Pakilala
Ang ligtas na remote access ay hindi na isang pagpipilian sa pagitan ng naka-encrypt at hindi naka-encrypt na mga koneksyon. Parehong makakaprotekta ang mga modernong VPN at Zero Trust remote access solutions sa data habang ito ay nasa transit. Ang mas mahalagang tanong ay kung ano ang maabot ng isang gumagamit o aparato pagkatapos ng authentication.
Ang VPN ay madalas na nagpapalawak ng koneksyon sa network sa isang remote na endpoint. Ang Zero Trust Network Access ay gumagamit ng resource-centric na diskarte, na sinusuri ang gumagamit, aparato, hiniling na aplikasyon, at kasalukuyang konteksto bago magbigay ng access. Para sa maraming organisasyon, ang pinakamahusay na disenyo ay hindi isang kabuuang pagpapalit kundi isang sinadyang paghahati sa pagitan ng access sa aplikasyon at tunay na access sa network.
Ano ang VPN?
[A] - Isalin virtual na pribadong network gumagawa ng naka-encrypt na lagusan sa pagitan ng isang remote na aparato at isang VPN gateway, na nag-a-authenticate ng koneksyon bago i-route ang mga aprubadong trapiko sa mga pribadong network, subnets o serbisyo.
Bagaman ang isang VPN ay hindi kinakailangang magbigay ng walang limitasyong access, ang modelo ng operasyon nito ay nananatiling nakatuon sa network. Maaaring mag-apply ang mga administrator ng:
- multifactor authentication
- d sertipiko ng aparato
- mga patakaran ng firewall
- segmentation ng network
- a mga listahan ng kontrol sa pag-access
Gayunpaman, ang endpoint ay karaniwang makakatanggap pa rin ng isang landas sa antas ng IP patungo sa isa o higit pang panloob na mapagkukunan.
Dahil ang modelong ito ay matatag na at sumusuporta sa malawak na hanay ng mga protocol, nananatili itong kapaki-pakinabang kapag ang mga administrador ay nangangailangan ng malawak na access sa imprastruktura, ang mga aplikasyon ay umaasa sa panloob na pag-address, o ang dalawang site ay kailangang magpalitan ng trapiko nang ligtas.
Ang pangunahing panganib ay lum arises kapag ang mga pahintulot ng VPN ay lumampas sa kung ano ang talagang kailangan ng gumagamit. Halimbawa, ang isang remote na empleyado na nangangailangan lamang ng isang aplikasyon sa accounting ay maaaring hindi kailanganin ang access sa buong subnet ng pananalapi.
Ano ang Zero Trust Remote Access (ZTNA)?
Sa karaniwang paggamit, ang Zero Trust remote access ay karaniwang tumutukoy sa Zero Trust Network Access, o ZTNA. Ang ZTNA ay nalalapat Mga prinsipyo ng Zero Trust sa remote connectivity sa pamamagitan ng pagbibigay ng access sa isang indibidwal na application, desktop, o serbisyo sa halip na palawakin ang pangkalahatang access sa network.
Ang desisyon ay maaaring isaalang-alang ang ilang mga senyales:
- Kilala at tungkulin ng gumagamit
- Pagmamay-ari ng aparato at katayuan ng seguridad
- Hiniling na mapagkukunan
- Lokasyon at oras ng pag-access
- Lakas ng pagpapatunay
- Panganib ng sesyon o hindi pangkaraniwang pag-uugali
NIST ay naglalarawan Zero Trust bilang isang arkitektura na nag-aalis ng tahasang tiwala batay sa lokasyon ng network at nagpoprotekta sa mga indibidwal na mapagkukunan sa pamamagitan ng tahasang pagpapatunay at awtorisasyon. Ang ZTNA ay isang paraan upang ilapat ang prinsipyong iyon, hindi ang buong Zero Trust na arkitektura.
Matapos maaprubahan ang isang kahilingan, ang gumagamit ay tumatanggap ng isang kontroladong daan patungo sa awtorisadong mapagkukunan. Ang mga hindi naaprubahang sistema ay hindi kailangang maging nakikita o ma-route mula sa endpoint. Ang mga patakaran ay maaari ring mag-trigger ng muling pagpapatunay, pinaghihigpitang access o pagtatapos ng sesyon kapag nagbago ang panganib.
