什麼是 Zero Trust Edge (ZTE)?
Zero Trust edge (ZTE) 是雲端驅動的架構,整合網路與安全性,並使用零信任來驗證與監控網路互動。
企業越來越多地使用零信任網路安全性原則,將越來越多的使用者和裝置安全地連接至資源,這是中興通訊的主要動力。對許多組織而言,中興通訊的一個主要應用是確保遠端工作者的安全性,並減少對虛擬專用網路 (VPN) 的依賴。
為何 Zero Trust Edge 非常重要?
中興通訊之所以重要,是因為它為組織的實體據點和遠端員工提供更安全的閘道連接至網際網路,並存取組織的應用程式和資料。
三個關鍵因素推動中興通訊內在網路與安全性的深度整合:
- 網路安全性必須遵守嚴格的安全信任等級,並符合既定的政策。
- 與其讓安全性團隊覆蓋企業網路,組織必須採用 ZTE 政策,並以安全性為中心來追求網路的安全性。
- 所有用戶端和端點都必須具備安全的網路安全性,能夠在網路路由的任何一點中和或繞過潛在的惡意軟體威脅。
ZTE 模式通過形成新的周界來解決這一挑戰。它融合了所有點的安全性和網路,根據對使用者身分和情境的不斷地驗證,給予應用程式明確的存取權限。這確立了中興通訊在現代數位生態系統中的關鍵角色,在日益互聯、威脅頻繁的環境中發揮有效的防禦作用。
ZTE 模式通過形成新的周界來解決這一挑戰。它融合了所有點的安全性和網路,根據對使用者身分和情境的不斷地驗證,給予應用程式明確的存取權限。這確立了中興通訊在現代數位生態系統中的關鍵角色,在日益互聯、威脅頻繁的環境中發揮有效的防禦作用。
Zero Trust Edge 如何運作?
零信任邊緣應用了謹慎的認證和驗證;實質上,它將每個網路交易都視為有潛在風險。
談到中興的機制,它的起源是將中興的元素放置在雲端或邊緣託管的安全性堆疊中,考慮到頻寬限制,可能必須為某些元件提供本機基礎架構。
中興依靠兩個關鍵的雲端驅動原則:
雲端網路與安全性管理:
確保整個企業的政策一致性,減少錯誤並提昇效率。可將網路與安全性無縫連結的分析工具:
可提高連結利用率、及早偵測網路異常,並進行全面的網路監控。
由於需要儲存和處理大量資料以進行有效分析,因此需要雲端解決方案。
部署後,ZTE 可讓組織集中管理、監控和分析一系列安全性和網路服務,不論是託管在雲端或遠端。最終目的是在不影響網路安全性的情況下,提供嚴格的安全性。
ZTE 實作
組織實作 ZTE 有三種主要途徑:
雲端中興服務
雲端 ZTE 服務使用多個具備固有 ZTE 功能的存在點 (POP)。這種方式反映了軟體即服務 (SaaS) 的交付模式。ZTE 作為廣域網路 (WAN) 的延伸
自製的方式結合了中興通訊,作為廣域網路 (WAN) 連線服務的延伸。
電信業者提供 ZTE 功能和外包安全性。雖然內部部署解決方案有多種選擇,但可能缺乏雲端系統的敏捷性。此外, SD-WAN 和 ZTE 的組合需要針對每項服務進行個別的政策設定,因此單一的整體解決方案並不可行。土生土長的 ZTE
規模較大、靈活的組織可選擇開發自己的 ZTE 產品。此方法必須使用公共雲端服務來提供 POP 和雲端託管的防火牆,以及其他安全服務。儘管有其固有的彈性,自製的 ZTE 需要持續監控不斷演進的安全元件和雲端服務。有足夠的 IT 專業知識來管理和維護產品也很重要。
零信任邊緣的優點
強化風險緩解
中興通訊的主要優勢在於能大幅降低網路漏洞。由於安全性植根於網路的每個層級,且每筆交易都經過嚴格認證,因此可大幅降低潛在威脅。無論使用者從何處連線或使用何種應用程式,ZTE 都能提供一致的高層級安全性。
透過對所有連線來源執行一致且協調的安全政策,中興通訊也保障了混合工作場所的安全。無論員工是從未受管理的網路或辦公室連線,ZTE 都會實施相同層級的審查。
此外,中興通訊還實現了無處不在的 零信任網路存取 (ZTNA) 。它從隱含信任轉變為基於身份和情境的明確存取,從而產生不斷地驗證。這可確保有效控制網路存取,提升整體網路安全性。
