網(wǎng)絡安全架構(gòu)的最佳實踐如今正在經(jīng)歷巨大的轉(zhuǎn)變。業(yè)界人士不再將邊界保護作為網(wǎng)絡架構(gòu)的主要焦點，而這一趨勢似乎已經(jīng)開始了。因為零信任網(wǎng)絡訪問和安全訪問服務邊緣這兩個流行術(shù)語已經(jīng)進入到網(wǎng)絡安全專業(yè)人員的意識中。

簡而言之，傳統(tǒng)網(wǎng)絡安全方法如今已無法解決目前面臨的安全問題。而虛擬化、云計算和遠程工作并不一定能防御內(nèi)部面臨的風險。

[[374389]]

零信任網(wǎng)絡訪問(ZTNA)和安全訪問服務邊緣就是這樣的安全方法，它們在組織尋求更好地保護其日益分散的遠程員工免受攻擊時變得越來越流行。

以下了解每種架構(gòu)方法，以及它們?nèi)绾螀f(xié)同工作以增強組織的網(wǎng)絡安全狀況。

什么是零信任網(wǎng)絡訪問?

零信任是這兩種安全方法比較成熟的一種。它由Forrester Research公司于2010年首先提出，將長期的最低特權(quán)(POLP)安全原理應用于網(wǎng)絡訪問。這樣做的方式與以往架構(gòu)中對信任的假設不同。

具體來說，零信任網(wǎng)絡訪問的核心工作原理是，任何用戶或設備都不應被授予只基于網(wǎng)絡上的位置來訪問資源的權(quán)限?；贗P地址或其他基于網(wǎng)絡的標準授予應用程序訪問權(quán)限的時代一去不復返了。

取而代之的是，在當今的運營環(huán)境中，用戶和敏感數(shù)據(jù)都可能位于任何地方：在企業(yè)辦公室、在家中、在云中或在路上。零信任模型以強大的身份驗證和授權(quán)技術(shù)取代了以網(wǎng)絡為中心的訪問控制方法，該技術(shù)使管理員能夠應用精細的訪問控制。這些控件允許用戶根據(jù)他們在組織中的特定角色來訪問特定的應用程序，還有助于保護網(wǎng)絡免受來自網(wǎng)絡外部的傳入風險以及網(wǎng)絡內(nèi)部的風險(例如內(nèi)部威脅)的侵害，無論是惡意的還是疏忽的。

零信任網(wǎng)絡安全方法可以簡化網(wǎng)絡要求，而且具有靈活性。零信任網(wǎng)絡訪問使用戶(無論其網(wǎng)絡位置如何)都能夠訪問服務(無論其網(wǎng)絡位置如何)，同時嚴格執(zhí)行最小特權(quán)原則。

什么是安全訪問服務邊緣(SASE)?

安全訪問服務邊緣是一種基于零信任網(wǎng)絡訪問模型的網(wǎng)絡和網(wǎng)絡安全更新方法，旨在提供一個完全集成的網(wǎng)絡。Gartner公司在2019年推出的這種云計算架構(gòu)模型將多個云計算網(wǎng)絡和云安全功能結(jié)合在一起，并將它們作為單個云計算服務提供。

安全訪問服務邊緣結(jié)合了軟件定義WAN和其他網(wǎng)絡服務和功能，其中包括：

• 零信任網(wǎng)絡訪問
• 云訪問安全代理
• 防火墻即服務
• 安全的網(wǎng)絡網(wǎng)關(guān)
• SaaS

安全訪問服務邊緣的目標是融合這些服務和技術(shù)，以構(gòu)建基于云計算的感知和安全網(wǎng)絡。

安全訪問服務邊緣模型特別適合那些大量使用云服務或正在遷移到云平臺的組織。這其中包括分布式組織，例如具有分支機構(gòu)位置和分散最終用戶的組織，以及具有物聯(lián)網(wǎng)和邊緣部署的組織。

不是ZTNA vs.SASE，而是ZTNA和SASE并重

將安全訪問服務邊緣視為比零信任網(wǎng)絡訪問(ZTNA)更高級的設計理念。它們不是孤立的或競爭的網(wǎng)絡安全模型;與其相反，零信任網(wǎng)絡訪問是安全訪問服務邊緣架構(gòu)的一部分。

但是需要注意的是，盡管零信任實施可能是網(wǎng)絡架構(gòu)師的中短期目標，但安全訪問服務邊緣卻是長期目標。很多組織可以決定購買安全訪問服務邊緣服務，然后逐步將其網(wǎng)絡和網(wǎng)絡安全堆棧朝安全訪問服務邊緣模型發(fā)展。隨著設計人員開始更換過時的安全技術(shù)并更好地集成其他的安全技術(shù)，這將需要一些時間。需要注意的是，轉(zhuǎn)移到安全訪問服務邊緣模型需要并啟用確保網(wǎng)絡安全的零信任方法。

當今網(wǎng)絡安全專業(yè)人員的目標是，零信任和安全訪問服務邊緣都是密切關(guān)注并融入前瞻性架構(gòu)決策的趨勢。組織應計劃在短期內(nèi)采用零信任原則，以更好地保護遠程員工訪問基于云計算的服務和內(nèi)部部署服務。與此同時，他們應該從創(chuàng)建支持安全訪問服務邊緣的環(huán)境的角度來查看新的網(wǎng)絡項目。