Zero Trust Remote Access vs VPN: Mga Pangunahing Pagkakaiba
Ang pagkakaiba sa pagitan ng ZTNA at VPN ay nasa arkitektura kaysa sa simpleng teknolohiya. Ang isang maayos na na-segment na VPN ay maaaring maging labis na restriktibo, habang ang isang hindi maayos na pinamamahalaang ZTNA na pag-deploy ay maaari pa ring magbigay ng labis na access.
| Kriterya | VPN | Zero Trust remote access o ZTNA |
|---|---|---|
| Access target | Network, subnet o saklaw ng serbisyo | Tiyak na aplikasyon, desktop o serbisyo |
| Pangunahing konteksto ng patakaran | Mga Ruta, mga IP address, mga grupo at mga patakaran ng firewall | Pagkakakilanlan, aparato, mapagkukunan at mga signal na konteksto |
| Kalinawan ng network | Maaaring maging maaabot ang mga panloob na serbisyo pagkatapos ng koneksyon | Maaaring manatiling hindi matutuklasan ang mga hindi aprubadong mapagkukunan. |
| Daloy ng gumagamit | Itayo ang tunnel, pagkatapos ay buksan ang mapagkukunan | Humiling o ilunsad ang isang aprubadong mapagkukunan nang direkta |
| Pinakamahusay na akma | Access sa antas ng network, legacy at site-to-site | Access sa antas ng aplikasyon para sa mga gumagamit at ikatlong partido |
| Pangunahing operational na trade-off | Pamilyar ngunit maaaring maging malawak at mabigat sa gateway | Granular ngunit nangangailangan ng aplikasyon at pagkakakilanlan na pagmamapa |
Modelo ng seguridad
Ang isang tradisyunal na VPN ay gumagawa ng pangunahing desisyon sa tiwala nito kapag naitatag ang tunnel. Ang mga modernong platform ay maaaring palakasin ang desisyong iyon sa pamamagitan ng kondisyunal na pag-access, mga pagsusuri sa endpoint at muling pagpapatunay, ngunit ang sesyon ay nagsisimula pa rin sa pamamagitan ng pagpapalawak ng koneksyon sa network sa gumagamit.
Ang ZTNA ay kumukuha ng mas nakatuon na diskarte sa mga mapagkukunan. Ang isang wastong password at pangalawang salik ay hindi awtomatikong nagbibigay ng access sa bawat panloob na sistema, dahil ang patakaran ay maaari ring mangailangan ng isang pinamamahalaang aparato, isang aprubadong lokasyon, isang tiyak na papel ng gumagamit o isang mas mababang panganib na sesyon bago gawing available ang hiniling na aplikasyon.
Ang mas makitid na modelo ng pag-access na ito ay sumusuporta sa pinakamababang pribilehiyo at maaaring limitahan ang bilang ng mga sistemang nakalantad kung ang mga kredensyal ay nakawin. Gayunpaman, hindi inaalis ng ZTNA ang panganib ng pagkompromiso ng account, dahil ang isang umaatake ay maaari pa ring maling gamitin ang anumang aplikasyon na pinahintulutan ng nakompromisong account na buksan.
Karanasan ng gumagamit
Madalas na kailangang buksan ng mga gumagamit ng VPN ang isang kliyente, maghintay para kumonekta ang tunnel, kumpletuhin ang mga prompt ng pagpapatotoo at pagkatapos ay ilunsad ang kinakailangang aplikasyon. Kapag ang mga salungatan sa DNS, mga patakaran sa split-tunnelling, hindi matatag na lokal na mga network o mga nag-expire na configuration ng kliyente ay nagdudulot ng mga problema, ang resulta ay maaaring mga karagdagang kahilingan sa suporta.
ZTNA ay maaaring pasimplehin ang prosesong ito sa pamamagitan ng pagpapakita lamang ng mga aprubadong mapagkukunan sa pamamagitan ng isang portal, browser o magaan na kliyente. Sa halip na unang makatanggap ng pangkalahatang access sa network, ang gumagamit ay maaaring ilunsad ang kinakailangang aplikasyon nang direkta.
Ang karanasan ay nakasalalay pa rin sa pagpapatupad, dahil ang ilang mga protocol ay nangangailangan ng endpoint agent at ang ilang mga legacy application ay hindi gumagana nang maayos sa pamamagitan ng application proxy. Bago mag-migrate, dapat subukan ng mga IT team:
- pagpapatunay
- pagpi-print
- paglipat ng file
- · mga kontrol ng clipboard
- pag-uugali ng muling pagkonekta
Pagkakalantad ng Network
Ang isang VPN gateway ay isang serbisyo sa gilid na nakaharap sa internet, kaya't ito ay dapat na ma-patch, ma-monitor at maprotektahan. Depende sa mga ruta, segmentation at patakaran ng firewall na ipinatupad, ang isang nakakonektang gumagamit ay maaari ring makahanap ng mga panloob na address o serbisyo.
