی یک VPN یا عمل به عنوان یک پلتفرم کامل دسترسی شبکه صفر اعتماد، کنترل‌های سطح سرور را اضافه می‌کند که می‌تواند هر مدل دسترسی را تقویت کند.

این کنترل‌ها می‌توانند سرورهای ویندوز را در پشت یک VPN محافظت کنند در حالی که محدودیت‌هایی بر اساس کاربران، دستگاه‌ها، مکان‌ها و زمان‌های اتصال اضافه می‌کنند. آن‌ها از چندین اصل Zero Trust به عنوان بخشی از یک معماری امنیتی گسترده‌تر پشتیبانی می‌کنند.

حفاظت در برابر حملات بروت‌فورس و IPهای مخرب

خدمات احراز هویت در برابر اینترنت معمولاً هدف‌های رایجی برای حملات حدس رمز عبور و اسکن‌های خودکار شبکه هستند. راه‌حل ما تلاش‌های ناموفق ورود به ویندوز را زیر نظر دارد و می‌تواند به‌طور خودکار آدرس IP منبع را پس از رسیدن به آستانه تنظیم‌شده، در لیست سیاه قرار دهد.

حفاظت از IP هکرها این دفاع را با فهرستی نگهداری شده از آدرس‌های مرتبط با بدافزار، بات‌نت‌ها، حملات آنلاین و سایر فعالیت‌های مخرب تقویت می‌کند. مدیران همچنین می‌توانند آدرس‌های مجاز و مسدود شده را از طریق قوانین فایروال مدیریت کنند و به جلوگیری از ترافیک ناخواسته قبل از رسیدن به یک سرویس ویندوز آسیب‌پذیر کمک کنند.

محدودیت‌های دسترسی جغرافیایی و زمینه‌ای

حفاظت جغرافیایی به مدیران این امکان را می‌دهد که دسترسی را بر اساس کشور یا آدرس IP مبدأ کنترل کنند. آن‌ها می‌توانند اتصالات را به کشورهای تأیید شده، آدرس‌های خصوصی و به‌ویژه دامنه‌های IP که در لیست سفید قرار دارند، محدود کنند که این امر زمانی مفید است که کاربران قانونی از مکان‌های قابل پیش‌بینی متصل شوند.

ساعات کاری کنترل‌های مبتنی بر زمان را برای کاربران و گروه‌ها اضافه می‌کند و به مدیران این امکان را می‌دهد که زمان‌هایی را که جلسات می‌توانند باز شوند تعریف کنند و دسترسی به حساب‌ها را در خارج از دوره‌های کاری مورد انتظار کاهش دهند. دستگاه‌های مورد اعتماد می‌توانند اتصالات را به نقاط پایانی تأیید شده محدود کنند زمانی که روش اتصال از شناسایی دستگاه پشتیبانی می‌کند.

این بررسی‌ها شبیه به کنترل‌های زمینه‌ای هستند که در استراتژی‌های Zero Trust استفاده می‌شوند. با این حال، اطلاعات مربوط به مکان، زمان و دستگاه باید به عنوان سیگنال‌های پشتیبان باقی بمانند و نه به عنوان مدرک قطعی که یک اتصال قابل اعتماد است.

مجوزهای دقیق و جلسات امن

راه‌حل ما شامل کنترل‌های مجوز برای بررسی و مدیریت امتیازات کاربران و گروه‌ها است. مدیران می‌توانند دسترسی به فایل‌ها، پوشه‌ها، اشیاء رجیستری و چاپگرها را در سرور ویندوز محافظت‌شده محدود کنند.

جلسات امن می‌توانند سطوح امنیتی مختلفی را به کاربران و گروه‌های خاص اعمال کنند. این ویژگی‌ها به طور مشترک دسترسی یا تغییراتی را که یک حساب متصل می‌تواند پس از احراز هویت انجام دهد، کاهش می‌دهند.

این رویکرد حداقل امتیاز در سطح سرور می‌تواند تأثیر یک حساب کاربری آسیب‌دیده را محدود کند. با این حال، معادل یک موتور سیاست ZTNA نیست، که معمولاً دسترسی به برنامه‌ها یا خدمات فردی را قبل از برقراری اتصال شبکه واسطه‌گری می‌کند.

