網(wǎng)絡(luò)安全架構(gòu)的最佳實(shí)踐如今正在經(jīng)歷巨大的轉(zhuǎn)變。業(yè)界人士不再將邊界保護(hù)作為網(wǎng)絡(luò)架構(gòu)的主要焦點(diǎn)，而這一趨勢(shì)似乎已經(jīng)開始了。因?yàn)榱阈湃尉W(wǎng)絡(luò)訪問和安全訪問服務(wù)邊緣這兩個(gè)流行術(shù)語已經(jīng)進(jìn)入到網(wǎng)絡(luò)安全專業(yè)人員的意識(shí)中。

簡(jiǎn)而言之，傳統(tǒng)網(wǎng)絡(luò)安全方法如今已無法解決目前面臨的安全問題。而虛擬化、云計(jì)算和遠(yuǎn)程工作并不一定能防御內(nèi)部面臨的風(fēng)險(xiǎn)。

零信任網(wǎng)絡(luò)訪問（ZTNA）和安全訪問服務(wù)邊緣就是這樣的安全方法，它們?cè)诮M織尋求更好地保護(hù)其日益分散的遠(yuǎn)程員工免受攻擊時(shí)變得越來越流行。

以下了解每種架構(gòu)方法，以及它們?nèi)绾螀f(xié)同工作以增強(qiáng)組織的網(wǎng)絡(luò)安全狀況。

什么是零信任網(wǎng)絡(luò)訪問？

零信任是這兩種安全方法比較成熟的一種。它由Forrester Research公司于2010年首先提出，將長(zhǎng)期的最低特權(quán)（POLP）安全原理應(yīng)用于網(wǎng)絡(luò)訪問。這樣做的方式與以往架構(gòu)中對(duì)信任的假設(shè)不同。

具體來說，零信任網(wǎng)絡(luò)訪問的核心工作原理是，任何用戶或設(shè)備都不應(yīng)被授予只基于網(wǎng)絡(luò)上的位置來訪問資源的權(quán)限。基于IP地址或其他基于網(wǎng)絡(luò)的標(biāo)準(zhǔn)授予應(yīng)用程序訪問權(quán)限的時(shí)代一去不復(fù)返了。

取而代之的是，在當(dāng)今的運(yùn)營環(huán)境中，用戶和敏感數(shù)據(jù)都可能位于任何地方：在企業(yè)辦公室、在家中、在云中或在路上。零信任模型以強(qiáng)大的身份驗(yàn)證和授權(quán)技術(shù)取代了以網(wǎng)絡(luò)為中心的訪問控制方法，該技術(shù)使管理員能夠應(yīng)用精細(xì)的訪問控制。這些控件允許用戶根據(jù)他們?cè)诮M織中的特定角色來訪問特定的應(yīng)用程序，還有助于保護(hù)網(wǎng)絡(luò)免受來自網(wǎng)絡(luò)外部的傳入風(fēng)險(xiǎn)以及網(wǎng)絡(luò)內(nèi)部的風(fēng)險(xiǎn)（例如內(nèi)部威脅）的侵害，無論是惡意的還是疏忽的。

零信任網(wǎng)絡(luò)安全方法可以簡(jiǎn)化網(wǎng)絡(luò)要求，而且具有靈活性。零信任網(wǎng)絡(luò)訪問使用戶（無論其網(wǎng)絡(luò)位置如何）都能夠訪問服務(wù)（無論其網(wǎng)絡(luò)位置如何），同時(shí)嚴(yán)格執(zhí)行最小特權(quán)原則。

什么是安全訪問服務(wù)邊緣（SASE）？

安全訪問服務(wù)邊緣是一種基于零信任網(wǎng)絡(luò)訪問模型的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全更新方法，旨在提供一個(gè)完全集成的網(wǎng)絡(luò)。Gartner公司在2019年推出的這種云計(jì)算架構(gòu)模型將多個(gè)云計(jì)算網(wǎng)絡(luò)和云安全功能結(jié)合在一起，并將它們作為單個(gè)云計(jì)算服務(wù)提供。

安全訪問服務(wù)邊緣結(jié)合了軟件定義WAN和其他網(wǎng)絡(luò)服務(wù)和功能，其中包括：

零信任網(wǎng)絡(luò)訪問

云訪問安全代理

防火墻即服務(wù)

安全的網(wǎng)絡(luò)網(wǎng)關(guān)

SaaS

安全訪問服務(wù)邊緣的目標(biāo)是融合這些服務(wù)和技術(shù)，以構(gòu)建基于云計(jì)算的感知和安全網(wǎng)絡(luò)。

安全訪問服務(wù)邊緣模型特別適合那些大量使用云服務(wù)或正在遷移到云平臺(tái)的組織。這其中包括分布式組織，例如具有分支機(jī)構(gòu)位置和分散最終用戶的組織，以及具有物聯(lián)網(wǎng)和邊緣部署的組織。

不是ZTNA vs.SASE，而是ZTNA和SASE并重

將安全訪問服務(wù)邊緣視為比零信任網(wǎng)絡(luò)訪問（ZTNA）更高級(jí)的設(shè)計(jì)理念。它們不是孤立的或競(jìng)爭(zhēng)的網(wǎng)絡(luò)安全模型;與其相反，零信任網(wǎng)絡(luò)訪問是安全訪問服務(wù)邊緣架構(gòu)的一部分。

但是需要注意的是，盡管零信任實(shí)施可能是網(wǎng)絡(luò)架構(gòu)師的中短期目標(biāo)，但安全訪問服務(wù)邊緣卻是長(zhǎng)期目標(biāo)。很多組織可以決定購買安全訪問服務(wù)邊緣服務(wù)，然后逐步將其網(wǎng)絡(luò)和網(wǎng)絡(luò)安全堆棧朝安全訪問服務(wù)邊緣模型發(fā)展。隨著設(shè)計(jì)人員開始更換過時(shí)的安全技術(shù)并更好地集成其他的安全技術(shù)，這將需要一些時(shí)間。需要注意的是，轉(zhuǎn)移到安全訪問服務(wù)邊緣模型需要并啟用確保網(wǎng)絡(luò)安全的零信任方法。

當(dāng)今網(wǎng)絡(luò)安全專業(yè)人員的目標(biāo)是，零信任和安全訪問服務(wù)邊緣都是密切關(guān)注并融入前瞻性架構(gòu)決策的趨勢(shì)。組織應(yīng)計(jì)劃在短期內(nèi)采用零信任原則，以更好地保護(hù)遠(yuǎn)程員工訪問基于云計(jì)算的服務(wù)和內(nèi)部部署服務(wù)。與此同時(shí)，他們應(yīng)該從創(chuàng)建支持安全訪問服務(wù)邊緣的環(huán)境的角度來查看新的網(wǎng)絡(luò)項(xiàng)目。
責(zé)編AJX