Maaaring bawasan ng ZTNA ang eksposyur na ito sa pamamagitan ng paglalagay ng broker o enforcement point sa pagitan ng gumagamit at ng aplikasyon. Nagbibigay ito sa endpoint ng access sa naaprubahang mapagkukunan nang hindi lumilikha ng pangkalahatang ruta patungo sa nakapaligid na network.
Bagaman ang disenyo na ito ay maaaring magpahirap sa lateral na paggalaw, kailangan pa ring mapanatiling ligtas ang mga konektor, mga tagapagbigay ng pagkakakilanlan, mga gateway at mga server ng aplikasyon. payo ng CISA tinuturing din ang remote access software at mga edge device bilang mataas na halaga ng imprastruktura na nangangailangan ng MFA, pag-patch, pag-log at nabawasang exposure.
Performance
Ang mga disenyo ng VPN ay madalas na nagbabalik ng trapiko sa pamamagitan ng isang sentral na gateway o data center, na maaaring magdagdag ng latency kapag ang isang remote na gumagamit ay kumokonekta sa pamamagitan ng punong tanggapan upang maabot ang isang application na naka-host sa cloud.
Maaaring mag-alok ang ZTNA ng mas direktang daan patungo sa awtorisadong aplikasyon, lalo na kapag ang mga konektor o mga punto ng serbisyo ay ipinamamahagi malapit sa mga gumagamit at mga workload. Gayunpaman, ang pagganap ay nakasalalay pa rin sa:
- mga kinakailangan sa inspeksyon
- arkitektura ng provider
- paglalagay ng konektor
- kalidad ng internet
Ang isang VPN ay maaaring manatiling epektibo para sa mga workload ng internal data-center o mga kapaligiran na may mga lokal na concentrator. Sa halip na ipalagay na ang isang modelo ay palaging mas mabilis, dapat ihambing ng mga IT team ang mga oras ng pagtugon ng aplikasyon at katatagan ng sesyon sa kanilang sariling kapaligiran.
Pamamahala
Ang mga koponan ng network ay pamilyar na sa mga VPN concentrator, ruta, mga patakaran sa firewall at mga listahan ng kontrol sa pag-access, na maaaring magpadali sa pag-deploy. Sa paglipas ng panahon, gayunpaman, ang mga pahintulot ay maaaring maging mas mahirap suriin habang ang mga grupo, subnet at mga pagbubukod ay nag-iipon.
ZTNA ay nangangailangan ng mas malinaw na imbentaryo ng mga gumagamit, aplikasyon, kinakailangan ng aparato at mga dependency. Dapat tukuyin ng mga administrador kung sino ang nangangailangan ng bawat mapagkukunan, kung aling mga aparato ang maaari nilang gamitin at sa ilalim ng anong mga kondisyon dapat ibigay ang access. Bagaman ang gawaing ito ng patakaran ay nangangailangan ng pagsisikap, maaari nitong gawing mas makabuluhan ang mga pagsusuri sa access dahil ang mga pahintulot ay direktang naka-map sa mga aplikasyon ng negosyo.
Anuman ang modelong ginagamit, ang epektibong pamamahala ay nakasalalay sa pagtatalaga ng isang may-ari sa bawat mapagkukunan, pagdodokumento ng mga pagbubukod at regular na pagsusuri ng mga pribilehiyo. Wala ni VPN ni ZTNA ang mananatiling ligtas nang walang pare-parehong disiplina sa operasyon.
Gastos
Maaaring ang isang VPN ang mas murang opsyon kapag ang isang organisasyon ay mayroon nang katugmang firewall o gateway infrastructure. Gayunpaman, ang kabuuang gastos ay maaari pa ring isama ang:
- kapasidad ng concentrator
- mataas na kakayahang magamit
- suporta sa kliyente
- lapad ng banda
- paghahati ng trabaho
- patuloy na pagpapanatili ng mga patakaran
Maaaring magpakilala ang ZTNA ng mga subscription bawat gumagamit, integrasyon ng pagkakakilanlan, mga endpoint agent, mga konektor at mga gawain sa migrasyon. Sa parehong oras, maaari nitong bawasan ang VPN backhaul, pasimplehin ang pag-access ng kontratista at bawasan ang gastos sa pagsuporta sa malawak na koneksyon sa network.
