坐看云起：零信任四大路线优劣对比

坐等云栖：零信任四大路线优劣势对比基础设施建设成本低，安全能力建设快速，安全运维管理简单。这种与生俱来的特性在处理意外的、临时的、突发的业务时具有显着的优势。新技术赋能的云计算也让云服务更加成熟。云原生安全能力的发展让云基础设施更强大，AI让云计算更智能，边缘计算让云离用户更近，SD-WAN让上云更便捷。新技术使云服务得到更广泛的应用，成为国家基础设施的重要组成部分。疫情如穹顶般笼罩全国，居家隔离依然是我们应对疫情最有效的方式。走出去成为疫情环境下企业新的经营策略，推动云计算快速扩张。疫情扩大了企业远程访问的需求，防疫常态化使企业加速资产数字化，业务和服务向云端迁移。新需求的变化导致安全和风险管理需要集成云交付的安全服务，以应对安全需求的突然变化。零信任不再是让企业感到陌生的新名词。在企业规划建设自己的零信任安全网络的同时，正如Gartner预测的《The Future of Network Security Is in the Cloud》，安全厂商也开始在云端部署零信任服务策略。应用远程访问的业务特性决定了零信任网络访问本身并不是企业内部的一个点或个体的安全防护，而是一种基于业务完整性、独立于网络域划分的立体防御。通过对每个访问连接的可信识别和验证，避免了传统网络隧道默认信任引入的安全风险、业务访问安全和服务质量。在《现代企业零信任安全构建应用指南》报告调研过程中，我们在采访中发现不少厂商通过部署云服务提供零信任解决方案，也有部分企业使用SaaS服务自建零信任安全接入网络。据研究分析，目前零信任云服务主要有以下几种形式：基于CDN网络构建零信任接入网络服务；构建基于互联网端到端的安全接入服务；基于终端沙箱构建端到端的安全接入服务；虚拟化桌面构建零信任访问服务。1、基于CDN构建零信任网络访问服务CDN本身就是一个基于反向代理原理的代理网关，为应用程序访问代理访问请求和响应服务。CDN厂商利用部署在广域网的分发网络的边缘连接，加强对各个分发节点的零信任访问控制，可以轻松为业务提供零信任的安全访问能力。基于CDN的零信任接入网络优势：利用CDN网络的广域连接优势，帮助企业实现广域零信任连接；CDN节点冗余能力强，相邻节点故障不会影响用户远程访问；分发节点与企业数据中心分离，CDN节点被攻击丢失，不影响业务服务器；配网与安全门禁集成，企业无需另行寻找远程门禁解决方案。适用于公共访问应用程序。2.构建基于互联网的端到端安全接入服务在现有物理网络中，通过部署端到端连接组件，为用户构建安全接入连接，零信任服务提供者接管覆盖平面设备和策略的维护和管理。如下所示。客户端配置DNS服务器将URL解析到服务提供商的控制器，通过云端控制器的认证授权后建立业务访问连接。该方案是对传统虚拟专用网应用的升级。优点是将安全性延伸到最后。会话不再像虚拟专用网那样拥挤在隧道中，释放了虚拟专用网隧道的负载压力，避免了相互影响。但从下图可以看出，一旦DP控制器出现故障或掉线，不仅外部访问会中断，企业内部的应用访问也会受到牵连。因此，SDP和网关的漏洞、抗D能力、访问性能、单点故障、部署位置等都是企业内网安全和业务连续性的重要保障。因此，虽然该方案通过软件定义的边界为企业解决了资源包授权和访问控制，但企业内网的风险管控仍然非常重要。适用于企业分支机构互联互通，移动终端接入企业内网。是典型的远程办公场景应用方案。3.构建基于终端沙箱的端到端安全接入服务。客户端使用虚拟化部署和微隔离安全容器/沙箱来构建安全域。通过对计算和存储资源的控制，如文件IO、进程间通信等，保证应用程序运行加载、资源调用、数据存储都在一个相对独立的空间。安全域的网络配置和可信应用由管理员统一管理。安全域的DNS服务器需要配置零信任服务商的控制器，保证URL请求能够解析到云控制器。用户使用虚拟空间中的应用发起接入连接，认证授权后为接入建立业务连接。终端隔离域可以保证数据应用的全过程可控，不会被发送出去、不会被转储或存储在本地。适用于设备移动性强、数据安全要求高的应用场景。4.构建基于虚拟化桌面的零信任访问服务虚拟桌面也是一种常见的远程办公方式，它利用虚拟化技术动态分配vCPU、内存、存储和网络资源。在网络路由可达的情况下，用户可以随时随地使用不同类型的终端访问云桌面。这有点类似于WEB虚拟专用网，不同的是客户端需要安装企业浏览器或插件才能访问云桌面上的应用和服务。优点是浏览器兼容性好，用户部署简单，无需自定义配置，应用服务器发布到虚拟桌面服务器时不需要过多的URL重写工作量。缺点是传统的虚拟桌面对C/S访问和PC访问的兼容性不是很好。另外，当访问量很大时，虚拟桌面的性能也容易成为瓶颈。更适合企业远程办公的应用场景。总结以上典型的零信任云服务，我们可以看出，零信任与云分发、虚拟化、云桌面等传统的云边服务相结合。他们中的任何一个都或多或少能看到一些传统的安全服务。阴影。云服务的优势是显而易见的，确实可以在一定程度上帮助我们应对紧急、突发的远程访问安全需求。但缺陷是一样的，所有业务都必须出内网，这显然不适用于任何企业。企业内网现有的安全风险管理是否可以结合第三方云服务来最大化企业的成本效益，基于云的零信任安全接入能力和市场整合的需求是否可以帮助我们形成a新的安全架构仍然值得我们进一步探索。【本文为专栏作者“安妞”原创文章，转载请通过安妞（微信id：gooann-sectv）获得授权】点此查看作者更多好文