网络安全体系结构的最佳做法正在发生巨大变化。人们期待已久的从边界保护这一网络体系结构的主要焦点最终似乎正在进行,因为两个新的流行词已转移到网络安全专业人员的意识中:零信任网络访问和安全访问服务边缘。
简而言之,使用吊桥和护城河来保护城堡的旧网络安全方法如今已不再适用。虚拟化,云计算和远程工作者已经改变了护城河的位置,护城河并不一定能防御城堡内部的风险。
零信任网络访问(也称为ZTNA)和安全访问服务边缘(也称为SASE)是两种方法,它们在组织寻求更好地保护其日益分散的远程员工免受攻击时变得越来越流行。
让我们看一下每种架构方法,以及它们如何协同工作以增强组织的网络安全状况。
什么是零信任网络访问?
零信任是这两种哲学中较成熟的一种。它由Forrester Research于2010年创立,将长期的最低特权(POLP)安全原理应用于网络访问。这样做的方式不会对过去的体系结构中使用的信任做出相同的假设。
具体来说,ZTNA的核心操作原理是,不应仅基于网络上的位置授予任何用户或设备访问资源的权限。基于IP地址或其他基于网络的标准来授予应用程序访问权限的日子已经一去不复返了。
取而代之的是,ZTNA意识到,在当今的操作环境中,用户和敏感数据都可能位于任何地方:在公司办公室,在家中,在云中或在路上。零信任模型以强大的身份验证和授权技术取代了以网络为中心的访问控制方法,该技术使管理员能够应用精细的访问控制。这些控件允许用户根据他们在组织中的特定角色来访问特定的应用程序。这些控件还有助于保护网络免受来自网络外部的传入风险以及网络内部的风险(例如内部威胁)的侵害,无论它们是恶意的还是过失的。
零信任网络安全方法不仅可以简化网络要求,而且还可以轻松适应当今技术环境的灵活性。ZTNA使用户(无论其网络位置如何)都能够访问服务(无论其网络位置如何),同时严格执行最小特权原则。
什么是安全访问服务边缘?
SASE是一种基于ZTNA模型的网络和网络安全更新方法,旨在提供一个完全集成的网络。Gartner在2019年推出的这种云架构模型将多个云网络和云安全功能结合在一起,将它们作为单个云服务提供。
SASE结合了软件定义的WAN和其他网络服务和功能,其中包括:
零配件
云访问安全代理
防火墙即服务
安全的Web网关
SaaS
SASE的目标是融合这些服务和技术,以构建基于云的感知和基于云的安全网络。
SASE模型特别适合那些大量使用云和云服务或正在通往云的组织。这包括分布式组织-例如,具有分支机构位置和分散最终用户的组织,以及具有IoT和边缘部署的企业。
不是ZTNA与SASE,而是ZTNA和SASE
将SASE视为比ZTNA更高级的设计理念。它们不是独立的或竞争的网络安全模型;相反,ZTNA是整个SASE体系结构的一部分。
但是请注意,尽管零信任实施可能是网络架构师的中短期目标,但SASE却是长期目标。组织今天可以决定购买SASE方法,然后逐步将其网络和网络安全堆栈朝SASE模型发展。随着设计人员开始更换过时的安全技术并更好地集成剩余的安全技术,这将需要时间。请注意,转移到SASE模型既需要并启用对网络安全的零信任方法。
当今网络安全专业人员的底线是,零信任和SASE都是密切关注并融入前瞻性架构决策的趋势。组织应计划在短期内采用零信任原则,以更好地保护远程员工访问基于云的服务和本地服务。同时,他们应该通过创建一个支持SASE的环境来查看所有新的网络项目。
