网络安全架构的最佳实践如今正在经历巨大的转变。业界人士不再将边界保护作为网络架构的主要焦点,而这一趋势似乎已经开始了。因为零信任网络访问和安全访问服务边缘这两个流行术语已经进入到网络安全专业人员的意识中。
简而言之,传统网络安全方法如今已无法解决目前面临的安全问题。而虚拟化、云计算和远程工作并不一定能防御内部面临的风险。
零信任网络访问(ZTNA)和安全访问服务边缘就是这样的安全方法,它们在组织寻求更好地保护其日益分散的远程员工免受攻击时变得越来越流行。
以下了解每种架构方法,以及它们如何协同工作以增强组织的网络安全状况。
什么是零信任网络访问?
零信任是这两种安全方法比较成熟的一种。它由Forrester Research公司于2010年首先提出,将长期的最低特权(POLP)安全原理应用于网络访问。这样做的方式与以往架构中对信任的假设不同。
具体来说,零信任网络访问的核心工作原理是,任何用户或设备都不应被授予只基于网络上的位置来访问资源的权限。基于IP地址或其他基于网络的标准授予应用程序访问权限的时代一去不复返了。
取而代之的是,在当今的运营环境中,用户和敏感数据都可能位于任何地方:在企业办公室、在家中、在云中或在路上。零信任模型以强大的身份验证和授权技术取代了以网络为中心的访问控制方法,该技术使管理员能够应用精细的访问控制。这些控件允许用户根据他们在组织中的特定角色来访问特定的应用程序,还有助于保护网络免受来自网络外部的传入风险以及网络内部的风险(例如内部威胁)的侵害,无论是恶意的还是疏忽的。
零信任网络安全方法可以简化网络要求,而且具有灵活性。零信任网络访问使用户(无论其网络位置如何)都能够访问服务(无论其网络位置如何),同时严格执行最小特权原则。
什么是安全访问服务边缘(SASE)?
安全访问服务边缘是一种基于零信任网络访问模型的网络和网络安全更新方法,旨在提供一个完全集成的网络。Gartner公司在2019年推出的这种云计算架构模型将多个云计算网络和云安全功能结合在一起,并将它们作为单个云计算服务提供。
安全访问服务边缘结合了软件定义WAN和其他网络服务和功能,其中包括:
- 零信任网络访问
- 云访问安全代理
- 防火墙即服务
- 安全的网络网关
- SaaS
安全访问服务边缘的目标是融合这些服务和技术,以构建基于云计算的感知和安全网络。
安全访问服务边缘模型特别适合那些大量使用云服务或正在迁移到云平台的组织。这其中包括分布式组织,例如具有分支机构位置和分散最终用户的组织,以及具有物联网和边缘部署的组织。
不是ZTNA vs.SASE,而是ZTNA和SASE并重
将安全访问服务边缘视为比零信任网络访问(ZTNA)更高级的设计理念。它们不是孤立的或竞争的网络安全模型;与其相反,零信任网络访问是安全访问服务边缘架构的一部分。
但是需要注意的是,尽管零信任实施可能是网络架构师的中短期目标,但安全访问服务边缘却是长期目标。很多组织可以决定购买安全访问服务边缘服务,然后逐步将其网络和网络安全堆栈朝安全访问服务边缘模型发展。随着设计人员开始更换过时的安全技术并更好地集成其他的安全技术,这将需要一些时间。需要注意的是,转移到安全访问服务边缘模型需要并启用确保网络安全的零信任方法。
当今网络安全专业人员的目标是,零信任和安全访问服务边缘都是密切关注并融入前瞻性架构决策的趋势。组织应计划在短期内采用零信任原则,以更好地保护远程员工访问基于云计算的服务和内部部署服务。与此同时,他们应该从创建支持安全访问服务边缘的环境的角度来查看新的网络项目。