實施零信任網路訪問的五個最佳實踐

許多企業組織對零信任網路訪問(Zero Trust Network Access，簡稱“ZTNA”)的興趣非常濃厚，因為這是替代傳統VPN技術的一種有效方式，但是企業普遍缺乏實施方面的經驗。Gartner分析師最近列出了早期採用者給出的5個最佳實踐供企業借鑑，這些經驗可以讓企業未來應用ZTNA時變得更順暢、更高效。

圖 1. 實施零信任網路訪問(ZTNA)的最佳實踐 (圖片來源：Gartner)

一、基於應用場景實施ZTNA

一些終端使用者組織表示，起初他們配置ZTNA以便為使用者授予訪問所有應用程式的許可權，這與配置傳統VPN的方式相似。這種方法的問題在於，組織無法獲得ZTNA的全部好處。在部署ZTNA之前，應確定ZTNA的使用場景(比如用來控制對敏感應用程式的訪問或將訪問許可權授予承包商)，並針對適當的使用者組運用特定的策略。如果能迅速運用策略以限制對敏感應用程式的訪問，終端使用者組織將更容易受益於ZTNA。

二、提前瞭解應用程式的使用

許多組織往往在實施ZTNA解決方案時，才開始研究使用者和應用程式之間的關係。然而一些早期採用者表示，他們在實施ZTNA解決方案之前就開始研究兩者之間的關係了。比如，他們詢問營銷和財務等特定部門的業務負責人，以確定他們的團隊在使用哪些應用程式、以及需要訪問哪些承包商等。這種方法使他們能夠為每個團隊設定標準，並讓其在部署ZTNA時可以更快地取得進展。ZTNA專案經理表示，即使擁有應用程式發現工具，在確定哪些使用者需要訪問哪些應用程式時也需要做大量工作，因此最好儘早開始做好這一步。

三、重新梳理應用程式的訪問許可權

與業務團隊和負責應用程式的團隊會面，以確保所有使用者訪問許可權都是最新的。一些早期的ZTNA採用者表示，他們能夠更改或消除已換工作崗位或已離開公司的使用者訪問許可權，並終止與自己不再有業務關係的第三方(承包商)的訪問許可權。

四、 根據業務需求適時調整訪問策略

在部署ZTNA方面有經驗的終端使用者組織表示，對ZTNA策略採取“一勞永逸”的做法不切實際。隨著業務需求的不斷變化，應適時調整遠端訪問策略。例如：伴隨新應用程式(或季節性應用程式)的部署，ZTNA團隊將需要新增新的訪問策略;隨著應用程式不斷變化或業務負責人確定需要粒度更強或限制性更強的策略，訪問策略也可能需要予以更新。ZTNA團隊要有這樣的觀念，即要始終不斷改進和完善訪問策略。

五、與業務部門充分溝通

一些業務負責人可能會對遷移到ZTNA帶來的使用者體驗變化提出異議。應向這些業務負責人表明：新的ZTNA模式比傳統VPN提供更大的靈活性。基於上下文的多因子身份驗證(MFA)就是一個例子。如果使用者試圖使用企業擁有和管理的裝置來訪問應用程式，可以繞過MFA。然而，如果使用者試圖使用個人擁有的裝置來訪問應用程式，就需要MFA。ZTNA解決方案天生具有更大的靈活性，可能有助於打消改用這項新技術所引起的擔憂。