零信任网路访问(ZTNA)：使用 Forcepoint ONE 可轻松简化零信任之路

当人们谈论实施零信任时，通常首先将事情分为两大类，“资源”和“使用者”。这是有道理的，因为资源和使用者之间的交互必须通过零信任控制来保护。过去常常以预先确定的内部网路为重要的起始点。 因此，主要从实施网路分段的控制开始。随著流行将更多的使用者推到网路之外，并将更多的工作环境推向云端，人们开始关注使用零信任网路访问 (ZTNA) 解决方案来保护对私人应用程序的远端访问，而无需担心 VPN 带来的痛苦和风险。 它还更加关注云端访问安全代理 (CASB) 的使用，以便为云端应用程序的使用者提供类似的控制。

访问网路是至关重要的，那么为何它会被忽视呢？

经常被忽视的是典型使用者对一般网站造访的依赖性。因为一般网路使用通常是大多数组织的最大威胁媒介。点击不安全的连结通常是攻击的开始。除此之外，扫描暴露在公共网路上的资源是一种标准的侦察策略，用于识别勒索软件攻击或资料外泄的潜在受害者。员工需要使用一系列资源来完成他们的工作。而我们对每个阶层也有不同级别的控制。

访问网路是组织内各部门和不同类型组织中使用最广泛的资源之一。但到目前为止，我们对一般网路内容的控制最少。如果我们将控制私人资源、云端资源和一般网路使用图，它可能看起来像这样：

对于云端应用程序的过程，只需考虑常见的共同承担责任的类型，即可了解组织在从基础设施服务(IaaS) 转向平台服务 (PaaS) 和软体服务时对资源的控制逐渐减少（SaaS）。 IaaS 为组织提供了比 PaaS 或 SaaS 更多的控制权。当我们访问网路时，没有任何控制，它就会消失。然而，我们不能仅仅切断对网路的访问，因为它至关重要，因此我们正在接受相关风险。这些风险不仅仅来自一个方向，我们需要阻止的不仅仅是进入网站的恶意软体，还有离开网站后可能会有的资料遗失。

仅限制对受信任的网站访问并不能解决问题

通用的上网行为过滤已经存在了几十年，随著应用的演进，需求上不断的变化。安全网路闸道 (SWG) 更进一步为组织，实施传输内容检查，以扫描网路流量中的个资与敏感资料等内容，防止资料外泄，并检查是否有恶意内容与恶意软体的入侵。如果您充分使用资料外泄防护 (DLP) 功能，那么您可以真正阻止敏感资料遗失，但许多不具备强大 DLP 功能的组织发现，除了”事后稽核”和”事中发送通知” 外，很难做到其他更多的事情。

若只允许访问可信任的网站内容会有许多的不便。因为有时组织可能仍然需要开放访问某些不特定网站，或特定网站类别，而不确定其可能存在的风险为何。例如，在银行行员地上网控管情境中，可能个金或法金的放款人员，需要访问某个中小企业网站，或透过Google搜寻，来调查该企业状况，以确定是否批准贷款。

关键问题仍然存在：我们如何在我们无法管理的所有网站内容上实施诸如私人和云端应用程序的零信任控制呢？ 答案是被称之为零信任网路访问(ZTNA)的概念。

零信任网路访问提供保护和访问

零信任网路访问允许您使用远端浏览器隔离 (RBI) 来隔离和保护浏览器的使用。 可以把它想像成在手机上使用 FaceTime 直播与网站的互动。使用者真正得到的只是远端隔离浏览器中发生的事件影片。这允许使用者访问网路内容——即使它是恶意的。远端浏览器可能会被感染，但它会在使用结束时即被删除。换句话说，它们都不能触及到终端使用者的电脑，因为隔离，所以确保端点的安全。

RBI 内的内容清洗和重建 (CDR) 使事情更进一步。它清理文档和图像，从头开始将它们重新变为乾净的文件，没有任何潜在的隐藏元素，如隐藏在图像中的恶意软体或敏感资料。透过将 CDR 与 RBI 相结合，由安全网路闸道 (SWG) 管理的流量就会获得高度的安全控制，您可以轻松地透过这些增强的保护网路流量，并透过正常的 SWG 控制发送更安全的流量。

这使您可以对网路流量进行足够的控制以隔离使用者，从而提供真正的零信任保护。Forcepoint作为SASE 解决方案的核心供应商，能协助您透过一条简单的途径来采用统一的安全平台，为您的使用者和各地的分支机构站点提供安全、快速的访问。从访问网站内容到云端资源，再到私人应用程序和网路，Forcepoint 能够简化零信任之路。

在此处了解有关 Forcepoint ONE SWG 的更多讯息https://www.forcepoint.com/product/secure-web-gateway。

原文连结：https://www.forcepoint.com/blog/insights/zero-trust-web-access-extends-zero-trust-model-to-web-access