网络安全框架正在经历显著的变革。人们期待已久的网络安全焦点——边界保护,似乎正在逐渐转向两个新兴的概念:零信任网络访问(ZTNA)和安全访问服务边缘(SASE)。
传统的网络安全策略,类似于用吊桥和护城河来保护城堡的方式,已不再适用。虚拟化、云计算以及远程工作的兴起,改变了风险的分布,使得护城河无法有效防御内部威胁。
零信任网络访问(ZTNA)和安全访问服务边缘(SASE)正是为了解决这一问题而发展起来的两种方法,尤其是在组织希望更好地保护其分散的远程员工免受攻击时,这两者的受欢迎程度显著提升。
接下来,我们将探讨这两种架构以及它们如何协同作用以提升组织的网络安全。
零信任网络访问是什么?
零信任是这两种理念中相对成熟的一种。它由FoRResteR ReSeaRch于2010年提出,强调在网络访问中应用最低特权(POLP)的安全原则,避免基于过去网络架构中的信任假设。
具体而言,ZTNA的核心原则是,不应仅仅依赖用户或设备在网络上的位置来授予资源访问权限。基于IP地址等网络标准的访问控制方式已经过时。
ZTNA认识到,在现代操作环境中,用户和敏感数据可以位于任何地方,包括公司办公室、家庭、云端或移动中。零信任模型通过强有力的身份验证和授权技术,取代了传统的网络中心访问控制方法,使管理员能够实施精细化的访问控制。这些控制措施允许用户根据其在组织中的具体角色访问特定应用程序,同时有效抵御来自外部和内部的风险,无论是恶意行为还是无意错误。
零信任网络安全不仅能够简化网络要求,还能灵活适应现代技术环境。ZTNA使用户能够无论身处何地都能访问服务,同时严格遵循最小特权原则。
安全访问服务边缘是什么?
SASE是基于ZTNA模型的网络和安全更新方法,旨在提供一个全面集成的网络解决方案。这一云架构模型于2019年由GaRtneR提出,将多个云网络和安全功能整合为单一云服务。
SASE结合了软件定义的WAN及其他网络服务,具体包括:
零配件
云访问安全代理
防火墙即服务
安全的Web网关
SaaS
SASE旨在将这些服务和技术融合,构建一个基于云的智能和安全网络。
SASE模型特别适合那些大量使用云服务或正在迈向云端的组织,尤其是那些拥有多个分支机构或分散终端用户的企业,以及涉及物联网和边缘计算的公司。
ZTNA与SASE的关系
可以将SASE视为比ZTNA更高级的设计理念。它们并非独立或相互竞争的网络安全模型;相反,ZTNA是SASE体系结构的重要组成部分。
需要注意的是,尽管零信任的实施可能是网络架构师的短期目标,但SASE则是更长远的愿景。组织可以选择采用SASE方法,并逐步将其网络和安全架构向SASE模型转型。这一过程可能需要时间,因为设计师需要逐步替换过时的安全技术,并更好地整合现有的安全措施。值得一提的是,转向SASE模型需要并促进网络安全的零信任方法。
如今,网络安全专业人士需要认识到,零信任和SASE都是应在前瞻性架构决策中予以关注的重要趋势。组织应在短期内实施零信任原则,以更好地保护远程员工对基于云服务和本地服务的访问,同时也应为所有新的网络项目创造一个支持SASE的环境。
