随着业务网络环境和安全态势变得更加复杂,许多企业正在转向零信任网络访问 (ZTNA) 以提高其安全性,同时还替代或补充了虚拟专用网等旧技术。但零信任商业价值对企业业务和网络安全的潜在影响,业界依然众说纷纭。
近日,Appgate首席技术官Kurt Glazemakers接受betanews采访时指出,ZTNA无论是对于业务还是安全都有着极高的价值。
问:随着越来越多的服务和系统迁移到云端,虚拟专用网在今天还有一席之地吗?
答:实际上,虚拟专用网可能仍然是最常用的技术,尤其是在新冠疫情爆发之后,我认为这是当时极为有效的手段,用户已经习惯了,然后决定尝试延长其使用周期。
虚拟专用网通常会成为网络的入口点,这是它的最大风险,也是企业开始转向ZTNA的原因之一。而在ZTNA中,连接性和身份验证是一致的,不仅用于网络访问,还用于访问应用程序。
问:ZTNA是否与虚拟专用网直接竞争?对企业来说实施ZTNA的价值有哪些?
答:是的,越来越多的虚拟专用网正在被ZTNA替换,因为企业需要采取更精细的方法,来保证在内部网络延伸到端点设备的整个系统内,只访问必要的应用程序。ZTNA实现了这一需求,它将企业外部的网络访问管控细粒度化的到每个个体,使得安全性能大幅提升;此外,ZTNA还降低了互连成本并降低了复杂性,可以节省大量成本,因为所有需要在企业网络或安全解决方案中互连的系统可以统一与云和企业数据中心建立互联网连接,因此企业可以节省大量“内部连接”开支成本,例如:减少防火墙、安全堆栈、MPLS连接以及站点到站点虚拟专用网 ,同时企业还可以大量节省创建和管理规则集所花费的时间。
虚拟专用网向ZTNA的大迁徙,主要发生在用户访问公司网络的部分,因此对于用户端来说,虚拟专用网的替代过程会更快,但用于安全连接网络各部分的站点间虚拟专用网还将继续存在相当长一段时间。
问:在过去一年半的时间里,远程办公大潮对零信任市场有多大影响?
答:疫情暴露了虚拟专用网的先天局限性,它不是为大量的远程流量而设计的,而且它是由设备驱动的,因此在拓展上会有延迟,但规模会受到限制。以Zoom调用为例,如果用户想要捕获所有的虚拟专用网网络流量,还需要考量带宽,但ZTNA没有这些问题,用户只需管理一个访问配置文件,在办公室还是在其他地方工作没有区别。
问:我们越来越多地看到企业网络和云中的安全漏洞被归结为配置错误。ZTNA 如何帮助解决这些问题?
答:配置ZTNA,归根结底是想让网络访问更智能。在传统方案中,用户需要安装和修补所有公司设备策略,例如例如适当的端点保护等。ZTNA的不同之处在于,用户可自行制定描述性的策略,例如用户可下达:“将位于不同位置或云中的所有标记为工程的资产给我”的指令策略,然后ZTNA解决方案就会找到这些资产并建立对所有这些的个人网络访问。
如果用户在云上或内部为工程部门启动了新资产,这些新资产也将自动成为网络中的一部分,这有助于处理更复杂的结构。应用程序会自动启动并为用户定义,他们可以自动选择正确的控件,与虚拟专用网相比,这绝对是向前迈出的一大步。
问:当员工离职或调岗时,ZTNA会让安全流程会变得更容易吗?
答:如果员工的工作角色发生变化,其网络访问(权限)也会发生变化,因为因为零信任策略会自动适应,这减少了人为错误的范围,这有助于减少攻击面,尤其是对于有时会在很短的时间内临时启动的应用程序或容器。消除人为因素是敏捷和安全齐头并进的关键所在。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】