目录

介绍

安全的远程访问不再是加密和未加密连接之间的选择。现代VPN和零信任远程访问解决方案都可以保护传输中的数据。更重要的问题是用户或设备在身份验证后可以访问什么。

VPN通常将网络连接扩展到远程端点。零信任网络访问采取以资源为中心的方法,在授予访问权限之前评估用户、设备、请求的应用程序和当前上下文。对于许多组织来说,最佳设计不是完全替代,而是应用访问与真实网络访问之间的有意划分。

什么是VPN?

A 虚拟私人网络 在远程设备和VPN网关之间创建一个加密隧道,VPN网关在路由批准的流量到私有网络、子网或服务之前对连接进行身份验证。

尽管VPN不必提供无限制的访问,但其操作模型仍然以网络为导向。管理员可以应用:

  • 多因素身份验证
  • d 设备证书
  • 防火墙规则
  • 网络分段
  • 一个 访问控制列表

然而,终端通常仍会接收到一个或多个内部资源的IP级路径。

因为这个模型已经建立得很好,并支持广泛的协议,当管理员需要广泛的基础设施访问、应用程序依赖于内部地址,或者两个站点需要安全地交换流量时,它仍然是有用的。

主要风险在于 VPN 权限超出了用户实际需要的范围。例如,一名只需要一个会计应用程序的远程员工可能不需要访问整个财务子网。

什么是零信任远程访问(ZTNA)?

在常见用法中,零信任远程访问通常指的是零信任网络访问,或称 ZTNA。ZTNA 适用 零信任原则 通过授予对单个应用程序、桌面或服务的访问权限,而不是扩展一般网络访问,实现远程连接。

该决定可以考虑多个信号:

  • 用户身份和角色
  • 设备所有权和安全态势
  • 请求的资源
  • 访问地点和时间
  • 认证强度
  • 会话风险或异常行为

NIST 描述 零信任 作为一种基于网络位置消除隐式信任并通过显式身份验证和授权保护单个资源的架构。 ZTNA 是应用该原则的一种方式,而不是整个零信任架构。

请求获得批准后,用户将获得通往授权资源的受控路径。未批准的系统不需要从终端可见或可路由。当风险发生变化时,政策也可能触发重新身份验证、限制访问或会话终止。

零信任远程访问与VPN:关键区别

ZTNA和VPN之间的区别在于架构,而不仅仅是技术。一个良好分段的VPN可以非常限制,而一个管理不善的ZTNA部署仍然可能授予过多的访问权限。

标准 VPN 零信任远程访问或ZTNA
访问目标 网络、子网或服务范围 特定应用程序、桌面或服务
主要政策背景 路由、IP地址、组和防火墙规则 身份、设备、资源和上下文信号
网络可见性 内部服务在连接后可能变得可访问 未批准的资源可以保持不可发现状态
用户工作流程 建立隧道,然后打开资源 直接请求或启动已批准的资源
最佳适配 网络级、遗留和站点到站点访问 用户和第三方的应用程序级访问
主要操作权衡 熟悉但可能变得广泛且依赖网关 细粒度但需要应用程序和身份映射

安全模型

传统的 VPN 在建立隧道时做出主要的信任决策。现代平台可以通过条件访问、终端检查和重新认证来加强这一决策,但会话仍然是通过向用户扩展网络连接来开始的。

ZTNA采取了更注重资源的方式。有效的密码和第二因素并不会自动提供对每个内部系统的访问,因为政策还可能要求管理设备、批准的位置、特定的用户角色或低风险会话,然后才能使请求的应用程序可用。

这种更窄的访问模型支持最小权限,并且可以限制在凭据被盗时暴露的系统数量。然而,ZTNA并不能消除账户被攻破的风险,因为攻击者仍然可能滥用任何被攻破账户授权打开的应用程序。

用户体验

VPN 用户通常需要打开客户端,等待隧道连接,完成身份验证提示,然后启动所需的应用程序。当 DNS 冲突、分割隧道规则、不稳定的本地网络或过期的客户端配置导致问题时,结果可能会产生额外的支持请求。

ZTNA可以通过门户、浏览器或轻量级客户端简化此过程,仅呈现经过批准的资源。用户可以直接启动所需的应用程序,而不是先获得一般网络访问权限。

体验仍然取决于实施,因为某些协议需要端点代理,而某些遗留应用程序在应用程序代理下运行不佳。因此,在迁移之前,IT团队应进行测试:

