SASE与零信任一个都不能少
星期二, 四月 13, 2021
零信任和SASE这两种安全模型到底是什么关系?在后新冠时代,面临企业数字化转型中不断增长的网络威胁攻击面,企业应当选择哪种安全模型/安全建设策略?
随着IT环境的去中心化发展,企业面临的零信任相关安全问题越来越多,而零信任框架与安全访问服务边缘(SASE)之间的关系也越来越紧密。许多安全团队希望更好地了解零信任安全和SASE,以及二者之间的关系是互斥还是兼容?
简短的答案是:二者高度互补。实际上,几乎任何情况下,当安全团队同时部署SASE和零信任方案时,二者会相辅相成,事半功倍。
01、后新冠时代的数字化安全转型
回顾IT历史,多年来企业一直依靠VPN为远程员工提供进入内网的安全“隧道”。VPN技术基于传统的、界限明晰的网络边界概念。那些被认为值得信赖的用户可以在内网自由移动,而外部的所有内容均被拒绝访问。
虽然在云计算时代,企业的安全边界已经消融,但VPN却展现了极强的生命力,依然是企业最为信赖的网络安全产品之一。根据NetMotion 2021年的调查报告,云计算时代最流行的云安全产品是VPN和SWG(下图)。
企业已经采用的云安全方案占比
但云VPN的繁荣也许只是回光返照,甚至在新冠疫情导致大规模远程办公之前,由于存在许多严重缺陷,VPN这种基于网络边界安全模型的安全技术的有效性已经有所下降。
显然,基于边界的安全方法不能解决内部攻击的威胁,也不能解决非员工可能需要访问内部资源的问题。也许最引人注目的是,如果网络犯罪分子通过诸如VPN凭据滥用之类的方法获得访问权限,他们通常可以在内网资源之间横向移动而不受任何限制。
新冠疫情极大地改变了现代企业的办公场景,并推动IT团队重新设计其基础架构的访问方式,以平衡安全性与生产力。零信任和SASE解决方案应当被一起采用,因为它们能够帮助企业将最小权限访问方法与云安全保护体系结构很好地结合在了一起。
02、后新冠时代的网络安全策略
关于新冠疫苗有效性的争议仍在持续,全球疫情控制前景依然难言乐观,对于企业来说,新冠的“并发症”——劳动力的去中心化和数字化转型,已经成为客观现实和趋势。随着远程员工将更多应用程序推送到云中,公司环境变得越来越分散。企业正在寻求通过可实施零特权网络访问(ZTNA)、安全Web网关(SWG)和云访问安全代理(CASB)等技术来实施最低特权访问控制的策略,保护其不断扩展的业务领域(下图)。
但是,以一次性方式部署上述技术时,企业可能需要在不同的仪表板之间手动复制策略,这不但需要时间和预算,也限制了整个IT生态系统的一致可见性和控制力。随着更多有价值的安全解决方案部署进来,此问题变得更加复杂。
零信任是一种思维方式,它专注于根据需要进行的身份验证和数据访问授权,而SASE指的是部署在边缘的云交付平台,可为任何地方的数据提供广泛的保护。因此,对于由互补解决方案组成的集成平台,遵循零信任框架对SASE产品来说也至关重要。
通过简化管理增强安全性
有时,遵循零信任安全性原则可能会无意间增加部署的端点产品的数量,并在跨用例的保护中产生意料之外的差异。SASE通过帮助组织维护和维持所有企业资源的通用安全控制来应对这一挑战,通过帮助安全团队消除不同工具和解决方案的盲点,从而确保一致性。SASE产品通常提供CASB,SWG和ZTNA功能来实现此目的。
安全团队可以配置策略,以保护SaaS应用程序,控制对Web目标的访问,识别影子IT,并通过单个仪表板从一个单独的控制点保护本地应用程序的安全,以配置广泛的策略。这不仅提供了一致,全面的保护,而且还简化了管理,从而为企业节省了时间和金钱。
大多数公司必将走上零信任道路,而且不会有任何回头路。通过将SASE与零信任度结合起来,企业可以通过一个统一的平台,建立并维护一种环境,可靠地强制执行安全应用,为内部资产、人员与外部用户、应用之间的交互打开安全之门。