网络安全架构的最佳实践现在正在经历巨大的变化。业内人士不再把边界保护作为网络架构的主要焦点,这一趋势似乎已经开始。因为零信任网络访问和安全访问服务的边缘已经进入了网络安全专业人士的意识。
简而言之,传统的网络安全方法无法解决当前的安全问题。虚拟化、云计算和远程工作可能无法防范内部风险。
零信任网络访问(ZTNA)在组织寻求更好地保护其日益分散的远程员工免受攻击时,以及安全访问服务的边缘就是这样一种安全方法。
了解各种架构方法,以及如何配合工作,以提高组织的网络安全性。
什么是零信任网络访问?
零信任是这两种安全方法比较成熟的一种。它由Forrester Research2010年,公司首先提出长期最低特权(POLP)应用于网络访问的安全原理。这种方式不同于以往架构中的信任假设。
具体来说,零信任网络访问的核心工作原理是,任何用户或设备都不应授予仅基于网络位置访问资源的权限。IP基于网络的地址或其他标准授予应用程序访问权限的时代已经消失。
相反,在当今的运营环境中,用户和敏感数据可能位于任何地方:在企业办公室、家庭、云或道路上。零信任模型以强大的身份验证和授权技术取代了以网络为中心的访问控制方法,使管理员能够应用精细的访问控制。这些控制器允许用户根据组织中的特定角色访问特定的应用程序,并帮助保护网络免受网络外部引入和网络内部风险(如内部威胁)的侵犯,无论是恶意还是疏忽。
零信任网络安全方法可以简化网络要求,灵活性。零信任网络访问允许用户访问服务(无论网络位置如何),并严格执行最小特权原则。
什么是安全访问服务的边缘?(SASE)?
安全访问服务边缘是一种基于零信任网络访问模型的网络和网络安全更新方法,旨在提供一个完全集成的网络。Gartner该公司于2019年推出的云计算架构模型将多个云计算网络与云安全功能相结合,并将其作为单个云计算服务提供。
安全访问服务边缘与软件定义相结合WAN其他网络服务和功能包括:
- 零信任网络访问
- 云访问安全代理
- 防火墙是服务
- 网关安全
- SaaS
为了构建基于云计算的感知和安全网络,安全访问服务边缘的目标是整合这些服务和技术。
安全访问服务边缘模型特别适合使用大量云服务或迁移到云平台的组织。它包括分布式组织,如分支机构位置和分散最终用户的组织,以及物联网和边缘部署的组织。
不是ZTNA vs.SASE,而是ZTNA和SASE并重
将安全访问服务边缘视为零信任网络访问(ZTNA)更先进的设计理念。它们不是孤立或竞争的网络安全模型;相反,零信任网络访问是安全访问服务边缘架构的一部分。
但需要注意的是,虽然零信任的实施可能是网络架构师的中短期目标,但安全访问服务的边缘是一个长期目标。许多组织可以决定购买安全访问服务的边缘服务,然后逐步向安全访问服务的边缘模型发展其网络和网络安全堆栈。随着设计师开始更换过时的安全技术,并更好地集成其他安全技术,这将需要一些时间。需要注意的是,转移到安全访问服务的边缘模型需要并零信任方法来确保网络安全。
当今网络安全专业人员的目标是密切关注零信任和安全访问服务的边缘,并融入前瞻性结构决策的趋势。组织应计划在短期内采用零信任原则,以更好地保护基于云计算的远程员工访问服务和内部部署服务。同时,他们应该从创建支持安全访问服务边缘的环境的角度来查看新的网络项目。