在新冠肺炎爆發(fā)期間,,VPN暴露出了作為遠程訪問安全方案的不足。零信任網絡訪問方案(簡稱“ZTNA”),因其秉持“持續(xù)驗證,,永不信任”的原則,,默認不信任網絡內外的任何人,、任何設備及系統(tǒng),,基于身份認證和授權,重新構建訪問控制的信任基礎等特點,,受到越來越多企業(yè)的青睞,。
雖然零信任網絡訪問(ZTNA)解決方案有很多優(yōu)點,但企業(yè)在采購零信任解決方案時,,仍要仔細考量在混合工作環(huán)境的適應性,、數據丟失保護(DLP)、高級威脅保護(ATP),、可見性等方面的性能,,避免各種陷阱,確保所選方案能夠滿足企業(yè)安全的實際需求,。以下是企業(yè)選型時,,需要重點關注的5個關鍵問題。
1. 能否適用混合工作環(huán)境(包括遠程辦公),?
企業(yè)在選擇合適的零信任解決方案時,,性能至關重要。新冠肺炎疫情爆發(fā)初期,,許多組織投入巨資擴展其VPN容量以適應遠程工作,,但現在由于許多工作場所已過渡到混合環(huán)境,基于本地設備的VPN將配置和擴展的負擔交給了消費組織,。為了規(guī)避風險,,企業(yè)用戶應該尋求一種ZTNA解決方案,允許運營所需的基礎設施由公共云中的解決方案提供商托管,。
尋找一個公共的,、云托管的ZTNA解決方案只是一個開始,,安全團隊還需要仔細審查解決方案,,以確保其響應能力和可靠性符合業(yè)務需求。為此,,消費組織應根據其典型用戶群(包括全球不同地點的用戶)對其進行評估,,并檢查是否存在潛在風險。優(yōu)秀的解決方案,,是不管用戶身在何處,,都能夠應對流量高峰,并擁有可認證的高可用性,。
2. 能否實時識別和防止不需要的暴露/泄漏,?
企業(yè)選擇ZTNA解決方案,,不僅僅要求其在事件發(fā)生后提醒他們。相反,,它必須提供實時執(zhí)行以避免數據丟失,。在向遠程工作環(huán)境轉移的過程中,由此導致非托管個人設備使用激增,,防止敏感信息泄露成為安全團隊面臨的眾多挑戰(zhàn)之一,。
這也是為什么企業(yè)在選擇ZTNA解決方案時,需要重點考慮該技術能否成功執(zhí)行DLP(數據丟失保護)策略,,以下載和上傳(如有必要)本地資產的關鍵所在,。為了能夠在整個企業(yè)組織IT基礎設施中實施零信任規(guī)則,安全團隊必須確保解決方案變得更加精細,,并且可以根據位置,、用戶類型和其他身份元素等進行恰當配置。
3. 能否實時幫助高級威脅防護,?
APT(高級威脅防護)是ZTNA解決方案的另一個重要組成部分,。惡意軟件很容易在員工不知情的情況下上傳到文檔中,它可以通過下載傳播到其他設備和用戶,。一旦發(fā)生這種情況,,如果沒有合適的技術,威脅行為者就可以在整個組織中橫向移動,。
這就是為什么在ZTNA解決方案時,,要重點考察其是否能夠實時阻止惡意軟件上傳、下載和傳播的原因,。如果在遠程辦公環(huán)境中,,不需要在遠程用戶設備上安裝安全軟件,ZTNA解決方案就能夠實時阻止惡意軟件的上傳和下載,,實現高級威脅防護,,對于用戶來說,無疑是個好消息,。
4. 是否有助于監(jiān)管合規(guī),?
企業(yè)組織應考察ZTNA解決方案是否提供實時可見性和控制,以幫助他們證明合規(guī)性,。選擇那些能夠實現簡單SIEM集成和可導出日志的解決方案,,有助于擴展對企業(yè)內部網絡其他部分的可見性。這些功能包括完整的日志,,用于觀察托管和非托管設備的所有文件,、用戶和應用程序活動(包括設備類型、IP地址、位置和訪問時間)等,。
5.能否融合到主流綜合平臺,?
對于ZTNA解決方案的戰(zhàn)略投資,需要確保所選技術是安全綜合平臺的一部分,,例如安全訪問服務邊緣(即SASE,,是Gartner在2019年首次描述的網絡安全概念,它整合了傳統(tǒng)上不同的網絡和云服務)平臺,。該平臺可以在一個統(tǒng)一的,、基于云的平臺中,使用各種安全技術來保護設備,、應用程序,、Web目標、本地資源和基礎設施之間的交互,。