数字化是一把双刃剑。企业面临的最大安全挑战之一是在其不断扩展的网络边缘提供一致的保护。每一项新优势都会扩大潜在的攻击面,网络犯罪分子会迅速将这些新的攻击向量作为目标。在过去两年中,我们看到攻击急剧增加,尤其是勒索软件。很多这种情况都是通过网络边缘不太安全的接入点发生的。保护不断扩展的网络边缘的部分挑战在于,网络的扩展速度超过了传统安全性所能适应的速度。大多数现有的安全策略都是围绕隔离点产品构建的,这些产品旨在保护可预测的静态网络环境——这意味着当它们保护的网络处于不断变化的安全状态时,它们很难保持一致。网络犯罪分子渗透网络所需要做的就是突破安全性不足的边缘,然后利用网络中隐含的信任来寻找要窃取的数据和要妥协的系统。需要的是一种自适应边缘安全策略,无论新边缘部署在何处或何时,即使底层基础设施或连接元素发生变化,它也能提供一致的可见性和控制。零信任边缘融合了网络和安全性以创建一个集成的保护框架,可以确保在每个边缘一致的策略部署和执行。这包括授予对应用程序的明确的、按会话的访问权限,并结合对用户身份和上下文的持续验证,无论网络扩展和发展的速度有多快。与大多数安全策略一样,实施零信任边缘说起来容易做起来难。但对于希望在不损害安全性的情况下接受数字加速的企业来说,零信任边缘策略至关重要。要简化确保在整个企业内提供一致保护并消除网络边缘薄弱环节的过程,请遵循以下五个步骤。步骤1.收集身份验证工具收集建立零信任边缘所需的零信任访问身份验证工具。其中包括零信任网络访问(ZTNA)、安全SD-WAN、下一代防火墙(NGFW)和带有入侵检测系统(IDS)和入侵防御系统(IPS)的安全Web网关(SWG)、沙箱、云访问安全代理(CASB)和网络访问控制(NAC)。这些工具允许任何用户或设备,无论位于何处,在访问任何连接的资源(无论是在本地还是在云端)之前得到正确的身份验证和检查。这里的关键是互操作性。使用这些工具应该提供网络范围的可见性和一致的端到端监控和实施,即使对于需要跨越多个环境的应用程序和工作流也是如此。这些工具应通过单一供应商或通过使用开放标准和API的通用框架进行集成,最好是在单一、可普遍部署的平台上,以确保无缝通信、协调和执行。第2步:添加安全控制安全控制需要同时托管在本地和云中,以便每个用户都可以在任何设备上的任何地方进行身份验证。虽然云平台和基于云的网络需要不同的工具,但它们仍然需要作为一个集成系统协同工作。这确保用户无论是在本地设施、家庭办公室还是在它们之间旅行时都受到保护。除了协同工作之外,这些工具还需要支持与底层网络的融合,以便保护能够自动适应配置、连接或规模的变化。第3步。实施零信任网络访问(ZTNA)在每个边缘和设备上实施零信任网络访问(ZTNA),使所有用户能够安全地访问本地和基于云的应用程序。最终用户设备上的零信任网络访问(ZTNA)客户端提供安全连接,结合每会话身份验证和持续监控,以检测和响应异常行为。零信任网络访问(ZTNA)解决方案也应作为边缘安全解决方案的一部分实施,因此身份验证和实时流量检查可以成为安全访问和身份验证过程的无缝部分。由于用户体验至关重要,因此下一代防火墙(NGFW)还应该能够以线速检查加密流量,包括流视频。第4步。保护远程用户远程用户应该被引导到基于云的安全性,例如防火墙即服务(FWaaS)和安全Web网关(SWG),以便在访问SaaS应用程序时提供安全的互联网访问。远程用户还可以使用云交付的零信任网络访问(ZTNA)强制访问数据中心的私有应用程序。零信任网络访问(ZTNA)和安全Web网关(SWG)可以与云访问安全代理(CASB)一起监控和执行远程用户的策略,无论他们是在家工作还是在不同地点之间旅行。但这些解决方案需要集成到更大的安全架构中,以便可以集中部署和协调策略,共享和关联网络事件以保护所有边缘。第5步。控制云应用程序访问安全的SD-WAN是控制从本地位置(包括数据中心、校园环境、分支机构和零售位置)对基于云的应用程序的访问的基础技术。与传统的SD-WAN不同,安全的SD-WAN包括作为统一解决方案运行的全套企业级安全、网络和连接功能。本地安全对于网络分段部署也很有用,可以防止威胁的横向移动。通过在与其他本地访问和安全工具相同的平台上部署SD-WAN,企业可以建立和维护一致的安全和网络策略,而无需管理多个控制台或解决方案之间的问题。零信任边缘保护不断扩展的网络边缘的零信任边缘方法有助于确保无处不在的安全性和网络的关键融合。借助零信任边缘架构,安全性可以无缝适应底层网络基础设施的动态变化,包括连接性,同时根据用户身份和上下文提供对应用程序的访问。零信任边缘扩展了企业级安全性,并为远程工作人员提供精细的访问控制,从而提供对他们所需的应用程序和资源的安全访问,无论他们是在本地还是通过云访问资源。
