無論是零信任還是SASE，都是幫助企業(yè)迎接一個全新的挑戰(zhàn)：下一代企業(yè)網(wǎng)絡將與互聯(lián)網(wǎng)“與狼共舞“，讓所有流量路由到本地防火墻或數(shù)據(jù)中心的帝國防御模式已經(jīng)崩塌。

SASE（安全訪問服務邊緣）和ZTNA是近年來最具影響力的兩個顛覆性的網(wǎng)絡安全模型。

在全球性的遠程辦公大潮中，傳統(tǒng)的企業(yè)網(wǎng)絡“邊界”徹底消失，提供遠程訪問和安全服務的SASE模型以及零信任可以幫助企業(yè)重新定義網(wǎng)絡和邊界防御。但是，SASE和ZNTA兩大架構(gòu)之間有何關(guān)聯(lián)？如何協(xié)同演進？依然是數(shù)字化轉(zhuǎn)型企業(yè)當下最為關(guān)心的問題之一，以下我們嘗試從幾個方面進行解讀：

零信任：身份驅(qū)動的安全范型轉(zhuǎn)移

隨著網(wǎng)絡應用程序和資源遷移到云端，傳統(tǒng)網(wǎng)絡邊界消失，企業(yè)數(shù)字化轉(zhuǎn)型實施，傳統(tǒng)防火墻、安全網(wǎng)關(guān)、VPN和代理暴露出很多安全漏洞和短板，零信任已經(jīng)成為企業(yè)用戶的關(guān)注焦點。

ZTNA（零信任網(wǎng)絡架構(gòu)）是面對數(shù)字化轉(zhuǎn)型新業(yè)務場景，克服傳統(tǒng)基于邊界的安全方案弊端的一次重大范型轉(zhuǎn)移，其本質(zhì)是一次（身份管理）安全范型的轉(zhuǎn)移或者變革。零信任前有多種流派，比如Forrester的ZTX、Google的BeyondCorp、Gartner提出的CARTA，但是無論哪一種方案實現(xiàn)，更細粒度、更可靠和更具新業(yè)務適應性的身份管理都是其中最新不變的安全需求。

零信任已被吹捧為未來十年網(wǎng)絡安全的大勢所趨。但是直到最近，尤其是Google BeyondCorp等零信任方案產(chǎn)品化后，零信任才開始作為可用于生產(chǎn)環(huán)境的實用企業(yè)安全框架受到關(guān)注。

零信任的發(fā)展歷程圖表來源：聯(lián)軟科技

2020年新冠疫情大流行影響了不少企業(yè)的數(shù)字化轉(zhuǎn)型計劃，但卻極大刺激了對零信任的關(guān)注和應用。因為隨著遠程辦公成為新常態(tài)，企業(yè)員工和資產(chǎn)暴露的攻擊面快速增長，面臨網(wǎng)絡攻擊的風險飆升。上半年報告的攻擊數(shù)量飆升已經(jīng)說明了一切。

零信任提供了一種全面而靈活的方法來保護IT基礎(chǔ)架構(gòu)，應用程序和數(shù)據(jù)。

將基于零信任策略的安全性應用于用戶交互時，企業(yè)可以減少其網(wǎng)絡攻擊面。每個人和系統(tǒng)都經(jīng)過身份驗證，僅能有限地訪問他們被授權(quán)使用的應用程序，數(shù)據(jù)和資源。在大多數(shù)情況下，零信任的安全決策在端點實施，但在云中定義和管理。訪問策略可以細化，以根據(jù)IT資源、會話數(shù)據(jù)、身份驗證和許多其他因素在訪問邊緣做出安全決策。

SASE與零信任不謀而合

SASE是一個相對較新的概念，是Gartner在2019年末的報告《網(wǎng)絡安全的未來在云端》中提出的安全模型，其基本思想是將已經(jīng)建立的網(wǎng)絡安全服務堆棧從基于數(shù)據(jù)中心的中心化架構(gòu)，轉(zhuǎn)變?yōu)閷⑸矸莨芾怼跋鲁痢钡浇K端設備的設計，從而使安全架構(gòu)能夠更好地支持邊緣計算和混合云等數(shù)字化轉(zhuǎn)型新場景中的動態(tài)服務、軟件即服務（SaaS）以及分布式數(shù)據(jù)處理等新業(yè)務。

零信任安全架構(gòu)與SASE的基于邊緣的安全方法目標完全一致，可以使用SASE框架執(zhí)行。在這里，我們有必要回顧一下二者的基本概念和原則。

零信任網(wǎng)絡訪問（ZTNA）是一種安全架構(gòu)，其核心構(gòu)想通過權(quán)限最小化原則來保護網(wǎng)絡免受高級威脅的攻擊。

傳統(tǒng)網(wǎng)絡環(huán)境將企業(yè)內(nèi)部網(wǎng)絡定義為“可信區(qū)域”，這個區(qū)域內(nèi)部的所有計算資源可以互相通信，沒有做到權(quán)限最小化原則。一旦有外部黑客攻入內(nèi)網(wǎng)，或是企業(yè)內(nèi)部人員想要惡意破壞，就可以在“可信區(qū)域”內(nèi)“橫向移動”，對企業(yè)計算資源進行大肆攻擊和破壞。

