?譯者 | 李睿

審校 | 孫淑娟

除了零信任之外，使用SASE等適當的工具可以幫助保護企業的IT基礎設施免受第三方訪問帶來的威脅。  

什么是SASE？  

安全訪問服務邊緣(SASE)是一種網絡安全架構，可以幫助企業將系統、端點和用戶從全球任何位置安全地連接到服務和應用程序。這是一項可以從云端訪問并集中管理的服務。  

SASE是一個框架，而不是一種特定的技術。它通過結合多種云原生安全技術來工作，其中包括：  

• 安全Web網關(SWG)  
• 云訪問安全代理(CASB)  
• 零信任網絡訪問（ZTNA）  
• 防火墻即服務（FWaaS）  
• 廣域網（WAN）  

但不要將SASE與安全服務邊緣(SSE)混淆，SSE是SASE的一個子集，主要關注的是SASE云平臺所需的安全服務。  

SASE解決了哪些問題？  

越來越多的企業開展遠程工作，并正在采用混合工作方法，希望將其員工順利轉換為全職或兼職遠程工作。如今，企業每天通常使用數十個SaaS應用程序，并且授予對管理和運營資源（例如文件共享系統）的遠程訪問權限。  

傳統的遠程訪問方法使用虛擬專用網絡通過加密通道將用戶連接通過隧道連接到單個位置。這使得集中應用和執行權限的策略成為可能。  

然而，這種方法會造成網絡瓶頸，影響用戶體驗。企業必須投資于能夠管理和檢查流量的技術，即使如此，虛擬網絡也不能提供精細的網絡訪問控制，允許用戶不受限制地訪問整個網絡。

其解決方案的一部分是引入安全Web網關(SWG)和防火墻即服務(FWaaS)提供商。這些基于云計算的服務在分布式當前點(PoP)部署檢查引擎，并與SaaS提供商合作，使用云訪問服務代理(CASB)保護他們的云環境。但這仍然不能解決連接到企業網絡的問題。除了基于云計算的資源之外，企業仍然擁有本地網絡，這一遠程訪問難題尚未解決。

SASE解決了這個缺失的部分。它的設計考慮了最終用戶，并采用了零信任方法。SASE允許用戶連接到任何資源，無論是在云平臺中還是在內部部署設施。它首先驗證他們的身份，并檢查用戶的設備是否具有最低限度的安全性。受信任的用戶只能連接到他們想要訪問的特定資源，而不能連接其他任何資源。這通常通過依賴微分段的零信任網絡訪問技術(ZTNA)來實現。  

與集中安全檢查的傳統網絡解決方案不同，SASE方法將這些檢查分布在不同的區域，以提高網絡資源的效率。這有助于降低將這些組件作為單獨的單點解決方案進行管理的復雜性。SASE提供了一組集中的基于云的工具，可提高可見性和控制力。這些工具可以在云平臺中完全編排，并在網絡邊緣立即實施策略。

通過零信任和SASE最大限度地降低第三方風險

第三方風險管理涉及解決源自企業外部可信來源的安全風險。這個定義很寬泛，但有一些值得注意的第三方風險來源：

• 第三方應用程序——所有企業都使用第三方開發的應用程序。企業通常信任這些應用程序，因為它們來自信譽良好的開發人員或受信任的軟件公司。但是，第三方軟件通常包含漏洞，如果開發人員的系統受到威脅，受信任的應用程序可能會成為惡意行為者的攻擊向量。  
• 受信任的外部用戶——許多企業允許外部合作伙伴或供應商訪問其受保護的系統和環境。但是，受損的第三方用戶帳戶可以作為網絡攻擊的平臺，允許惡意行為者獲得對內部網絡的授權訪問。  
• 開源代碼——大多數企業使用包含第三方軟件組件和依賴項的應用程序。開源庫和代碼通常包含允許網絡攻擊者利用應用程序的后門。如果企業缺乏對其開源依賴項的可見性，那么未知的漏洞可能會帶來攻擊機會。  

在每種情況下，企業都隱含地信任第三方以確保安全。如果網絡攻擊者利用這種信任，它可能會破壞企業的安全。企業對過時的安全策略的依賴可能會導致第三方風險的許多惡劣影響。  

例如，許多企業使用傳統的安全邊界模型來保護他們的網絡免受外部攻擊。這種方法涉及在網絡邊界部署安全機制，以在滲透受保護的網絡和系統之前識別和阻止威脅。  

基于邊界的安全模型假設安全威脅來自網絡外部，然而這并不總是正確的。通過只關注外部威脅，企業通常會忽略已經滲透到其網絡中的威脅。第三方應用程序和用戶通常會為保護外部接入點的安全解決方案帶來額外的安全挑戰和潛在盲點。  

管理第三方風險需要了解即使是受信任的系統或實體也可能對企業構成風險。簡而言之，企業不得完全信任任何人或任何事物。這一假設構成了零信任的基礎，這是一種將安全事件的可能性和潛在損害降至最低的安全方法。  

采用零信任安全策略相對簡單，盡管有時執行它可能更具挑戰性。實施零信任需要在整個企業的整個基礎設施中實施一致的訪問控制。  

企業應在網絡級別強制實施零信任，以確保東西向流量和南北向流量的安全。安全訪問服務邊緣(SASE)提供兩種功能：  

• 東西向流量——SASE建立了企業WAN，將完整的安全堆棧集成到每個接入點(PoP)。它支持SASE PoP進行東西流量檢查，并應用基于零信任模型的訪問控制。
• 南北向流量——SASE建立軟件定義邊界(SDP)或零信任網絡訪問(ZTNA)，對源自外部用戶的對內部資源或應用程序的所有請求實施基于零信任的訪問控制。它限制對企業應用程序的外部訪問，以防止利用隱藏的漏洞。  

結論  

第三方風險管理通常是一項復雜的工作。零信任安全實施是最小化第三方風險的一個關鍵方面。除了零信任之外，使用SASE等適當的工具可以幫助保護企業的IT基礎設施免受第三方訪問帶來的威脅。  

原文標題：??Is SASE the Solution for Third-Party Risk????，作者：Gilad David Maayan?