Dahil dito, ang paghahambing ay dapat tumuon sa kabuuang gastos ng pagmamay-ari sa halip na sa paunang presyo ng produkto lamang. Dapat isaalang-alang ng mga IT team ang paglisensya, imprastruktura, pagsisikap ng helpdesk, pamamahala ng patakaran, panganib ng downtime at ang gastos ng pagbibigay ng higit pang access kaysa sa talagang kailangan ng mga gumagamit.
Kailan Pa Nagtutulungan ang VPN?
Sa kabila ng paglipat patungo sa mas tiyak na mga modelo ng pag-access sa mapagkukunan, ang VPN ay nananatiling tamang pagpipilian kapag ang mga gumagamit o sistema ay talagang nangangailangan ng koneksyon sa antas ng network.
Lalo itong kapaki-pakinabang kapag ang kinakailangan ay may kinalaman sa maraming protocol, ibinabahaging imprastruktura o mga aplikasyon na umaasa sa direktang pag-access sa mga panloob na network.
Karaniwang mga halimbawa ay:
- Koneksyon mula sa site patungo sa site sa pagitan ng mga opisina, data center o cloud network
- Pagsusuri ng network at pamamahala sa antas ng packet
- Access sa maraming protocol sa isang kontroladong segment ng imprastruktura
- Mga legacy na aplikasyon na hindi maipapahayag sa pamamagitan ng isang application gateway
- Pagbuo, laboratoryo o mga kapaligiran para sa pagbawi mula sa sakuna na nangangailangan ng malawak na koneksyon
- T panandaliang pag-access sa mga kapaligiran kung saan ang segmentation at monitoring ay mature na
Ang isang VPN ay samakatuwid ay hindi lipas o likas na hindi ligtas. Ang seguridad nito ay nakasalalay sa kung gaano kahusay na na-configure at na-manage ang koneksyon, kabilang ang mga pinaghihigpitang ruta, malakas na pagpapatotoo, regular na pag-patch ng gateway at malinaw na paghihiwalay sa pagitan ng mga karaniwang gumagamit at mga pribilehiyadong administrador.
Kapag ang mga kontrol na ito ay nasa lugar at ang pangangailangan ng negosyo ay talagang nakatuon sa network, ang isang VPN ay maaaring manatiling epektibo at praktikal na solusyon para sa remote access.
Kailan Mas Mabuti ang Zero Trust?
Karaniwan ang ZTNA ang mas malakas na pagpipilian kapag ang mga gumagamit ay nangangailangan ng access sa isang tiyak na hanay ng mga aplikasyon sa halip na sa mas malawak na network. Ginagawa nitong partikular na angkop para sa mga remote na empleyado, kontratista, kasosyo, at mga panlabas na koponan ng suporta na ang mga kinakailangan sa access ay maaaring ilarawan nang tumpak.
Halimbawa, ang isang Zero Trust na patakaran ay maaaring pahintulutan ang mga miyembro ng grupo ng pananalapi na ma-access ang aplikasyon ng accounting sa mga aprubadong oras, basta't gumagamit sila ng mga pinamamahalaang aparato at multifactor authentication. Ang ganitong uri ng patakaran ay mas madaling suriin kaysa sa isang malawak na pahintulot na nagbibigay ng access sa subnet ng pananalapi.
Ang ZTNA ay angkop din para sa mga distributed at cloud-oriented na kapaligiran kung saan ang mga aplikasyon ay hindi na matatagpuan sa likod ng isang solong hangganan ng opisina. Sa pamamagitan ng paglalagay ng pagkakakilanlan at patakaran sa mapagkukunan sa sentro ng desisyon sa pag-access, sinusunod ng modelo ang workload sa halip na isang pisikal na hangganan ng network.
May gitnang lupa ba?
Oo. Sa halip na pilitin ang bawat workflow sa isang solong teknolohiya, maraming organisasyon ang maaaring gumamit ng ZTNA at VPN nang sabay.
