無(wú)論是零信任還是SASE，都是幫助企業(yè)迎接一個(gè)全新的挑戰(zhàn)：下一代企業(yè)網(wǎng)絡(luò)將與互聯(lián)網(wǎng)“與狼共舞“，讓所有流量路由到本地防火墻或數(shù)據(jù)中心的帝國(guó)防御模式已經(jīng)崩塌。

SASE（安全訪問(wèn)服務(wù)邊緣）和ZTNA是近年來(lái)最具影響力的兩個(gè)顛覆性的網(wǎng)絡(luò)安全模型。

在全球性的遠(yuǎn)程辦公大潮中，傳統(tǒng)的企業(yè)網(wǎng)絡(luò)“邊界”徹底消失，提供遠(yuǎn)程訪問(wèn)和安全服務(wù)的SASE模型以及零信任可以幫助企業(yè)重新定義網(wǎng)絡(luò)和邊界防御。但是，SASE和ZNTA兩大架構(gòu)之間有何關(guān)聯(lián)？如何協(xié)同演進(jìn)？依然是數(shù)字化轉(zhuǎn)型企業(yè)當(dāng)下最為關(guān)心的問(wèn)題之一，以下我們嘗試從幾個(gè)方面進(jìn)行解讀：

零信任：身份驅(qū)動(dòng)的安全范型轉(zhuǎn)移

隨著網(wǎng)絡(luò)應(yīng)用程序和資源遷移到云端，傳統(tǒng)網(wǎng)絡(luò)邊界消失，企業(yè)數(shù)字化轉(zhuǎn)型實(shí)施，傳統(tǒng)防火墻、安全網(wǎng)關(guān)、VPN和代理暴露出很多安全漏洞和短板，零信任已經(jīng)成為企業(yè)用戶的關(guān)注焦點(diǎn)。

ZTNA（零信任網(wǎng)絡(luò)架構(gòu)）是面對(duì)數(shù)字化轉(zhuǎn)型新業(yè)務(wù)場(chǎng)景，克服傳統(tǒng)基于邊界的安全方案弊端的一次重大范型轉(zhuǎn)移，其本質(zhì)是一次（身份管理）安全范型的轉(zhuǎn)移或者變革。零信任前有多種流派，比如Forrester的ZTX、Google的BeyondCorp、Gartner提出的CARTA，但是無(wú)論哪一種方案實(shí)現(xiàn)，更細(xì)粒度、更可靠和更具新業(yè)務(wù)適應(yīng)性的身份管理都是其中最新不變的安全需求。

零信任已被吹捧為未來(lái)十年網(wǎng)絡(luò)安全的大勢(shì)所趨。但是直到最近，尤其是Google BeyondCorp等零信任方案產(chǎn)品化后，零信任才開(kāi)始作為可用于生產(chǎn)環(huán)境的實(shí)用企業(yè)安全框架受到關(guān)注。

零信任的發(fā)展歷程圖表來(lái)源：聯(lián)軟科技

2020年新冠疫情大流行影響了不少企業(yè)的數(shù)字化轉(zhuǎn)型計(jì)劃，但卻極大刺激了對(duì)零信任的關(guān)注和應(yīng)用。因?yàn)殡S著遠(yuǎn)程辦公成為新常態(tài)，企業(yè)員工和資產(chǎn)暴露的攻擊面快速增長(zhǎng)，面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)飆升。上半年報(bào)告的攻擊數(shù)量飆升已經(jīng)說(shuō)明了一切。

零信任提供了一種全面而靈活的方法來(lái)保護(hù)IT基礎(chǔ)架構(gòu)，應(yīng)用程序和數(shù)據(jù)。

將基于零信任策略的安全性應(yīng)用于用戶交互時(shí)，企業(yè)可以減少其網(wǎng)絡(luò)攻擊面。每個(gè)人和系統(tǒng)都經(jīng)過(guò)身份驗(yàn)證，僅能有限地訪問(wèn)他們被授權(quán)使用的應(yīng)用程序，數(shù)據(jù)和資源。在大多數(shù)情況下，零信任的安全決策在端點(diǎn)實(shí)施，但在云中定義和管理。訪問(wèn)策略可以細(xì)化，以根據(jù)IT資源、會(huì)話數(shù)據(jù)、身份驗(yàn)證和許多其他因素在訪問(wèn)邊緣做出安全決策。