零信任解決方案包括可以添加到現(xiàn)有VPN和網(wǎng)絡中的微隔離工具（例如，應用程序隔離）以及其他技術(shù)（例如SDP）。這些技術(shù)控制網(wǎng)絡內(nèi)部的橫向移動，通過將遠程和內(nèi)部應用程序的訪范圍限制在真正需要的內(nèi)容來防止攻擊。

SASE則代表了企業(yè)網(wǎng)絡及安全體系結(jié)構(gòu)的融合趨勢，它適用于當今不斷變化的（分布式遠程）云計算工作環(huán)境，將安全性和網(wǎng)絡融合在一起，適用于任何類型的端點，企業(yè)無需在設備上放置代理，連接到VPN并將所有流量重新路由到云端，SASE為每個單獨的設備帶來安全性，這與零信任的“細粒度“安全控制目標顯然是一致的。

例如，零信任Web瀏覽假定所有網(wǎng)站都不安全，因此不允許它們與用戶端點上安裝的瀏覽器軟件自由交互。在此情況下，SASE框架著重介紹了一種稱為遠程瀏覽器隔離（RBI）的技術(shù)。這是一種安全功能，其假設和原則與“零信任”一致：不信任來自Web的任何內(nèi)容，并且懷疑所有網(wǎng)站代碼、活動和下載內(nèi)容。通過RBI，所有用戶的Web瀏覽都可以在云中的虛擬瀏覽器中遠程進行，只有安全的渲染信息才能從網(wǎng)站發(fā)送到設備的瀏覽器，從而提供安全，完全交互，無縫的用戶體驗。

零信任是目標，SASE是路徑

為了了解SASE如何實現(xiàn)零信任安全模型的方法，需要對Gartner的愿景進行更深入的解讀。在對SASE模型的介紹中，Gartner列出了可以構(gòu)成SASE平臺的許多功能和元素-網(wǎng)絡即服務技術(shù)（例如SD-WAN、CDN和WAN優(yōu)化）以及網(wǎng)絡安全服務（例如云）SWG、VPN、NGFW、ZTNA、云訪問安全代理（CASB）和RBI。作為SASE的各個組件，這些組件現(xiàn)已上市，并且在不同程度上已為很多組織所使用。Gartner的SASE愿景是，這些解決方案的發(fā)展趨勢是整合到一個集成的，易于使用的全球云交付平臺中。

通過將網(wǎng)絡基礎(chǔ)結(jié)構(gòu)功能與網(wǎng)絡安全功能集成在一起，SASE可以在所有網(wǎng)絡連接點和端點上實施安全控制。SASE解決方案結(jié)合了核心連通性和安全策略功能，提供控件，可在請求的用戶和IT資源（數(shù)據(jù)庫、應用程序等）之間（無論它們是否位于企業(yè)網(wǎng)絡中）在線做出訪問策略和數(shù)據(jù)使用決策，這些都與零信任的訴求和目標一致。

SASE極大地提高了網(wǎng)絡安全性，而且如果實施正確，對用戶的影響也可降至最低。SASE解決方案能為IT員工提供整個組織網(wǎng)絡和應用程序中每個用戶訪問的完全控制權(quán)和可見性。集成的，持續(xù)的流量檢查和分析以及動態(tài)的安全策略執(zhí)行功能，使SASE成為改變數(shù)字化轉(zhuǎn)型計劃的推動者，同時也是零信任架構(gòu)的理想載體和路徑。

SASE已經(jīng)啟程

Gartner預計，到2024年，至少有40％的企業(yè)將制定SASE應用戰(zhàn)略。由于供應商仍在開發(fā)其集成的基于云的SASE平臺，因此早期采用者需要保持其SASE早期方案或準備工作的靈活性。

首先，您可以從重新評估組織的網(wǎng)絡架構(gòu)開始，并確保網(wǎng)絡安全從一開始就融入架構(gòu)，正確的體系結(jié)構(gòu)設計對于建立強大、適應性強的架構(gòu)至關(guān)重要。

其次，SASE和零信任是一種進化，企業(yè)可以循序漸進，零信任可以從MFA、SSO等做起，同樣地，企業(yè)也可以在現(xiàn)有的網(wǎng)絡基礎(chǔ)架構(gòu)中添加和補充安全功能來快速獲得SASE能力。例如，升級NGFW和VPN以添加“零信任”網(wǎng)絡訪問功能或者添加RBI以將零信任Web瀏覽帶入您的企業(yè)。

最后，您可以通過逐步減少硬件依賴性來向SASE遷徙。云原生應用程序、Web訪問和安全解決方案除了可與傳統(tǒng)網(wǎng)絡一起使用外，還為分布式架構(gòu)奠定了基礎(chǔ)。選擇適合的路線圖和過渡解決方案，可以幫助你的企業(yè)成為真正的“零信任企業(yè)“。
責任編輯:pj