Maaaring makatanggap ang mga karaniwang empleyado at kontratista ng access sa antas ng aplikasyon sa pamamagitan ng ZTNA o isang secure na portal ng aplikasyon, habang ang mga network administrator ay nagpapanatili ng mahigpit na kontroladong VPN o gateway ng pribilehiyo para sa mga gawain na nangangailangan ng koneksyon sa antas ng IP. Maaaring ipagpatuloy ng mga sangay ang paggamit ng site-to-site VPNs, at ang mga legacy na aplikasyon ay maaaring manatili sa mga pinaghihigpitang ruta ng VPN hanggang sa sila ay ma-modernize o nailathala nang mas makitid .
Ang isang unti-unting paglipat ay karaniwang mas ligtas kaysa sa biglaang pagpapalit. Maaaring lumikha ang mga IT team ng mga remote workflow, paghiwalayin ang mga kinakailangan sa antas ng aplikasyon mula sa mga pangangailangan sa antas ng network, palakasin ang mga kontrol sa pagkakakilanlan, subukan ang isang nakapaloob na aplikasyon at alisin ang kaukulang ruta ng VPN lamang pagkatapos ma-validate ang bagong daan ng pag-access.
Paano Nakasalalay ang TSplus sa Larawan?
TSplus Advanced Security pinoprotektahan ang mga Windows server at mga kapaligiran ng remote access. Sa halip na palitan ang isang VPN o kumilos bilang isang kumpletong Zero Trust Network Access platform, nagdaragdag ito ng mga kontrol sa antas ng server na maaaring magpalakas ng alinman sa modelo ng access.
Ang mga kontrol na ito ay maaaring protektahan ang mga Windows server sa likod ng VPN habang nagdaragdag ng mga paghihigpit batay sa mga gumagamit, aparato, lokasyon, at oras ng koneksyon. Sinusuportahan nila ang ilang mga prinsipyo ng Zero Trust bilang bahagi ng mas malawak na arkitektura ng seguridad.
Proteksyon laban sa Brute-Force at Malicious IP
Ang mga serbisyo ng pagpapatunay na nakaharap sa Internet ay madalas na target ng mga pag-atake sa paghuhula ng password at mga automated na pagsusuri ng network. Ang aming solusyon ay nagmamasid sa mga nabigong pagtatangkang mag-login sa Windows at maaaring awtomatikong ilista ang IP address na pinagmulan sa blacklist kapag naabot na ang itinakdang threshold.
Ang Hacker IP Protection ay nagpapalakas ng depensang ito sa pamamagitan ng isang pinananatiling listahan ng mga address na nauugnay sa malware, botnets, online na pag-atake at iba pang mapanlikhang aktibidad. Maari ring pamahalaan ng mga administrador ang mga pinapayagang at naharang na address sa pamamagitan ng mga patakaran ng firewall, na tumutulong upang pigilan ang hindi kanais-nais na trapiko bago ito umabot sa isang nakalantad na serbisyo ng Windows.
Mga Heograpikal at Kontekstuwal na Paghihigpit sa Pag-access
Ang Geographic Protection ay nagbibigay-daan sa mga administrador na kontrolin ang pag-access ayon sa bansang pinagmulan o IP address. Maaari nilang limitahan ang mga koneksyon sa mga aprubadong bansa, pribadong address at partikular na whitelisted na saklaw ng IP, na kapaki-pakinabang kapag ang mga lehitimong gumagamit ay kumokonekta mula sa mga inaasahang lokasyon.
Ang Working Hours ay nagdaragdag ng mga kontrol batay sa oras para sa mga gumagamit at grupo, na nagpapahintulot sa mga administrador na tukuyin kung kailan maaaring buksan ang mga sesyon at bawasan ang kakayahang magamit ng account sa labas ng inaasahang oras ng trabaho. Ang Trusted Devices ay maaari pang maglimita ng mga koneksyon sa mga aprubadong endpoint kapag sinusuportahan ng paraan ng koneksyon ang pagkilala sa device.
Ang mga tsek na ito ay kahawig ng mga kontrol na konteksto na ginagamit sa mga estratehiya ng Zero Trust. Gayunpaman, ang impormasyon tungkol sa lokasyon, oras, at aparato ay dapat manatiling mga sumusuportang signal sa halip na tiyak na patunay na ang isang koneksyon ay mapagkakatiwalaan.
Granular na Pahintulot at Ligtas na Sesyon
Ang aming solusyon ay may kasamang mga kontrol sa pahintulot para sa pagsusuri at pamamahala ng mga pribilehiyo ng gumagamit at grupo. Maaaring limitahan ng mga administrador ang pag-access sa mga file, folder, mga bagay ng registry at mga printer sa protektadong Windows server.
