译者|李睿点评|孙淑娟除了零信任,使用SASE等合适的工具,可以帮助保护企业的IT基础设施免受第三方访问带来的威胁。什么是SASE?安全访问服务边缘(SASE)是一种网络安全架构,可帮助企业将系统、端点和用户从世界任何地方安全地连接到服务和应用程序。这是一项可以从云端访问并集中管理的服务。SASE是一个框架,而不是具体的技术。它通过结合多种云原生安全技术来工作,包括:安全Web网关(SWG)云访问安全代理(CASB)零信任网络访问(ZTNA)防火墙即服务(FWaaS)广域网(WAN)但不要将SASE与SecureServicesEdge(SSE)混淆,SSE是SASE的子集,主要关注SASE云平台所需的安全服务。SASE解决了什么问题?越来越多的企业正在远程工作,并采用混合方式工作,希望能顺利地将员工过渡到全职或兼职远程工作。如今,企业通常每天使用数十个SaaS应用程序,并授予对文件共享系统等管理和运营资源的远程访问权限。传统的远程访问方法使用虚拟专用网络通过加密通道将用户连接隧道连接到单个位置。这使得集中应用和执行权限策略成为可能。但是这种方式会造成网络瓶颈,影响用户体验。企业必须投资于能够管理和检查流量的技术,即便如此,虚拟网络也无法提供允许用户不受限制地访问整个网络的精细网络访问控制。其解决方案的一部分是引入安全Web网关(SWG)和防火墙即服务(FWaaS)提供商。这些基于云的服务在分布式存在点(PoP)部署检查引擎,并与SaaS提供商合作,通过云访问服务代理(CASB)保护其云环境。但这仍然没有解决连接企业网络的问题。除了云端的资源,企业还有本地网络,这个远程访问的问题还没有解决。SASE解决了这个缺失的部分。它在设计时考虑了最终用户,并采用零信任方法。SASE允许用户连接到任何资源,无论是在云端还是本地。它首先验证他们的身份并检查用户的设备是否具有最低安全性。受信任的用户只能连接到他们想要访问的特定资源,而不能连接到其他任何地方。这通常是通过依赖于微分段的零信任网络访问(ZTNA)技术来实现的。与集中安全检查的传统网络解决方案不同,SASE方法将这些检查分散到不同区域以提高网络资源的效率。这有助于降低将这些组件作为单独的单点解决方案进行管理的复杂性。SASE提供了一组集中的基于云的工具,以提高可见性和控制力。这些工具可以在云中完全编排,并立即在网络边缘执行策略。使用零信任和SASE将第三方风险降至最低第三方风险管理涉及解决源自企业外部可信来源的安全风险。这个定义很宽泛,但也有一些值得注意的第三方风险来源:第三方应用程序——所有企业都使用第三方开发的应用程序。企业通常信任这些应用程序,因为它们来自信誉良好的开发商或值得信赖的软件公司。然而,第三方软件通常包含漏洞,如果开发人员的系统受到威胁,受信任的应用程序可能成为恶意行为者的攻击媒介。受信任的外部用户——许多企业允许外部合作伙伴或供应商访问他们受保护的系统和环境。然而,受损的第三方用户帐户可以作为网络攻击的平台,允许恶意行为者获得对内部网络的授权访问。开放源代码——大多数企业使用包含第三方软件组件和依赖项的应用程序。开源库和代码通常包含允许网络攻击者利用应用程序的后门。如果企业对其开源依赖项缺乏可见性,则未知漏洞可能会带来攻击机会。在每种情况下,企业都暗中信任第三方的安全性。如果网络攻击者利用这种信任,它可能会危及企业的安全。企业对过时安全策略的依赖可能导致第三方风险的许多不利影响。例如,许多企业使用传统的安全边界模型来保护其网络免受外部攻击。这种方法涉及在网络边界部署安全机制,以在威胁渗透到受保护的网络和系统之前识别并阻止威胁。基于边界的安全模型假设安全威胁来自网络外部,但这并不总是正确的。通过仅关注外部威胁,组织通常会忽略已经渗透到其网络的威胁。第三方应用程序和用户通常会给保护外部访问点的安全解决方案带来额外的安全挑战和潜在盲点。管理第三方风险需要了解即使是受信任的系统或实体也会对业务构成风险。简而言之,企业不能完全信任任何人或任何事物。这一假设构成了零信任的基础,零信任是一种将安全事件的可能性和潜在损害降至最低的安全方法。采用零信任安全策略相对简单,但有时执行它可能更具挑战性。实施零信任需要对整个企业的整个基础设施进行一致的访问控制。组织应在网络级别实施零信任以保护东西和南北流量。安全访问服务边缘(SASE)提供两个功能:东西向流量–SASE建立企业WAN,将完整的安全堆栈集成到每个存在点(PoP)中。它支持用于东西向流量检测的SASEPoP,并应用基于零信任模型的访问控制。南北流量——SASE建立了一个软件定义边界(SDP)或零信任网络访问(ZTNA),以对来自外部用户对内部资源或应用程序的所有请求实施基于零信任的访问控制。它限制对企业应用程序的外部访问,以防止利用隐藏的漏洞。结论第三方风险管理通常是一项复杂的工作。零信任安全实施是最小化第三方风险的一个关键方面。除了零信任之外,使用SASE等适当的工具还可以帮助保护您的IT基础架构免受第三方访问带来的威胁。原标题:SASE是第三方风险的解决方案吗?,作者:GiladDavidMaayan
