网络安全架构的最佳实践如今正在发生巨大转变。行业参与者正逐渐将边界保护作为网络架构的主要关注点,这一趋势似乎已经开始。因为流行语零信任网络访问和安全访问服务边缘已经进入网络安全专业人员的意识。简而言之,传统的网络安全方法已无法解决我们今天面临的安全问题。虚拟化、云计算和远程工作不一定能防范内部面临的风险。零信任网络访问(ZTNA)和安全访问服务边缘是这样的安全方法,随着组织寻求更好地保护其日益分散的远程员工免受攻击,它们变得越来越流行。了解以下每种架构方法,以及它们如何协同工作以增强您组织的网络安全态势。什么是零信任网络访问?零信任是两种安全方法中较为成熟的一种。它于2010年由ForresterResearch首次提出,将长期最小特权(POLP)安全原则应用于网络访问。这样做的方式不同于以前架构中关于信任的假设。具体来说,零信任网络访问的核心工作原理是,任何用户或设备都不应仅根据其在网络上的位置而被授予对资源的访问权限。根据IP地址或其他基于网络的标准授予应用程序访问权限的日子已经一去不复返了。相反,在当今的操作环境中,用户和敏感数据可以驻留在任何地方:公司办公室、家里、云端或路上。零信任模型用强大的身份验证和授权技术取代了以网络为中心的访问控制方法,使管理员能够应用精细的访问控制。这些控制允许用户根据他们在组织中的特定角色访问特定应用程序,还有助于保护网络免受来自网络外部的传入风险以及来自网络内部的风险,例如内部威胁,无论恶意还是疏忽。网络安全的零信任方法可以简化网络要求并提供灵活性。零信任网络访问使用户(无论其网络位置如何)都可以访问服务,同时严格执行最小特权原则。什么是安全访问服务边缘(SASE)?SecureAccessServiceEdge是一种基于零信任网络访问模型的更新网络和网络安全方法,旨在提供完全集成的网络。这种由Gartner于2019年推出的云计算架构模型结合了多个云计算网络和云安全功能,并将它们作为单一的云计算服务提供。SecureAccessServiceEdge结合了软件定义的WAN和其他网络服务和功能,包括:零信任网络访问云访问安全代理防火墙即服务安全网络网关SaaSSecureAccessServiceEdge旨在融合这些服务和技术以构建云基于感知和安全的网络。安全接入服务边缘模型特别适用于大量使用云服务或正在向云平台迁移的组织。这包括分布式组织,例如具有分支机构和分散最终用户的组织,以及具有物联网和边缘部署的组织。不是ZTNA与SASE,而是ZTNA和SASE都将对服务边缘的安全访问视为比零信任网络访问(ZTNA)更高的设计理念。它们不是孤立的或相互竞争的网络安全模型;相反,零信任网络访问是安全访问服务边缘架构的一部分。但需要注意的是,虽然零信任实施可能是网络架构师的中短期目标,但安全访问服务边缘是一个长期目标。许多组织可能决定购买安全访问服务边缘服务,然后逐步将其网络和网络安全堆栈向安全访问服务边缘模型发展。这需要时间,因为设计人员开始更换过时的安全技术并更好地集成其他技术。重要的是要注意,转向安全访问服务边缘模型需要并启用网络安全的零信任方法。零信任和对服务边缘的安全访问这两种趋势都受到密切关注,并被纳入前瞻性架构决策中,这是当今网络安全专业人员的目标。组织应计划在近期采用零信任原则,以更好地保护远程员工对基于云和本地服务的访问。同时,他们应该从创建支持安全访问服务边缘的环境的角度来看待新的网络项目。