SASE與零信任不謀而合

SASE是一個(gè)相對(duì)較新的概念，是Gartner在2019年末的報(bào)告《網(wǎng)絡(luò)安全的未來(lái)在云端》中提出的安全模型，其基本思想是將已經(jīng)建立的網(wǎng)絡(luò)安全服務(wù)堆棧從基于數(shù)據(jù)中心的中心化架構(gòu)，轉(zhuǎn)變?yōu)閷⑸矸莨芾怼跋鲁痢钡浇K端設(shè)備的設(shè)計(jì)，從而使安全架構(gòu)能夠更好地支持邊緣計(jì)算和混合云等數(shù)字化轉(zhuǎn)型新場(chǎng)景中的動(dòng)態(tài)服務(wù)、軟件即服務(wù)（SaaS）以及分布式數(shù)據(jù)處理等新業(yè)務(wù)。

零信任安全架構(gòu)與SASE的基于邊緣的安全方法目標(biāo)完全一致，可以使用SASE框架執(zhí)行。在這里，我們有必要回顧一下二者的基本概念和原則。

零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）是一種安全架構(gòu)，其核心構(gòu)想通過(guò)權(quán)限最小化原則來(lái)保護(hù)網(wǎng)絡(luò)免受高級(jí)威脅的攻擊。

傳統(tǒng)網(wǎng)絡(luò)環(huán)境將企業(yè)內(nèi)部網(wǎng)絡(luò)定義為“可信區(qū)域”，這個(gè)區(qū)域內(nèi)部的所有計(jì)算資源可以互相通信，沒(méi)有做到權(quán)限最小化原則。一旦有外部黑客攻入內(nèi)網(wǎng)，或是企業(yè)內(nèi)部人員想要惡意破壞，就可以在“可信區(qū)域”內(nèi)“橫向移動(dòng)”，對(duì)企業(yè)計(jì)算資源進(jìn)行大肆攻擊和破壞。

零信任解決方案包括可以添加到現(xiàn)有VPN和網(wǎng)絡(luò)中的微隔離工具（例如，應(yīng)用程序隔離）以及其他技術(shù)（例如SDP）。這些技術(shù)控制網(wǎng)絡(luò)內(nèi)部的橫向移動(dòng)，通過(guò)將遠(yuǎn)程和內(nèi)部應(yīng)用程序的訪范圍限制在真正需要的內(nèi)容來(lái)防止攻擊。

SASE則代表了企業(yè)網(wǎng)絡(luò)及安全體系結(jié)構(gòu)的融合趨勢(shì)，它適用于當(dāng)今不斷變化的（分布式遠(yuǎn)程）云計(jì)算工作環(huán)境，將安全性和網(wǎng)絡(luò)融合在一起，適用于任何類型的端點(diǎn)，企業(yè)無(wú)需在設(shè)備上放置代理，連接到VPN并將所有流量重新路由到云端，SASE為每個(gè)單獨(dú)的設(shè)備帶來(lái)安全性，這與零信任的“細(xì)粒度“安全控制目標(biāo)顯然是一致的。

例如，零信任Web瀏覽假定所有網(wǎng)站都不安全，因此不允許它們與用戶端點(diǎn)上安裝的瀏覽器軟件自由交互。在此情況下，SASE框架著重介紹了一種稱為遠(yuǎn)程瀏覽器隔離（RBI）的技術(shù)。這是一種安全功能，其假設(shè)和原則與“零信任”一致：不信任來(lái)自Web的任何內(nèi)容，并且懷疑所有網(wǎng)站代碼、活動(dòng)和下載內(nèi)容。通過(guò)RBI，所有用戶的Web瀏覽都可以在云中的虛擬瀏覽器中遠(yuǎn)程進(jìn)行，只有安全的渲染信息才能從網(wǎng)站發(fā)送到設(shè)備的瀏覽器，從而提供安全，完全交互，無(wú)縫的用戶體驗(yàn)。