中興通訊提升事件回應能力。透過促進團隊合作,中興通訊增強了事件回應能力並簡化了故障排除,提供了更主動的安全性管理方法。成本效益
由於其雲端化和自動化的特性,中興通訊網路提供了一個經濟、可擴展的安全性解決方案。作為網際網路的固有部分,它們可以毫不費力地適應數位轉型,不受傳統架構的限制。這可大幅節省成本,並確保組織只需為所使用的資源付費。最佳化使用者體驗
ZTE 透過改善網路效能與吞吐量,提升使用者體驗。它專注於提供最佳化路徑和全面的數位體驗,大幅加速應用程式效能。統一網路安全基礎架構
ZTE 採用將多種網路安全工具濃縮為一個統一的解決方案,簡化了網路安全威脅的監控、分析和回應。合併可建立更易管理、更有效率的網路安全基礎架構,消除潛在的相容性問題。
中興通訊全面的安全性可減少對多個供應商的需求,提供單一或有限供應商的選擇。然而,組織必須確保供應商能有效地將解決方案整合至現有的網路基礎架構。消除資料回傳
傳統的 虛擬私人網路 (VPN) 設定通常會透過企業網路回傳遠端使用者的流量。此過程會造成嚴重的頻寬擁塞。然而,中興採用雲端 on-ramps 進行全球連線和安全檢查,從而消除了資料回程並提升了性能。
中興的挑戰
傳統網路設備、應用程式與服務
結合作業技術 (OT) 和物聯網 (IoT) 裝置會使過渡至 ZTE 架構變得複雜。這些裝置在組織內的數量可能數以千計,而且可能與傳統的網路設備相連。將這些設備轉換到中興通訊網路可能是一個複雜的過程,需要大量的基礎設施大修。
與傳統硬體相容是過渡到 ZTE 的另一個重大障礙。關鍵基礎結構元件可能依賴於過時的硬體,而這些元件的現代化可能是一項艱鉅的任務。此外,一些舊有的硬體可能無法支援中興通訊的需求,因此必須重新評估並可能更換作業技術和物聯網裝置。
將傳統的 Application 和服務整合到 ZTE Framework 也構成了重大的挑戰。特別有問題的是建立在非網頁通訊協定上的應用程式,例如遠端存取的遠端桌面協定 (RDP) 或虛擬桌面架構 (VDI),以及語音服務的工作階段初始通訊協定 (SIP) 或 IP 語音 (VoIP)。這些應用程式缺乏 ZTE 使用的標準程序,使其整合變得複雜。容量限制
容量限制是中興實作的難題。雖然中興能解決遠端員工存取的問題,但目前缺乏取代提供資料中心存取的大量網路與安全性服務的能力。因此,組織可能需要先進行雲端遷移,再將某些企業資產轉換為中興通訊的保護。
在實作中興之前,企業必須仔細評估網路容量。如果接近容量極限,可能需要找出額外的解決方案或進行重大升級。在某些情況下,可能需要先遷移至雲端基礎架構,然後再實作 ZTE,這可能會讓過渡過程更加複雜。破壞傳統網路安全性
作為一種全新的變革方式,中興通訊顛覆了傳統的網路安全性作法。當組織適應範式轉變時,這種干擾可能會造成挑戰,尤其是傳統上網路安全性的實作方式根本不同。因此,過渡過程可能很複雜,需要大量的規劃和適應。
Zero Trust Edge 與 SASE 有何差異?
安全存取服務邊緣 (SASE) 和零信任網路邊緣 (ZTE) 有著共同的原則和目標,例如網路功能的合併和雲端交付的安全性服務。然而,它們的重點和方法各有不同。
SASE 將軟體定義廣域網路 (SD-WAN) 與一系列網路安全性服務融合為統一的雲端服務。它可實現安全、高效的網路存取,滿足日益增加的遠端與分散式員工的需求。
ZTE 定義為原始 SASE 模型的演進,將「零信任」元件歸零,旨在建立超越存取控制的嚴格零信任即服務 (Zero-Trust-as-a-Service)。ZTE 採用零信任的方式,假設最壞的情況,對每個連線進行驗證,不論其性質或來源。
SASE 以雲端模式整合網路服務與安全性,而中興通訊則採取更嚴謹的態度,強調認證以維護整個網路基礎架構的零信任原則。
零信任邊緣常見問題
零信任網路存取 (ZTNA) 是一類技術,可根據定義的存取控制政策,提供安全的遠端存取應用程式和服務。它使用相同的零信任原則,但作為 ZTE 的一個組成部分。