  • 身份验证
  • 打印
  • 文件传输
  • · 剪贴板控制
  • 重新连接行为

网络暴露

VPN网关是一个面向互联网的边缘服务,因此必须进行修补、监控和保护。根据现有的路由、分段和防火墙策略,连接的用户也可能能够发现内部地址或服务。

ZTNA可以通过在用户和应用程序之间放置一个代理或执行点来减少这种暴露。这使得端点可以访问批准的资源,而不会在周围网络中创建通用路径。

尽管这种设计可以使横向移动更加困难,但连接器、身份提供者、网关和应用程序服务器仍然需要得到保护。 CISA 指导 还将远程访问软件和边缘设备视为需要多因素身份验证、修补、记录和减少暴露的高价值基础设施。

性能

VPN设计通常通过中央网关或数据中心回传流量,这可能会在远程用户通过总部连接以访问云托管应用程序时增加延迟。

ZTNA 可能为授权应用程序提供更直接的路径,特别是当连接器或服务点分布在用户和工作负载附近时。即便如此,性能仍然取决于:

  • 检查要求
  • 提供者架构
  • 连接器放置
  • 互联网质量

VPN可以在内部数据中心工作负载或具有本地集中器的环境中保持高效。IT团队应比较自己环境中的应用程序响应时间和会话稳定性,而不是假设某种模型总是更快。

管理

网络团队已经熟悉VPN集中器、路由、防火墙规则和访问控制列表,这可以使部署变得更容易。然而,随着时间的推移,权限可能会变得更难以审查,因为组、子网和例外会不断增加。

ZTNA需要更清晰的用户、应用程序、设备要求和依赖关系的清单。管理员必须定义谁需要每个资源,哪些设备可以使用,以及在什么条件下应授予访问权限。尽管这项政策工作需要付出努力,但它可以使访问审查更有意义,因为权限直接映射到业务应用程序。

无论使用哪种模型,有效的管理依赖于为每个资源分配一个所有者,记录例外情况并定期审查权限。没有一致的操作纪律,VPN和ZTNA都无法保持安全。

成本

VPN可能是一个更便宜的选择,当一个组织已经拥有兼容的防火墙或网关基础设施时。然而,整体成本仍然可能包括:

  • 集中器容量
  • 高可用性
  • 客户支持
  • 带宽
  • 分段工作
  • 持续规则维护

ZTNA 可能引入按用户订阅、身份集成、终端代理、连接器和迁移工作。同时,它可以减少 VPN 回程,简化承包商访问并降低支持广泛网络连接的成本。

因此,比较应侧重于总拥有成本,而不仅仅是初始产品价格。IT团队应考虑许可、基础设施、帮助台工作、政策管理、停机风险以及授予用户实际需要的更多访问权限的成本。

VPN 何时仍然有意义?

尽管向更具资源特定性的访问模型转变,但当用户或系统确实需要网络级连接时,VPN 仍然是正确的选择。

当需求涉及多个协议、共享基础设施或依赖于直接访问内部网络的应用程序时,这尤其有用。

常见示例包括:

  • 办公室、数据中心或云网络之间的站点到站点连接
  • 网络故障排除和数据包级管理
  • 访问多个协议通过受控基础设施段
  • 无法通过应用程序网关发布的遗留应用程序
  • 开发、实验室或灾难恢复环境需要广泛的连接性
  • T 在已经成熟的分段和监控环境中进行临时访问

因此,VPN既不是过时的,也不是本质上不安全的。它的安全性取决于连接的配置和管理的细致程度,包括限制的路径、强身份验证、定期的网关修补以及标准用户与特权管理员之间的明确分离。

当这些控制措施到位且业务需求确实以网络为导向时,VPN可以成为有效且实用的远程访问解决方案。

零信任何时是更好的选择?

ZTNA 通常是更强的选择,当用户需要访问一组特定的应用程序而不是更广泛的网络时。这使得它特别适合远程员工、承包商、合作伙伴和外部支持团队,他们的访问需求可以被精确描述。

例如,零信任政策可能允许财务组的成员在批准的时间内访问会计应用程序,前提是他们使用受管理的设备和多因素身份验证。这种类型的规则比授予对财务子网的广泛权限更容易审查。

ZTNA 也非常适合分布式和云导向的环境,在这些环境中,应用程序不再位于单一的办公室边界后面。通过将身份和资源策略置于访问决策的中心,该模型遵循工作负载而不是物理网络边界。

有没有折中方案?

