零信任和SASE這兩種安全模型到底是什么關(guān)系,?在后新冠時代,,面臨企業(yè)數(shù)字化轉(zhuǎn)型中不斷增長的網(wǎng)絡(luò)威脅攻擊面,企業(yè)應(yīng)當選擇哪種安全模型/安全建設(shè)策略,?
隨著IT環(huán)境的去中心化發(fā)展,,企業(yè)面臨的零信任相關(guān)安全問題越來越多,而零信任框架與安全訪問服務(wù)邊緣(SASE)之間的關(guān)系也越來越緊密,。許多安全團隊希望更好地了解零信任安全和SASE,,以及二者之間的關(guān)系是互斥還是兼容?
簡短的答案是:二者高度互補,。實際上,,幾乎任何情況下,當安全團隊同時部署SASE和零信任方案時,,二者會相輔相成,,事半功倍。
01 后新冠時代的數(shù)字化安全轉(zhuǎn)型
回顧IT歷史,,多年來企業(yè)一直依靠VPN為遠程員工提供進入內(nèi)網(wǎng)的安全“隧道”,。VPN技術(shù)基于傳統(tǒng)的、界限明晰的網(wǎng)絡(luò)邊界概念,。那些被認為值得信賴的用戶可以在內(nèi)網(wǎng)自由移動,,而外部的所有內(nèi)容均被拒絕訪問。
雖然在云計算時代,,企業(yè)的安全邊界已經(jīng)消融,,但VPN卻展現(xiàn)了極強的生命力,依然是企業(yè)最為信賴的網(wǎng)絡(luò)安全產(chǎn)品之一,。根據(jù)NetMotion 2021年的調(diào)查報告,,云計算時代最流行的云安全產(chǎn)品是VPN和SWG(下圖)。
企業(yè)已經(jīng)采用的云安全方案占比
但云VPN的繁榮也許只是回光返照,,甚至在新冠疫情導(dǎo)致大規(guī)模遠程辦公之前,,由于存在許多嚴重缺陷,VPN這種基于網(wǎng)絡(luò)邊界安全模型的安全技術(shù)的有效性已經(jīng)有所下降,。
顯然,,基于邊界的安全方法不能解決內(nèi)部攻擊的威脅,也不能解決非員工可能需要訪問內(nèi)部資源的問題,。也許最引人注目的是,,如果網(wǎng)絡(luò)犯罪分子通過諸如VPN憑據(jù)濫用之類的方法獲得訪問權(quán)限,,他們通常可以在內(nèi)網(wǎng)資源之間橫向移動而不受任何限制,。
新冠疫情極大地改變了現(xiàn)代企業(yè)的辦公場景,,并推動IT團隊重新設(shè)計其基礎(chǔ)架構(gòu)的訪問方式,以平衡安全性與生產(chǎn)力,。零信任和SASE解決方案應(yīng)當被一起采用,,因為它們能夠幫助企業(yè)將最小權(quán)限訪問方法與云安全保護體系結(jié)構(gòu)很好地結(jié)合在了一起。
02 后新冠時代的網(wǎng)絡(luò)安全策略
關(guān)于新冠疫苗有效性的爭議仍在持續(xù),,全球疫情控制前景依然難言樂觀,,對于企業(yè)來說,新冠的“并發(fā)癥”——勞動力的去中心化和數(shù)字化轉(zhuǎn)型,,已經(jīng)成為客觀現(xiàn)實和趨勢,。隨著遠程員工將更多應(yīng)用程序推送到云中,公司環(huán)境變得越來越分散,。企業(yè)正在尋求通過可實施零特權(quán)網(wǎng)絡(luò)訪問(ZTNA),、安全Web網(wǎng)關(guān)(SWG)和云訪問安全代理(CASB)等技術(shù)來實施最低特權(quán)訪問控制的策略,保護其不斷擴展的業(yè)務(wù)領(lǐng)域(下圖),。
但是,,一次性方式部署上述技術(shù)時,企業(yè)可能需要在不同的儀表板之間手動復(fù)制策略,,這不但需要時間和預(yù)算,,也限制了整個IT生態(tài)系統(tǒng)的一致可見性和控制力。隨著更多有價值的安全解決方案部署進來,,此問題變得更加復(fù)雜,。
零信任是一種思維方式,它專注于根據(jù)需要進行的身份驗證和數(shù)據(jù)訪問授權(quán),,而SASE指的是部署在邊緣的云交付平臺,,可為任何地方的數(shù)據(jù)提供廣泛的保護。因此,,對于由互補解決方案組成的集成平臺,遵循零信任框架對SASE產(chǎn)品來說也至關(guān)重要,。
03 通過簡化管理增強安全性
有時,,遵循零信任安全性原則可能會無意間增加部署的端點產(chǎn)品的數(shù)量,并在跨用例的保護中產(chǎn)生意料之外的差異,。SASE通過幫助組織維護和維持所有企業(yè)資源的通用安全控制來應(yīng)對這一挑戰(zhàn),,通過幫助安全團隊消除不同工具和解決方案的盲點,從而確保一致性,。SASE產(chǎn)品通常提供CASB,、SWG和ZTNA功能來實現(xiàn)此目的。
安全團隊可以配置策略,以保護SaaS應(yīng)用程序,,控制對Web目標的訪問,,識別影子IT,并通過單個儀表板從一個單獨的控制點保護本地應(yīng)用程序的安全,,以配置廣泛的策略,。這不僅提供了一致、全面的保護,,而且還簡化了管理,,從而為企業(yè)節(jié)省了時間和金錢。
大多數(shù)公司必將走上零信任道路,,而且不會有任何回頭路,。通過將SASE與零信任結(jié)合起來,企業(yè)可以通過一個統(tǒng)一的平臺,,建立并維護一種環(huán)境,,可靠地強制執(zhí)行安全應(yīng)用,為內(nèi)部資產(chǎn),、人員與外部用戶,、應(yīng)用之間的交互打開安全之門。