在新冠肺炎爆发期间,虚拟专用网暴露出了作为远程访问安全方案的不足。零信任网络访问方案(简称“ZTNA”),因其秉持“持续验证,永不信任”的原则,默认不信任网络内外的任何人、任何设备及系统,基于身份认证和授权,重新构建访问控制的信任基础等特点,受到越来越多企业的青睐。
虽然零信任网络访问(ZTNA)解决方案有很多优点,但企业在采购零信任解决方案时,仍要仔细考量在混合工作环境的适应性、数据丢失保护(DLP)、高级威胁保护(ATP)、可见性等方面的性能,避免各种陷阱,确保所选方案能够满足企业安全的实际需求。以下是企业选型时,需要重点关注的5个关键问题。
1. 能否适用混合工作环境(包括远程办公)?
企业在选择合适的零信任解决方案时,性能至关重要。新冠肺炎疫情爆发初期,许多组织投入巨资扩展其虚拟专用网容量以适应远程工作,但现在由于许多工作场所已过渡到混合环境,基于本地设备的虚拟专用额将配置和扩展的负担交给了消费组织。为了规避风险,企业用户应该寻求一种ZTNA解决方案,允许运营所需的基础设施由公共云中的解决方案提供商托管。
寻找一个公共的、云托管的ZTNA解决方案只是一个开始,安全团队还需要仔细审查解决方案,以确保其响应能力和可靠性符合业务需求。为此,消费组织应根据其典型用户群(包括全球不同地点的用户)对其进行评估,并检查是否存在潜在风险。优秀的解决方案,是不管用户身在何处,都能够应对流量高峰,并拥有可认证的高可用性。
2. 能否实时识别和防止不需要的暴露/泄漏?
企业选择ZTNA解决方案,不仅仅要求其在事件发生后提醒他们。相反,它必须提供实时执行以避免数据丢失。在向远程工作环境转移的过程中,由此导致非托管个人设备使用激增,防止敏感信息泄露成为安全团队面临的众多挑战之一。
这也是为什么企业在选择ZTNA解决方案时,需要重点考虑该技术能否成功执行DLP(数据丢失保护)策略,以下载和上传(如有必要)本地资产的关键所在。为了能够在整个企业组织IT基础设施中实施零信任规则,安全团队必须确保解决方案变得更加精细,并且可以根据位置、用户类型和其他身份元素等进行恰当配置。
3. 能否实时帮助高级威胁防护?
APT(高级威胁防护)是ZTNA解决方案的另一个重要组成部分。恶意软件很容易在员工不知情的情况下上传到文档中,它可以通过下载传播到其他设备和用户。一旦发生这种情况,如果没有合适的技术,威胁行为者就可以在整个组织中横向移动。
这就是为什么在ZTNA解决方案时,要重点考察其是否能够实时阻止恶意软件上传、下载和传播的原因。如果在远程办公环境中,不需要在远程用户设备上安装安全软件,ZTNA解决方案就能够实时阻止恶意软件的上传和下载,实现高级威胁防护,对于用户来说,无疑是个好消息。
4. 是否有助于监管合规?
企业组织应考察ZTNA解决方案是否提供实时可见性和控制,以帮助他们证明合规性。选择那些能够实现简单SIEM集成和可导出日志的解决方案,有助于扩展对企业内部网络其他部分的可见性。这些功能包括完整的日志,用于观察托管和非托管设备的所有文件、用户和应用程序活动(包括设备类型、IP地址、位置和访问时间)等。
5. 能否融合到主流综合平台?
对于ZTNA解决方案的战略投资,需要确保所选技术是安全综合平台的一部分,例如安全访问服务边缘(即SASE,是Gartner在2019年首次描述的网络安全概念,它整合了传统上不同的网络和云服务)平台。该平台可以在一个统一的、基于云的平台中,使用各种安全技术来保护设备、应用程序、Web目标、本地资源和基础设施之间的交互。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】