借助Microsoft Entra ZTNA实现安全、高效、灵活的网络访问

By | 2023-07-14

随着数字化转型的加速和灵活工作模式的普及,传统的网络安全方案已经无法满足现代企业的需求。传统的网络安全方案不仅影响了用户体验,还给每个用户授予了过多的对整个企业网络的访问权限。一旦用户账户被攻击者窃取、设备被感染或端口被打开,攻击者就可以在网络内部任意横向移动,威胁到企业的核心资产。

即使您已经为您的组织采用了现代的访问解决方案,您仍然需要集成和管理多个身份和网络工具,因为单独的身份或网络安全控制无法保护所有的访问点。但是,如果您使用不连贯的工具,一些关键的集成点可能会被遗漏。熟练的攻击者通常会利用解决方案之间的缝隙。组织需要一个更简单、更敏捷的方法来保护对所有应用和资源的访问。

零信任网络访问(Zero Trust Network Access,ZTNA)和安全访问服务边缘(Secure Access Service Edge,SASE)是两种应对这一挑战的创新方案。ZTNA是一种基于身份和上下文的访问控制模型,它不再假设网络内部是可信的,而是对每个访问请求进行验证、授权和加密,实现最小权限原则。SASE是一种将软件定义的广域网(SD-WAN)和零信任安全解决方案融合在一个云端交付的平台上,可以安全地连接用户、系统、终端和远程网络到应用和资源。为了解决这些问题,Gartner提出了一个新的安全框架:Secure Access Service EdgeSASE),它将软件定义广域网(SD-WAN)和零信任安全(Zero Trust Security)解决方案融合到一个云端平台。

SASE通过以下四个主要特征实现用户、系统、终端和远程网络与应用和资源的安全连接:

  • 基于身份:根据用户和设备的身份授予访问权限。
  • 云原生:基础设施和安全解决方案都是云端交付。
  • 支持所有边缘:保护每一个物理、数字和逻辑边缘。
  • 全球分布:无论用户在哪里工作,都能保证安全。


今天我将介绍Microsoft的安全服务边缘(Microsoft’s Security Service EdgeMSSE),一种新型网络模型将改变您保护访问的方式:Microsoft Entra Internet AccessMicrosoft Entra Private Access。通过身份和网络访问解决方案协同工作,组织不需要花时间决定哪种工具对每个应用更合适,或者如何将身份团队创建的策略与网络团队创建的策略进行桥接。您现在可以在Microsoft Entra中使用条件访问配置统一的身份和网络控制。您可以通过一个云交付、以身份为中心的网络访问解决方案连接任何终端用户、应用或外部资源以及内部IT系统。这种云服务提供了敏捷性、易于管理,并且在与传统的本地系统相比时具有成本效益,因此您不需要牺牲用户生产力来获得最佳的安全控制。


这种模型是基于零信任原则构建的。它有助于验证每个身份,并使用基于风险的上下文,只给用户提供他们需要完成工作所需的应用、资源和目标地点。至此,借助Microsoft Entra Internet Access和Microsoft Entra Private Access和Defender for Cloud Apps共同构成并实现了Microsoft Security SASE和CASB的安全服务边缘解决方案

Microsoft Entra Internet Access

Microsoft Entra Internet Access是一个以身份为中心的安全网关(SWG),用于保护对SaaS应用和互联网流量的访问,防止恶意互联网流量、不安全或不合规内容以及来自开放互联网的其他威胁。例如,您可以阻止高风险用户或不合规设备访问所有外部目标地点,除了自助密码重置页面。


Microsoft Entra Internet Access可以帮助您实现以下目标:

  • 保护对互联网和SaaS应用(包括Microsoft 365)的访问,防止恶意软件、勒索软件、钓鱼等攻击。
  • 使用条件访问策略控制用户和设备对互联网和SaaS应用(包括Microsoft 365)的访问权限,根据身份、设备状态、位置等因素进行动态调整。
  • 提供优化的用户体验,通过最佳路径选择和负载均衡技术,确保低延迟和高可用性。
  • 简化管理,通过一个集中的控制台,配置和监控所有的网络访问策略和活动。
  • 降低成本,通过消除传统的网络安全设备和服务,减少维护和运营开支。

Microsoft Entra Private Access

Microsoft Entra Private Access是一个以身份为中心的安全访问服务边缘(SASE)解决方案,用于保护对内部应用和资源的访问,无论它们位于哪里(本地、云或混合环境)。它不需要使用VPN或其他传统的网络访问技术,而是通过一个云交付的代理层,实现了用户和应用之间的端到端加密连接。


Microsoft Entra Private Access可以帮助您实现以下目标:

  • 保护对内部应用和资源的访问,防止未经授权的用户或设备进入您的企业网络。
  • 使用条件访问策略控制用户和设备对内部应用和资源的访问权限,根据身份、设备状态、位置等因素进行动态调整。
  • 提供优化的用户体验,通过最佳路径选择和负载均衡技术,确保低延迟和高可用性。
  • 简化管理,通过一个集中的控制台,配置和监控所有的网络访问策略和活动。
  • 降低成本,通过消除传统的网络安全设备和服务,减少维护和运营开支。

