重新定義 ZTNA 與 SASE 之爭
零信任網(wǎng)絡訪問 (ZTNA) 和安全訪問服務邊緣 ( SASE ) 已經(jīng)存在了很長時間,足以證明它們不僅僅是一種曇花一現(xiàn)的趨勢。在過去五年中,這兩者都證明了自己的價值,并且仍然像最初炒作時一樣具有相關性和受歡迎程度。
雖然這些框架通常都很容易理解,但關于如何比較它們以及哪個更優(yōu)越的反復爭論表明,人們對它們各自的作用和相互關系存在更深的誤解。這種比較本身是有缺陷的。現(xiàn)在是時候改變視角,將 ZTNA 和 SASE 視為互補而非競爭模型,從而更廣泛地了解 ZTNA - UZTNA。
ZTNA 與 SASE 之間的區(qū)別
ZTNA 是一種安全框架,挑戰(zhàn)了傳統(tǒng)的基于邊界的網(wǎng)絡安全方法。ZTNA 不會信任安全網(wǎng)絡邊界內(nèi)的所有內(nèi)容,而是假設所有用戶和設備都是潛在威脅。它僅在嚴格驗證身份和設備健康狀況后才授予對特定資源的訪問權限。它專注于精細的訪問控制和持續(xù)身份驗證。
另一方面,SASE 是一種融合網(wǎng)絡和安全架構。將SD-WAN等網(wǎng)絡功能與 ZTNA、下一代防火墻 (NGFW)、云訪問安全代理 (CASB) 和數(shù)據(jù)丟失防護 (DLP) 等安全服務整合在一個基于云的平臺中。與 ZTNA 一樣,SASE 也摒棄傳統(tǒng)的網(wǎng)絡和安全邊界。無論用戶身在何處,都能提供對應用程序和數(shù)據(jù)的安全、一致訪問。
SASE 整合的網(wǎng)絡和安全方法為 IT 領導者帶來兩大好處。由于所有SASE引擎都豐富了同一個數(shù)據(jù)湖,管理員和安全解決方案可以更清楚地了解網(wǎng)絡上發(fā)生的事情,并能夠?qū)⑺芯W(wǎng)絡數(shù)據(jù)與安全事件關聯(lián)起來。允許 SASE提供高質(zhì)量、情境化的數(shù)據(jù),以實現(xiàn)更全面的威脅預防和檢測。此外,最純粹的 SASE應該通過單一平臺進行管理,所有功能的外觀和感覺都相同,從而簡化網(wǎng)絡和安全操作。
本質(zhì)上,ZTNA 以訪問控制為中心,而 SASE 則涵蓋更廣泛的網(wǎng)絡和安全功能。雖然 ZTNA可以獨立部署,但也是SASE架構不可或缺的組成部分。
SASE 如何填補 ZTNA 的空白
簡而言之,零信任網(wǎng)絡訪問 (ZTNA) 完全專注于以最小的風險為遠程用戶提供對正確資源的訪問。但是,本身并不能解決混合工作模式,即員工可能在組織內(nèi)部訪問公司資源。通用零信任網(wǎng)絡訪問 (UZTNA) 擴展了零信任網(wǎng)絡訪問 (ZTNA) 的原則,為辦公室內(nèi)外的用戶啟用一套零信任網(wǎng)絡訪問 (ZTNA) 策略。雖然保證了統(tǒng)一的訪問管理方法,但零信任網(wǎng)絡訪問 (ZTNA) 的最新發(fā)展在防止授權實體(例如惡意內(nèi)部人員、疏忽員工、惡意軟件設備或受感染的 SaaS 應用程序)帶來的威脅方面存在不足。可以防止橫向移動并在發(fā)生違規(guī)時限制損害,但無法保護受感染的資產(chǎn)。
SASE包括UZTNA,但也解決了實體獲得訪問權限后保護網(wǎng)絡和資源的問題。例如,如果有權訪問敏感個人身份信息和受保護健康信息 (PHI) 的授權員工或應用程序?qū)⑵湫孤兜綈阂夥掌鳎琔ZTNA 將失敗。但是,SASE中的NGFW、CASB和DLP等工具可以識別傳出流量中的敏感和機密信息,并應用必要的策略來阻止違規(guī)行為。
為了使ZTNA實施動態(tài)訪問控制,必須根據(jù)不斷變化的環(huán)境和情況不斷評估訪問權限。SASE 憑借對網(wǎng)絡和安全功能的整體概述,為ZTNA提供實時環(huán)境感知、豐富的網(wǎng)絡洞察以及實施持續(xù)身份驗證所需的最新威脅情報。這使得 ZTNA 能夠在授權實體表現(xiàn)出異常行為時立即撤銷訪問權限。
除了安全性之外,SASE 還通過其全球網(wǎng)絡主干網(wǎng)進一步優(yōu)化流量路由、提高應用程序性能、實現(xiàn)故障轉(zhuǎn)移并確保高可用性。借助 SASE、ZTNA 的嚴格控制不會以犧牲網(wǎng)絡和應用程序性能為代價。
探索ZTNA/UZTNA與SASE的協(xié)同作用
了解SASE和ZTNA的滯后性以及它們?nèi)绾蜗嗷パa充非常重要。這可以幫助組織對其網(wǎng)絡和安全策略做出明智的決策。通用ZTNA和 SASE對于強大的安全態(tài)勢都至關重要,但它們結(jié)合起來效果會更好。例如,UZTNA可以將敏感客戶數(shù)據(jù)的訪問權限限制為僅限合適的個人,而SASE可以保護這些個人免受惡意軟件和其他類型攻擊的侵害。對于希望應對安全訪問挑戰(zhàn)的組織來說,獨立的 ZTNA 和 UZTNA 可以無縫融入現(xiàn)有的 IT 基礎架構中。另一方面,SASE 提供了一種解決安全訪問問題的方法,可以減少設備蔓延、最大限度地減少功能膨脹并降低運營成本和復雜性。無論如何,ZTNA 框架和 SASE 最好被視為互補的盟友,而不是競爭資產(chǎn)。
