資安警報頻傳，根據資安研究公司報告[1]指出，2023 年全球資安威脅總數成長超過 10%，攻擊型態不僅更多樣化，也更為精密。除了傳統的惡意網址與網路釣魚攻擊外，在一份調查報告中[2]也指出，有 45% 的組織確認在過去 12 個月中至少經歷過一次利用 VPN 漏洞的攻擊。由於 VPN 提供對企業網路的完全訪問權限，一旦登錄憑證及訪問權限被取得，就會讓企業網路曝光在被攻擊的風險中。這也是為什麼我們該改用「零信任網路」的主要原因。

什麼是 ZTNA「零信任網路」？

ZTNA 零信任網路是一種網路安全架構，它「不相信」任何使用者，所以每個使用者要存取網路前都需要經過層層把關，在經過不同層級的安全驗證後才能存取特定內容。透過 ZTNA 零信任網路架構，企業與機構可以更有效防止未授權甚至是惡意的網路訪問與存取，根據問卷調查表示，目前有接近 90% 的受訪者認為採用 ZTNA 零信任網路是接下來組織網路架構的重點領域，有將近 40% 的受訪者計劃將使用 ZTNA 零信任網路取代原本的 VPN 網路架構。

VPN 可能面對到的資安風險為何？ZTNA 可以怎麼避免？

後疫情時代下遠端存取工作與分散式勞動仍是部份企業常態，根據調查有將近 70% 使用者每天或幾乎每天使用 VPN 服務進行連線。然而，隨著網路資安威脅的快速進化，VPN 已無法提供更嚴格的安全和分段訪問機制。一旦駭客取得登錄憑證及訪問權限，受到網路攻擊的風險將會大幅提高。此外，VPN 連線還能連接多個不同站點，允許訪問第三方，支援非託管設備，甚至可連接物聯網設備，面對日益複雜且不斷變化的網路威脅，往往會導致安全漏洞的產生。

採用零信任策略的 ZTNA 零信任網路，是一種強調「永不信任，一律驗證」的網路技術，這個技術採取了最小權限原則的安全性配置。透過實施最小權限原則與即時檢視裝置狀態，ZTNA 只會將雲端存取權依 App 給予使用獨特憑證的已授權特定使用者。也就是說，使用者在裝置上驗證自己的雲端身分憑證後，企業或組織連線便可獲得保障，其餘非企業用的 App 則將透過分流技術直接路由至網際網路，進而達成保護終端使用者隱私並最佳化網路基礎架構的目標。此外，這個做法還能改善底層網路，提升建立連線或微型通道的效率。運用微型通道技術，已批准的使用者身分、裝置、App 便可獲得端到端的保護。只要有任何一項存取條件未妥當配置（如個人設備），那麼無論是否輸入正確的憑證，都將無法存取企業與組織資源。

有別於整體授予存取許可權的傳統 VPN 技術，ZTNA 不會給予整個資源網路的存取權，這種更為細緻的做法只會在使用者有需要時批准他們的存取，藉此強化安全性。以專屬政策強化組織的資安防護力不僅可以達成合規要求，更可以更完善的方法保護終端使用者、公司資料與設備。

ZTNA 對比 VPN 的優勢為何？

過去 VPN 可以解決許多安全性風險，但其仍會存在一個風險：使用者必須實際連接到 VPN。很多時候不情願，或者只是單純缺乏如何連接到 VPN 的知識，可能就會使組織的資料安全面臨風險，因為這時還尚未進入網路安全邊界。

ZTNA 零信任網路的使用者完全不需擔心何時或是如何才能存取安全的網站，使用者只需登入設備，馬上就可以存取受保護的資料。因為 ZTNA 只要在後台確保使用者通過身分驗證及授權，而且是使用受信任的設備，就可以直接存取資料。採用 ZTNA 零信任網路可以有效推動組織以正確方法保護資料安全，同時也確保使用者仍可以輕鬆存取這些資源。

無論使用者正在使用哪種裝置或作業系統，當 App 需要連線與重新連線時，ZTNA 都會自動建立微型通道，就像在掛斷電話或結束服務一樣容易。ZTNA 不會佔用硬體資源，也不會在未使用時耗用電池電量，和傳統 VPN 服務相比還能獲得節省資源與能源的額外效益。

如何從 VPN 進化到 ZTNA

ZTNA 零信任網路可根據一個或一組 App 來建立身分與情境型且符合邏輯的存取邊界。白話一點的說，ZTNA 可說是新一代的虛擬私人網路（VPN）技術。有別於可追溯至 1996 年，依據點對點隧道協議（PPTP）所建立的 VPN，ZTNA 解決方案在設計時便已考量到現代運算，結合了身分型資安模型、風險感知政策管理與 App 型微型通道等功能，將這些功能限制與雲端型基礎架構結合，如此一來不只可以簡化管理流程，而且還能依需求隨時擴展，全程無需維護任何硬體設備。

選擇 Jamf 解決方案，設置 ZTNA 網路比想像中更簡單

Jamf 提供包括「身份型資安模型」、「App 式微型隧道」、「現代雲端基礎架構」、「可與身分服務整合」、「風險感知存取政策」、「輕量級 App」、「智慧分流技術」、「統一存取政策」等多項安全功能，並可原生支援 Okta 與 Azure，同時也可透過 Azure 同盟處理程序支援其他如 Google、Ping 等 IdP 大廠，Jamf 能夠透過使用者偏好的雲端身分廠商（IdP）以單一登入（SSO）啟用使用者身分驗證，透過 Jamf 解決方案不僅能消除管理使用者和裝置憑證的麻煩，也不再需要維護自己的專用憑證頒發機構（CA），更不需要在遠距或混合辦公環境中設置原先這類資安機制所需要的網路邊界。

透過 Jamf 解決方案也讓管理人員可有效利用每部裝置的網路連線、與雲端的連線能力，來「更聰明而不是更勤奮地工作」，與此同時還能有效減少開銷並提升效率。Jamf Private Connect 代理程式不僅為你的裝置、使用者和資料提供了最高級別的保護能力，而且還確保在此過程中盡可能運用最少的資源。

資料來源

[1]

[2]