零信任是目標(biāo)，SASE是路徑

為了了解SASE如何實(shí)現(xiàn)零信任安全模型的方法，需要對(duì)Gartner的愿景進(jìn)行更深入的解讀。在對(duì)SASE模型的介紹中，Gartner列出了可以構(gòu)成SASE平臺(tái)的許多功能和元素-網(wǎng)絡(luò)即服務(wù)技術(shù)（例如SD-WAN、CDN和WAN優(yōu)化）以及網(wǎng)絡(luò)安全服務(wù)（例如云）SWG、VPN、NGFW、ZTNA、云訪問(wèn)安全代理（CASB）和RBI。作為SASE的各個(gè)組件，這些組件現(xiàn)已上市，并且在不同程度上已為很多組織所使用。Gartner的SASE愿景是，這些解決方案的發(fā)展趨勢(shì)是整合到一個(gè)集成的，易于使用的全球云交付平臺(tái)中。

通過(guò)將網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)功能與網(wǎng)絡(luò)安全功能集成在一起，SASE可以在所有網(wǎng)絡(luò)連接點(diǎn)和端點(diǎn)上實(shí)施安全控制。SASE解決方案結(jié)合了核心連通性和安全策略功能，提供控件，可在請(qǐng)求的用戶和IT資源（數(shù)據(jù)庫(kù)、應(yīng)用程序等）之間（無(wú)論它們是否位于企業(yè)網(wǎng)絡(luò)中）在線做出訪問(wèn)策略和數(shù)據(jù)使用決策，這些都與零信任的訴求和目標(biāo)一致。

SASE極大地提高了網(wǎng)絡(luò)安全性，而且如果實(shí)施正確，對(duì)用戶的影響也可降至最低。SASE解決方案能為IT員工提供整個(gè)組織網(wǎng)絡(luò)和應(yīng)用程序中每個(gè)用戶訪問(wèn)的完全控制權(quán)和可見(jiàn)性。集成的，持續(xù)的流量檢查和分析以及動(dòng)態(tài)的安全策略執(zhí)行功能，使SASE成為改變數(shù)字化轉(zhuǎn)型計(jì)劃的推動(dòng)者，同時(shí)也是零信任架構(gòu)的理想載體和路徑。

SASE已經(jīng)啟程

Gartner預(yù)計(jì)，到2024年，至少有40％的企業(yè)將制定SASE應(yīng)用戰(zhàn)略。由于供應(yīng)商仍在開(kāi)發(fā)其集成的基于云的SASE平臺(tái)，因此早期采用者需要保持其SASE早期方案或準(zhǔn)備工作的靈活性。

首先，您可以從重新評(píng)估組織的網(wǎng)絡(luò)架構(gòu)開(kāi)始，并確保網(wǎng)絡(luò)安全從一開(kāi)始就融入架構(gòu)，正確的體系結(jié)構(gòu)設(shè)計(jì)對(duì)于建立強(qiáng)大、適應(yīng)性強(qiáng)的架構(gòu)至關(guān)重要。

其次，SASE和零信任是一種進(jìn)化，企業(yè)可以循序漸進(jìn)，零信任可以從MFA、SSO等做起，同樣地，企業(yè)也可以在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中添加和補(bǔ)充安全功能來(lái)快速獲得SASE能力。例如，升級(jí)NGFW和VPN以添加“零信任”網(wǎng)絡(luò)訪問(wèn)功能或者添加RBI以將零信任Web瀏覽帶入您的企業(yè)。

最后，您可以通過(guò)逐步減少硬件依賴性來(lái)向SASE遷徙。云原生應(yīng)用程序、Web訪問(wèn)和安全解決方案除了可與傳統(tǒng)網(wǎng)絡(luò)一起使用外，還為分布式架構(gòu)奠定了基礎(chǔ)。選擇適合的路線圖和過(guò)渡解決方案，可以幫助你的企業(yè)成為真正的“零信任企業(yè)“。
責(zé)任編輯:pj