聯絡我們
繁體中文
首頁 最新消息 科技趨勢 Cloudflare ZTNA(零信任網路存取)可以取代您的 VPN 嗎?
2023-02-13
科技趨勢

Cloudflare ZTNA(零信任網路存取)可以取代您的 VPN 嗎?

caption_pic_119

 

零信任網路存取 (ZTNA) 會在特定應用程式、私有 IP 和主機名四周建立安全疆界,把預設允許的 VPN 連線替換為基於認證和情境授予存取權限的默認拒絕策略。

VPN及零信任網路存取 (ZTNA)的歷史演進:


安全、無縫的遠端存取是經營的命脈,可提高遠端用戶的工作效率,並減少了 IT 團隊讓用戶加入應用程式並加以維護,使其敏捷及耐用所花費的時間。然而,遠端存取對許多企業來說是個挑戰。

有段時間,VPN 提供了一種簡單的方法,可在短時間內讓遠端用戶連接到公司網路。然而,隨著勞動力變得更加分散,企業需要讓遠端使用者在更長的時間內保持安全的連結,這種方法的缺陷就變得明顯,包括性能緩慢、網路安全風險增加以及擴充性問題。
隨著遠端存取需求的增長,越來越多企業從傳統的 VPN 轉向更安全、更高效的遠端存取解決方案。

零信任網路存取 (ZTNA) 會在特定應用程式、私有 IP 和主機名四周建立安全疆界,把默認允許的 VPN 連線替換為基於認證和情境授予存取權限的默認拒絕策略。
 

根據Cloudflare 白皮書內容提到:


2020 年,有大約 5% 的遠端存取主要採取 ZTNA 服務。由於傳統 VPN 存取的侷限,加上對更精確的存取和 工作階段控管的需求,預計在 2024 年這一數字將躍升至 40%。雖然 ZTNA 對企業來說具有一些明顯的優勢和擴充功能,但許多企業發現它尚無法完全替代 VPN 基礎結構。 但隨著 ZTNA 變得更加強大且 VPN 的問題變得更嚴重,這種情況正在迅速改變。

file_name_47

 

一、傳統 VPN介紹:


過去數十年來,企業藉由 VPN,讓遠端使用者能連接到具有一定隱私和網路安全措施的企業網路。若透過公共網路存取敏感性資訊,可能遭受任何攻擊者窺探或竊取;而 VPN 不同之處在於,讓用戶透過加密連線安全地存取內部資源。

兩種最常見的 VPN 實施模式,分別是基於客戶端的 VPN 和無客戶端的 SSL-VPN,會於下表內列出這兩種模式的優缺點:

1. 基於客戶端的 VPN: 提供優點及挑戰供參考:

file_name_42

2. 無客戶端的 SSL-VPN: 提供優點及挑戰供參考:

file_name_43

使用VPN的圖示:

file_name_44

 

隨著遠端工作變得越來越普遍,VPN 的 問題開始成倍地增加:

(1) 用戶查覺到效能緩慢:當VPN 距離用戶和他 們要存取的應用程式伺服器都很遠時,就會造成等待時間。

(2) 企業網路容易受到攻擊:由於沒有內建限制 存取關鍵基礎結構和資源的方法,容易受到惡意橫向移 動的影響,導致更嚴重的資料外洩。
 


二、ZERO TRUST 零信任網路存取介紹:


Zero Trust 網路安全規避了 VPN 固有的許多挑戰。它的基本原則是,網路內外任何用戶或設備都不被默認為可信任。為了降低資料外洩、內部攻擊和其他威脅的風險及影響。

使用Zero Trust 方法如下:

  • 驗證每一個登入和要求
  • 對所有用戶和設備要求嚴格的驗證
  • 根據身份認證和使用情境,限制每個用戶和設備可以存取的資訊
  • 並添加端對端加密,以隔離網路內的應用程式和資訊。

file_name_45

與 VPN 一樣,ZTNA 可以用幾種方式配置:

1.無客戶端(或由服務啟動)的 ZTNA:

使用現有瀏覽器而不是客戶端來建立安全連線並驗證用戶設備。過去,無客戶端 ZTNA 一直僅限於使用 HTTP/HTTPS 通訊協定的應用程式,但其兼容性正在快速發展。

優點:無客戶端 ZTNA 使用反向 Proxy 連線來防止直接存取應用程式,阻止用戶存取他們可能無權查看的應用程式和資料,並允許管理員在管理時有更大的控制權和靈活性。

2. 基於客戶端(或由端點啟動)的 ZTNA:

