零信任网络访问 (ZTNA) 和安全访问服务边缘 ( SASE ) 已经存在了很长时间,足以证明它们不仅仅是一种昙花一现的趋势。在过去五年中,这两者都证明了自己的价值,并且仍然像最初炒作时一样具有相关性和受欢迎程度。
虽然这些框架通常都很容易理解,但关于如何比较它们以及哪个更优越的反复争论表明,人们对它们各自的作用和相互关系存在更深的误解。这种比较本身是有缺陷的。现在是时候改变视角,将 ZTNA 和 SASE 视为互补而非竞争模型,从而更广泛地了解 ZTNA - UZTNA。
ZTNA 与 SASE 之间的区别
ZTNA 是一种安全框架,挑战了传统的基于边界的网络安全方法。ZTNA 不会信任安全网络边界内的所有内容,而是假设所有用户和设备都是潜在威胁。它仅在严格验证身份和设备健康状况后才授予对特定资源的访问权限。它专注于精细的访问控制和持续身份验证。
另一方面,SASE 是一种融合网络和安全架构。将SD-WAN等网络功能与 ZTNA、下一代防火墙 (NGFW)、云访问安全代理 (CASB) 和数据丢失防护 (DLP) 等安全服务整合在一个基于云的平台中。与 ZTNA 一样,SASE 也摒弃传统的网络和安全边界。无论用户身在何处,都能提供对应用程序和数据的安全、一致访问。
SASE 整合的网络和安全方法为 IT 领导者带来两大好处。由于所有SASE引擎都丰富了同一个数据湖,管理员和安全解决方案可以更清楚地了解网络上发生的事情,并能够将所有网络数据与安全事件关联起来。允许 SASE提供高质量、情境化的数据,以实现更全面的威胁预防和检测。此外,最纯粹的 SASE应该通过单一平台进行管理,所有功能的外观和感觉都相同,从而简化网络和安全操作。
本质上,ZTNA 以访问控制为中心,而 SASE 则涵盖更广泛的网络和安全功能。虽然 ZTNA可以独立部署,但也是SASE架构不可或缺的组成部分。
SASE 如何填补 ZTNA 的空白
简而言之,零信任网络访问 (ZTNA) 完全专注于以最小的风险为远程用户提供对正确资源的访问。但是,本身并不能解决混合工作模式,即员工可能在组织内部访问公司资源。通用零信任网络访问 (UZTNA) 扩展了零信任网络访问 (ZTNA) 的原则,为办公室内外的用户启用一套零信任网络访问 (ZTNA) 策略。虽然保证了统一的访问管理方法,但零信任网络访问 (ZTNA) 的最新发展在防止授权实体(例如恶意内部人员、疏忽员工、恶意软件设备或受感染的 SaaS 应用程序)带来的威胁方面存在不足。可以防止横向移动并在发生违规时限制损害,但无法保护受感染的资产。
SASE包括UZTNA,但也解决了实体获得访问权限后保护网络和资源的问题。例如,如果有权访问敏感个人身份信息和受保护健康信息 (PHI) 的授权员工或应用程序将其泄露到恶意服务器,UZTNA 将失败。但是,SASE中的NGFW、CASB和DLP等工具可以识别传出流量中的敏感和机密信息,并应用必要的策略来阻止违规行为。
为了使ZTNA实施动态访问控制,必须根据不断变化的环境和情况不断评估访问权限。SASE 凭借对网络和安全功能的整体概述,为ZTNA提供实时环境感知、丰富的网络洞察以及实施持续身份验证所需的最新威胁情报。这使得 ZTNA 能够在授权实体表现出异常行为时立即撤销访问权限。
除了安全性之外,SASE 还通过其全球网络主干网进一步优化流量路由、提高应用程序性能、实现故障转移并确保高可用性。借助 SASE、ZTNA 的严格控制不会以牺牲网络和应用程序性能为代价。
探索ZTNA/UZTNA与SASE的协同作用
了解SASE和ZTNA的滞后性以及它们如何相互补充非常重要。这可以帮助组织对其网络和安全策略做出明智的决策。通用ZTNA和 SASE对于强大的安全态势都至关重要,但它们结合起来效果会更好。例如,UZTNA可以将敏感客户数据的访问权限限制为仅限合适的个人,而SASE可以保护这些个人免受恶意软件和其他类型攻击的侵害。对于希望应对安全访问挑战的组织来说,独立的 ZTNA 和 UZTNA 可以无缝融入现有的 IT 基础架构中。另一方面,SASE 提供了一种解决安全访问问题的方法,可以减少设备蔓延、最大限度地减少功能膨胀并降低运营成本和复杂性。无论如何,ZTNA 框架和 SASE 最好被视为互补的盟友,而不是竞争资产。