Maaari nang mag-apply ang Secure Sessions ng iba't ibang antas ng seguridad sa mga tiyak na gumagamit at grupo. Sama-sama, ang mga tampok na ito ay nagpapababa sa kung ano ang maaring ma-access o mabago ng isang nakakonektang account pagkatapos ng pagpapatotoo.
Ang pamamaraang ito ng pinakamababang pribilehiyo sa antas ng server ay maaaring limitahan ang epekto ng isang nakompromisong account. Gayunpaman, hindi ito katumbas ng isang ZTNA policy engine, na karaniwang nag-uugnay ng access sa mga indibidwal na aplikasyon o serbisyo bago itatag ang koneksyon sa network.
Proteksyon laban sa Ransomware
Ang aming solusyon ay nagmamasid sa aktibidad ng server para sa mga pag-uugali na nauugnay sa ransomware. Pinagsasama nito ang mga static na tagapagpahiwatig sa pagsusuri ng pag-uugali upang matukoy ang kahina-hinalang aktibidad ng file at tumugon kapag ang potensyal na ransomware ay natukoy.
Ang proteksyong ito ay partikular na mahalaga kapag ang mga remote na gumagamit ay maaaring magbukas ng mga ibinabahaging dokumento o sumulat sa imbakan ng server. Dahil ang isang wastong account ay maaari pa ring magamit nang mali upang patakbuhin ang mapanlikhang software, ang pag-secure ng koneksyon lamang ay hindi sapat.
Dapat samakatuwid ay kumpletuhin ng proteksyon laban sa Ransomware ang nasubok na offline backups, pamamahala ng patch, proteksyon ng endpoint at mga pamamaraan ng pagtugon sa insidente sa halip na palitan ang mga ito.
Kontrol ng Firewall, Mga Kaganapan at Babala
TSplus Advanced Security maaaring ipatupad ang mga patakaran sa pag-block sa pamamagitan ng Windows Firewall o ng integrated firewall nito. Maaaring i-block ng mga administrator ang mga mapanganib na address, panatilihin ang mga whitelists at suriin ang mga paghihigpit sa network mula sa interface ng Advanced Security.
Ang dashboard ay nagpapakita rin ng mga kamakailang kaganapan sa seguridad, habang ang mga maaaring i-configure na alerto ay maaaring mag-notify sa mga administrador sa pamamagitan ng email, SMS o Microsoft Teams kapag naganap ang mga napiling kaganapan. Sama-sama, ang mga tampok na ito ay nagbibigay ng visibility sa mga naharang na koneksyon at iba pang aktibidad na maaaring mangailangan ng imbestigasyon.
Ang pagmamanman ay nananatiling mahalaga sa parehong VPN at Zero Trust na mga kapaligiran. Ang mga preventive controls ay maaaring magpababa ng panganib, ngunit ang mga IT team ay dapat patuloy na suriin ang mga alerto, imbestigahan ang hindi pangkaraniwang pag-uugali at pagbutihin ang mga patakaran habang nagbabago ang mga kinakailangan sa pag-access.
Wakas
Ang pangunahing pagkakaiba sa pagitan ng Zero Trust remote access at isang VPN ay ang saklaw at oras ng tiwala. Karaniwang lumilikha ang isang VPN ng naka-encrypt na landas ng network pagkatapos i-authenticate ang isang gumagamit o aparato. Nagbibigay ang ZTNA ng access sa isang tiyak na mapagkukunan pagkatapos suriin ang pagkakakilanlan, aparato, at mga kontekstwal na kondisyon.
Ang VPN ay nananatiling angkop para sa mga koneksyon mula sa site patungo sa site, pamamahala ng network, mga legacy protocol at mga workload na nangangailangan ng koneksyon sa antas ng IP. Ang ZTNA ay karaniwang mas angkop para sa mga empleyado, kontratista at kasosyo na nangangailangan lamang ng mga napiling aplikasyon o serbisyo.
Maraming organisasyon ang makikinabang mula sa pagsasama ng dalawang diskarte. Ang access sa antas ng aplikasyon ay maaaring lumipat patungo sa ZTNA, habang ang mga limitadong koneksyon sa VPN ay mananatiling available para sa mga workflow na talagang nangangailangan ng access sa network. Anuman ang modelong pipiliin, ang malakas na pagpapatunay, pinakamababang pribilehiyo, segmentation, pag-harden ng server at patuloy na pagmamanman ay mananatiling kinakailangan.