企业使用场景

为了更好地说明Microsoft Entra Internet AccessMicrosoft Entra Private Access如何为企业提供安全、高效、灵活的网络访问解决方案,我们来看一个具体的使用场景。

假设您是一家跨国公司的IT管理员,您需要为您的员工提供对各种应用和资源的访问权限,包括:

  • 公司内部托管在本地数据中心或云上的应用,如ERPCRMHR等。
  • 公司使用的SaaS应用,如Microsoft 365SalesforceZoom等。
  • 公司允许员工使用的互联网资源,如新闻网站、社交媒体等。

您希望能够根据员工的身份、角色、设备状态、位置等因素,灵活地控制他们对不同应用和资源的访问权限,并且能够及时检测和阻止任何来自外部或内部的威胁。您还希望能够提供一个优化的用户体验,让员工无论在哪里工作,都能够快速、稳定地访问所需的应用和资源。同时,您还希望能够简化管理,并降低成本。

使用Microsoft Entra Internet AccessMicrosoft Entra Private Access,您可以轻松地实现这些目标。具体步骤如下:

  • Microsoft Entra控制台中,为您的员工创建不同的用户组,并分配相应的角色。
  • Microsoft Entra控制台中,注册您需要保护的内部应用,并指定它们所在的位置(本地、云或混合环境)。
  • Microsoft Entra控制台中,配置条件访问策略,并将其应用到不同的用户组、内部应用、SaaS应用或互联网资源上。例如:
    • 对于高风险用户或不合规设备,只允许他们访问自助密码重置页面,并阻止他们访问其他任何外部目标地点。
    • 对于销售人员,只允许他们访问SalesforceZoom和一些新闻网站,但不允许他们访问其他SaaS应用或互联网资源。
    • 对于财务人员,只允许他们访问ERPMicrosoft 365,但不允许他们访问其他内部应用或外部目标地点。
    • 对于IT管理员,允许他们访问所有内部应用和SaaS应用,但限制他们访问互联网资源的类别。
  • Microsoft Entra控制台中,监控网络访问的活动和状态,并查看相关的报告和警报。
  • 在员工的设备上,安装Microsoft Entra客户端,并启用它。这样,员工就可以通过一个云交付的代理层,安全地访问所需的应用和资源,无论它们位于哪里。

通过这种方式,您就可以使用Microsoft Entra Internet AccessMicrosoft Entra Private Access为您的企业提供一个安全、高效、灵活的网络访问解决方案。

使用Microsoft Entra Internet AccessMicrosoft Entra Private Access有以下几个优势:

  • 安全性:通过基于身份的条件访问策略,您可以精细地控制用户和设备对不同应用和资源的访问权限,并根据实时的风险评估进行动态调整。您还可以利用Microsoft Entra的强大的威胁防护能力,防止恶意软件、勒索软件、钓鱼等攻击。此外,您还可以避免使用VPN或其他传统的网络访问技术,从而减少攻击面,并实现用户和应用之间的端到端加密连接。
  • 高效性:通过云交付的代理层,您可以为用户提供一个优化的网络体验,通过最佳路径选择和负载均衡技术,确保低延迟和高可用性。您还可以为用户提供一个无缝的访问体验,无论他们在哪里工作,都能够快速、稳定地访问所需的应用和资源。
  • 灵活性:通过一个集中的控制台,您可以轻松地配置和管理所有的网络访问策略和活动,并根据业务需求进行快速调整。您还可以支持任何类型的应用和资源,无论它们位于哪里(本地、云或混合环境),并支持任何类型的用户和设备。

使用Microsoft Entra Internet AccessMicrosoft Entra Private Access可以为您的企业带来以下价值:

  • 提升业务竞争力:通过提供一个安全、高效、灵活的网络访问解决方案,您可以支持您的企业实现数字化转型,并适应灵活工作模式。您可以提高员工的生产力和协作能力,并增强客户满意度和忠诚度。
  • 降低运营成本:通过消除传统的网络安全设备和服务,您可以减少维护和运营开支,并节省带宽和电力成本。您还可以利用Microsoft Entra的按需付费模式,根据实际使用情况进行计费,并随时扩展或缩减服务。
  • 简化合规性:通过使用Microsoft Entra Internet AccessMicrosoft Entra Private Access,您可以遵守各种行业标准和法规要求,并保护您的企业数据和客户数据。您还可以利用Microsoft Entra的全面的审计和报告功能,随时了解您的网络访问状况,并及时发现和解决任何问题。

Microsoft Entra Internet AccessMicrosoft Entra Private Access是两款基于零信任原则的网络访问解决方案,它们可以为您的企业提供一个安全、高效、灵活的网络访问解决方案,让您可以轻松地保护对所有应用和资源的访问,无论它们位于哪里,无论您的用户在哪里工作。它们还可以帮助您提升业务竞争力,降低运营成本,并简化合规性。

后面我将通过两篇文章分别介绍这两种新的ZTNA服务在企业中的实际使用。感谢你阅读我的博客,如果你有任何问题或建议,请在评论区留言,我会尽快回复你。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注