先在用戶設備上安裝軟體,然後才在控制媒介和經授權的應用程式之間建立加密連線。

優點:基於客戶端的 ZTNA 讓管理員可以更深入地瞭解存取應用程式的用戶其設備狀態、位置和風險脈絡,因而能建立及採取更精細的策略。同時,這種方法不限於 HTTP/HTTPS,因此可用於存取更廣泛的非 HTTP 應用程式,例如那些透過 SSH、RDP、VNC、SMB 和其他 TCP 連線的應用程式。
 

三、CLOUDFLARE 的遠端存取方法介紹


保護和擴充遠端存取應該是一個無縫的過程,不會對安全解決方案造成負擔、造成性能下降或產生不必要的成本。

Cloudflare 讓團隊能夠處理所有遠端存取的使用方式,並具有以下優點:

  • 用戶和管理員可輕鬆、無風險地上手。Cloudflare 可輕鬆與現有識別提供者和端點保護平台整合,以便採行 Zero Trust 策略,限制對企業應用程式和資源的存取。
  • 靈活部署基於用戶端和無用戶端 ZTNA(零信任網路存取)。Cloudflare 針對到 Web、SSH、VNC(即 將包括 RDP)應用程式的連線提供無用戶端支援,並針對非 HTTP 應用程式以及到內部 IP 的私人路由提供基於用戶端的支援。

file_name_46

四、用ZERO TRUST 網路存取取代傳統的 VPN


在過渡到無 VPN 網路安全這段漫長而痛苦的過程中,Zero Trust 方法的承諾,對於 IT 安全領導者來說可 能覺得很空洞。但是用 Zero Trust 網路存取替換您的 VPN 是可能的,且無需對支援的通訊協定或功能性 妥協。 建議的遷移路徑,會根據推動這項計畫的業務優先等級而有所不同。

  • 如果您優先考慮更快連接到應用程式,請首先為非網路應用程式部署基於客戶端的 ZTNA。
  • 如果增強應用程式存取規則的安全性更重要,請從 Web 應用程式開始。


如果您對於Cloudflare網路零信任網路存取還有想要了解更多,歡迎與我們聯繫洽詢! 我們將有專人服務。

聯繫我們

相關訊息

Google Workspace 全面 AI 化!Gemini + NotebookLM 幫你寫信、開會、做簡報

Google Workspace 全面 AI 化!Gemini + NotebookLM 幫你寫信、開會、做簡報

什麼是CSR檔?

什麼是CSR檔?

如何在網域的 DNS 記錄中新增 CNAME 記錄?

如何在網域的 DNS 記錄中新增 CNAME 記錄?

聯絡我們

我們使用 Cookie 以允許我們網站的正常工作、個性化設計內容和廣告、提供社交媒體功能並分析流量。我們還同社交媒體、廣告和分析合作夥伴分享有關您使用我們網站的信息

管理Cookies

隱私權偏好設定中心

我們使用 Cookie 以允許我們網站的正常工作、個性化設計內容和廣告、提供社交媒體功能並分析流量。我們還同社交媒體、廣告和分析合作夥伴分享有關您使用我們網站的信息

查看隱私權政策

管理同意設定

必要的Cookie

一律啟用

網站運行離不開這些 Cookie 且您不能在系統中將其關閉。通常僅根據您所做出的操作(即服務請求)來設置這些 Cookie,如設置隱私偏好、登錄或填充表格。您可以將您的瀏覽器設置為阻止或向您提示這些 Cookie,但可能會導致某些網站功能無法工作。

行銷的Cookie

行銷 Cookie 能用來追蹤訪客造訪網站的歷程。目的是用來顯示與個別使用者相關或吸引他們的廣告,因此對發佈者或第三方廣告商而言比較重要。

定向 Cookie
這些 Cookie 由廣告合作夥伴通過我們的網站進行設置。這些公司可能利用 Cookie 構建您的興趣分佈圖並向您展示其他網站上的相關廣告。它們只需識別您的瀏覽器和設備便可發揮作用。如果您不允許使用這些 Cookie,您將不能體驗不同網站上的定向廣告。

社交媒體 Cookie
這些 Cookie 由我們已添加到網站上的一系列社交媒體服務設置,使您能夠與朋友和網絡共享我們的內容。它們能夠通過其他網站跟踪您的瀏覽器並構建您的興趣分佈圖。這可能會影響您在訪問其他網站時所查看的內容和消息。如果您不允許使用這些 Cookie,您可能無法使用或查看這些共享工具。