SASE與零信任一個都不能少
零信任和SASE這兩種安全模型到底是什么關系?在后新冠時代,面臨企業數字化轉型中不斷增長的網絡威脅攻擊面,企業應當選擇哪種安全模型/安全建設策略?
隨著IT環境的去中心化發展,企業面臨的零信任相關安全問題越來越多,而零信任框架與安全訪問服務邊緣(SASE)之間的關系也越來越緊密。許多安全團隊希望更好地了解零信任安全和SASE,以及二者之間的關系是互斥還是兼容?
簡短的答案是:二者高度互補。實際上,幾乎任何情況下,當安全團隊同時部署SASE和零信任方案時,二者會相輔相成,事半功倍。
1. 后新冠時代的數字化安全轉型
回顧IT歷史,多年來企業一直依靠虛擬專用網為遠程員工提供進入內網的安全“隧道”。虛擬專用網技術基于傳統的、界限明晰的網絡邊界概念。那些被認為值得信賴的用戶可以在內網自由移動,而外部的所有內容均被拒絕訪問。
雖然在云計算時代,企業的安全邊界已經消融,但虛擬專用網卻展現了極強的生命力,依然是企業最為信賴的網絡安全產品之一。根據NetMotion 2021年的調查報告,云計算時代最流行的云安全產品是虛擬專用網和SWG(下圖)。
企業已經采用的云安全方案占比
但云虛擬專用網的繁榮也許只是回光返照,甚至在新冠疫情導致大規模遠程辦公之前,由于存在許多嚴重缺陷,虛擬專用網這種基于網絡邊界安全模型的安全技術的有效性已經有所下降。
顯然,基于邊界的安全方法不能解決內部攻擊的威脅,也不能解決非員工可能需要訪問內部資源的問題。也許最引人注目的是,如果網絡犯罪分子通過諸如虛擬專用網憑據濫用之類的方法獲得訪問權限,他們通常可以在內網資源之間橫向移動而不受任何限制。
新冠疫情極大地改變了現代企業的辦公場景,并推動IT團隊重新設計其基礎架構的訪問方式,以平衡安全性與生產力。零信任和SASE解決方案應當被一起采用,因為它們能夠幫助企業將最小權限訪問方法與云安全保護體系結構很好地結合在了一起。
2. 后新冠時代的網絡安全策略
關于新冠疫苗有效性的爭議仍在持續,全球疫情控制前景依然難言樂觀,對于企業來說,新冠的“并發癥”——勞動力的去中心化和數字化轉型,已經成為客觀現實和趨勢。隨著遠程員工將更多應用程序推送到云中,公司環境變得越來越分散。企業正在尋求通過可實施零特權網絡訪問(ZTNA)、安全Web網關(SWG)和云訪問安全代理(CASB)等技術來實施最低特權訪問控制的策略,保護其不斷擴展的業務領域(下圖)。
但是,一次性方式部署上述技術時,企業可能需要在不同的儀表板之間手動復制策略,這不但需要時間和預算,也限制了整個IT生態系統的一致可見性和控制力。隨著更多有價值的安全解決方案部署進來,此問題變得更加復雜。
零信任是一種思維方式,它專注于根據需要進行的身份驗證和數據訪問授權,而SASE指的是部署在邊緣的云交付平臺,可為任何地方的數據提供廣泛的保護。因此,對于由互補解決方案組成的集成平臺,遵循零信任框架對SASE產品來說也至關重要。
3. 通過簡化管理增強安全性
有時,遵循零信任安全性原則可能會無意間增加部署的端點產品的數量,并在跨用例的保護中產生意料之外的差異。SASE通過幫助組織維護和維持所有企業資源的通用安全控制來應對這一挑戰,通過幫助安全團隊消除不同工具和解決方案的盲點,從而確保一致性。SASE產品通常提供CASB、SWG和ZTNA功能來實現此目的。
安全團隊可以配置策略,以保護SaaS應用程序,控制對Web目標的訪問,識別影子IT,并通過單個儀表板從一個單獨的控制點保護本地應用程序的安全,以配置廣泛的策略。這不僅提供了一致、全面的保護,而且還簡化了管理,從而為企業節省了時間和金錢。
大多數公司必將走上零信任道路,而且不會有任何回頭路。通過將SASE與零信任結合起來,企業可以通過一個統一的平臺,建立并維護一種環境,可靠地強制執行安全應用,為內部資產、人員與外部用戶、應用之間的交互打開安全之門。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