محافظت از رنسوم‌ور

راه‌حل ما فعالیت‌های سرور را برای رفتارهای مرتبط با باج‌افزار نظارت می‌کند. این راه‌حل شاخص‌های ایستا را با تحلیل رفتاری ترکیب می‌کند تا فعالیت‌های مشکوک فایل را شناسایی کرده و در زمانی که باج‌افزار بالقوه شناسایی می‌شود، واکنش نشان دهد.

این حفاظت به ویژه زمانی مهم است که کاربران از راه دور بتوانند اسناد مشترک را باز کنند یا به فضای ذخیره‌سازی سرور بنویسند. زیرا یک حساب کاربری معتبر هنوز می‌تواند برای اجرای نرم‌افزارهای مخرب مورد سوءاستفاده قرار گیرد، بنابراین تنها تأمین امنیت اتصال کافی نیست.

حفاظت در برابر باج‌افزار باید به‌عنوان مکملی برای پشتیبان‌گیری‌های آفلاین آزمایش‌شده، مدیریت وصله، حفاظت از نقطه پایانی و رویه‌های پاسخ به حادثه عمل کند و نه اینکه جایگزین آن‌ها شود.

کنترل‌های فایروال، رویدادها و هشدارها

TSplus Advanced Security می‌توانند قوانین مسدودسازی را از طریق فایروال ویندوز یا فایروال یکپارچه آن اعمال کنند. مدیران می‌توانند آدرس‌های مخرب را مسدود کنند، فهرست‌های سفید را حفظ کنند و محدودیت‌های شبکه را از رابط Advanced Security بررسی کنند.

داشبورد همچنین رویدادهای امنیتی اخیر را نمایش می‌دهد، در حالی که هشدارهای قابل تنظیم می‌توانند مدیران را از طریق ایمیل، پیامک یا Microsoft Teams در زمان وقوع رویدادهای انتخاب شده مطلع کنند. به طور کلی، این ویژگی‌ها دیدی به اتصالات مسدود شده و سایر فعالیت‌هایی که ممکن است نیاز به بررسی داشته باشند، ارائه می‌دهند.

نظارت در هر دو محیط VPN و Zero Trust ضروری است. کنترل‌های پیشگیرانه می‌توانند ریسک را کاهش دهند، اما تیم‌های IT باید به بررسی هشدارها، تحقیق در مورد رفتارهای غیرمعمول و بهبود سیاست‌ها به‌عنوان نیازهای دسترسی تغییر می‌کنند، ادامه دهند.

نتیجه

تفاوت اصلی بین دسترسی از راه دور Zero Trust و VPN در دامنه و زمان اعتماد است. VPN معمولاً پس از احراز هویت یک کاربر یا دستگاه، یک مسیر شبکه رمزگذاری شده ایجاد می‌کند. ZTNA دسترسی به یک منبع خاص را پس از ارزیابی هویت، دستگاه و شرایط زمینه‌ای اعطا می‌کند.

یک VPN برای اتصالات سایت به سایت، مدیریت شبکه، پروتکل‌های قدیمی و بارهای کاری که به اتصال در سطح IP نیاز دارند، مناسب است. ZTNA به طور کلی برای کارمندان، پیمانکاران و شرکایی که فقط به برنامه‌ها یا خدمات خاصی نیاز دارند، مناسب‌تر است.

بسیاری از سازمان‌ها از ترکیب این دو رویکرد بهره‌مند خواهند شد. دسترسی در سطح برنامه می‌تواند به سمت ZTNA حرکت کند، در حالی که اتصالات VPN محدود برای جریان‌های کاری که واقعاً به دسترسی شبکه نیاز دارند، در دسترس باقی می‌مانند. هر مدلی که انتخاب شود، احراز هویت قوی، حداقل امتیاز، تقسیم‌بندی، سخت‌سازی سرور و نظارت مداوم همچنان ضروری هستند.

مطالعه بیشتر

back to top of the page icon