是的。许多组织可以将 ZTNA 和 VPN 一起使用,而不是强迫每个工作流程通过单一技术。

标准员工和承包商可以通过 ZTNA 或安全应用程序门户获得应用程序级别的访问权限,而网络管理员则保留严格控制的 VPN 或特权访问网关,以执行需要 IP 级连接的任务。分支机构可以继续使用站点到站点的 VPN,遗留应用程序可以保持在受限的 VPN 路由上,直到它们被现代化或 更狭义地发布 .

逐步过渡通常比突然替换更安全。IT团队可以创造远程工作流程,将应用程序级别的需求与网络级别的需求分开,加强身份控制,先试点一个受限的应用程序,并在验证新的访问路径后再移除相应的VPN路由。

TSplus如何适应这个图景?

TSplus高级安全 保护Windows服务器和远程访问环境。它不是替代VPN或充当完整的零信任网络访问平台,而是增加了可以增强任一访问模型的服务器级控制。

这些控制可以保护位于 VPN 后面的 Windows 服务器,同时根据用户、设备、位置和连接时间添加限制。它们支持作为更广泛安全架构一部分的多个零信任原则。

暴力破解和恶意IP保护

面向互联网的身份验证服务经常成为密码猜测攻击和自动网络扫描的目标。我们的解决方案监控失败的Windows登录尝试,并可以在达到配置的阈值后自动将源IP地址列入黑名单。

黑客IP保护通过维护与恶意软件、僵尸网络、在线攻击和其他恶意活动相关的地址列表来加强这一防御。管理员还可以通过防火墙规则管理允许和阻止的地址,帮助在不必要的流量到达暴露的Windows服务之前将其阻止。

地理和上下文访问限制

地理保护允许管理员根据来源国家或IP地址控制访问。他们可以限制连接到批准的国家、私有地址和特定的白名单IP范围,这在合法用户从可预测的位置连接时非常有用。

工作时间为用户和组添加了基于时间的控制,允许管理员定义何时可以打开会话,并在预期工作时间之外减少账户可用性。受信任的设备可以进一步限制连接到已批准的端点,当连接方法支持设备识别时。

这些检查类似于在零信任策略中使用的上下文控制。然而,位置、时间和设备信息应保持为支持信号,而不是连接可信的决定性证据。

细粒度权限和安全会话

我们的解决方案包括用于审查和管理用户及组权限的权限控制。管理员可以限制对受保护的Windows服务器上的文件、文件夹、注册对象和打印机的访问。

安全会话可以对特定用户和组应用不同的安全级别。通过这些功能,连接的帐户在身份验证后可以访问或修改的内容将减少。

这种服务器级别的最小权限方法可以限制被攻陷账户的影响。然而,它并不等同于ZTNA策略引擎,后者通常在建立网络连接之前为单个应用程序或服务提供访问权限。

勒索软件保护

我们的解决方案监控服务器活动,以识别与勒索软件相关的行为。它结合了静态指标和行为分析,以检测可疑的文件活动,并在识别到潜在勒索软件时做出响应。

这种保护在远程用户可以打开共享文档或写入服务器存储时尤为重要。因为有效的账户仍然可能被滥用来运行恶意软件,仅仅保护连接是不够的。

勒索软件保护因此应补充经过测试的离线备份、补丁管理、端点保护和事件响应程序,而不是取代它们。

防火墙控制、事件和警报

TSplus高级安全 可以通过Windows防火墙或其集成防火墙强制执行阻止规则。管理员可以阻止恶意地址,维护白名单,并从高级安全界面审查网络限制。

仪表板还显示最近的安全事件,而可配置的警报可以在发生选定事件时通过电子邮件、短信或Microsoft Teams通知管理员。结合这些功能,可以提供对被阻止连接和其他可能需要调查的活动的可见性。

监控在VPN和零信任环境中仍然至关重要。预防性控制可以降低风险,但IT团队必须继续审查警报,调查异常行为,并随着访问要求的变化而完善政策。

结论

零信任远程访问与VPN之间的主要区别在于信任的范围和时机。VPN通常在验证用户或设备后创建一个加密的网络路径。ZTNA在评估身份、设备和上下文条件后授予对特定资源的访问权限。

VPN 仍然适合站点到站点的连接、网络管理、遗留协议和需要 IP 级连接的工作负载。ZTNA 通常更适合只需要特定应用程序或服务的员工、承包商和合作伙伴。

许多组织将受益于将这两种方法结合起来。应用程序级别的访问可以朝着 ZTNA 发展,而受限的 VPN 连接仍然可用于真正需要网络访问的工作流程。无论选择哪种模型,强身份验证、最小权限、分段、服务器加固和持续监控仍然是必要的。

进一步阅读

back to top of the page icon