ZTNA (ang. Zero Trust Network Access) to implementacja filozofii Zero Trust Security w obszarze kontroli dostępu do sieci. Takie podejście zakłada z góry, że każdy użytkownik i urządzenie są potencjalnym zagrożeniem. Dotyczy to zarówno pracowników wykonujących swoje obowiązki w biurze, jak i tych łączących się z zasobami firmowymi zdalnie. ZTNA obejmuje także urządzenia IoT, które mają dostęp do sieci wewnętrznej i nierzadko stają się wektorem ataku.

ZTNA polega na dokładnej kontroli i ustaleniu precyzyjnej polityki dostępów. W ramach tego rozwiązania użytkownik, za pośrednictwem szyfrowanego tunelu, może łączyć się wyłącznie z aplikacjami i zasobami, do których otrzymał dostęp. Jednocześnie nie widzi adresów i aplikacji znajdujących się poza obszarem, do którego został upoważniony. Takie rozwiązanie eliminuje ruch boczny i eskalację ataku w przypadku złamania dostępu do kont jednego z użytkowników (np. gdy dane uwierzytelniające poznają niepowołane osoby lub gdy ktoś włamie się do punktu końcowego sieci). Zgodnie z podejściem Zero Trust Security użytkownikom przydziela się dostęp do konkretnych zasobów w minimalnym potrzebnym do wykonania zadania zakresie i na określony czas.

ZTNA minimalizuje ryzyko wystąpienia ataków typowych dla tradycyjnych modeli dostępowych. Mowa między innymi o atakach:

• phishingowych (są one utrudnione z uwagi na konieczność każdorazowego uwierzytelnienia oraz mocno ograniczone uprawnienia użytkowników),


• malware,


• ransomware w (odizolowanie aplikacji i zasobów od siebie niesie znacznie mniejsze ryzyko zainfekowania pozostałych elementów sieci).

Ponadto ZTNA pozwala ograniczyć złośliwą działalność i penetrację sieci przez boty, a także możliwość wystąpienia ataków wewnętrznych na aplikacje internetowe. Dzięki implementowanym, w ramach rozwiązań ZTNA mechanizmom, firma zyskuje także narzędzia do minimalizowania skutków ataków DDoS.

Budując infrastrukturę zgodną z podejściem ZTNA, należy pamiętać o kilku najważniejszych elementach, które tworzą całą koncepcję.

1. Wdrożenie mikrosegmentacji to jedno z najważniejszych założeń Zero Trust Network Access. Dzięki podzieleniu sieci na niewielkie segmenty drastycznie zmniejsza się obszar możliwego ataku. Uzyskanie dostępu do danego segmentu jest możliwe wyłącznie po przeprowadzeniu procesu uwierzytelniania i autoryzacji – niezależnie od tego, czy użytkownik/urządzenie pochodzi z sieci wewnętrznej czy zewnętrznej.


2. Dodatkowe zastosowanie bezpiecznych podsieci może zwiększyć odporność na ataki i bezpieczeństwo infrastruktury oraz informacji.


3. Proces uwierzytelniania użytkownika i autoryzacji wzbogacony zostaje o dogłębną kontrolę (podczas każdej próby nawiązania połączenia sieciowego), jakiej poddawane jest także urządzenie, które próbuje uzyskać dostęp do zasobów. W ten sposób mechanizmy ZTNA mogą sprawdzić, czy system operacyjny komputera nawiązującego połączenie jest aktualny i nie przenosi niebezpieczeństw. System nie pozwoli na autoryzację, jeśli pojawi się niebezpieczeństwo ze strony nowych urządzeń. To szczególnie istotne w przypadku firm przyjmujących hybrydowy model pracy oraz model BYOD (Bring Your Own Device) w kontekście stosowania prywatnego sprzętu pracowników.


4. Infrastruktura zorganizowana zgodnie z modelem ZTNA zapewnia bezpieczny dostęp zdalny do konkretnych zasobów w sieci firmowej. Każdy pracownik, posiadając przydzielone dostępy, zgodnie z ustaloną polityką firmy, może wykonywać swoje obowiązki z dowolnego miejsca – ryzyko rozprzestrzenienia się ataku na inne aplikacje, adresy, bazy danych czy urządzenia jest wtedy niewielkie.