■ 云南 張銳
編者按:VPN 確保了企業(yè)員工之間的異地通信的便捷和高效,但如今VPN 也面臨來(lái)自安全方面的挑戰(zhàn)。特別是零信任理念誕生以來(lái),經(jīng)過多年的實(shí)踐,很多人都非??春昧阈湃蔚陌l(fā)展。那么面對(duì)新技術(shù)的挑戰(zhàn),VPN 將會(huì)如何發(fā)展?零信任又將如何從根本上解決用戶的安全挑戰(zhàn)?本文將一一解析。
VPN 自誕生以來(lái)為遠(yuǎn)程工作者提供了連接企業(yè)網(wǎng)絡(luò)的安全通道。但隨著企業(yè)遷移到更靈活、更精細(xì)的零信任安全框架,VPN 面臨被替代的可能。許多人認(rèn)為,零信任框架更適合當(dāng)今的數(shù)字業(yè)務(wù)世界。
VPN 是基于網(wǎng)絡(luò)邊界概念的安全策略的一部分——受信任的員工在內(nèi)部,不受信任的員工被隔離在外部。但是,該模型已不再適用于現(xiàn)代業(yè)務(wù)環(huán)境,在該環(huán)境中,使用各種移動(dòng)設(shè)備的員工可以從各種內(nèi)部或外部位置訪問網(wǎng)絡(luò),并且企業(yè)資產(chǎn)也由企業(yè)數(shù)據(jù)中心轉(zhuǎn)移到了多云環(huán)境中。
Gartner 預(yù)測(cè),到2023年將有60%的企業(yè)摒棄VPN,并采用零信任網(wǎng)絡(luò)訪問。零信任網(wǎng)絡(luò)訪問可以采取網(wǎng)關(guān)或代理形式,在允許基于角色的上下文感知之前對(duì)設(shè)備和用戶進(jìn)行身份驗(yàn)證訪問。
與眾多安全設(shè)備及模型的缺陷類似。VPN 無(wú)法解決內(nèi)部攻擊。對(duì)于供應(yīng)商、第三方和供應(yīng)鏈合作伙伴而言,VPN在這一方面表現(xiàn)得并不夠好。如果攻擊者竊取了某人的VPN 憑據(jù),那么攻擊者可以在內(nèi)網(wǎng)暢通無(wú)阻。另外,隨著時(shí)間的推移,當(dāng)前的VPN 已變得尤為復(fù)雜且難以管理。目前很多用戶表示為VPN 的安全而抓狂。
關(guān)注當(dāng)前企業(yè)安全狀況的人都知道,我們目前面臨的安全形勢(shì)已經(jīng)越來(lái)越嚴(yán)峻。Forrester 首席分析師Chase Cunningham 甚至認(rèn)為,目前基于邊界的安全模型已經(jīng)徹底失敗了。并不是因?yàn)槿狈?chuàng)新或缺乏投資,而是因?yàn)閭鹘y(tǒng)安全模型是建立在并不牢固的基礎(chǔ)之上的。一旦安全防護(hù)體系出現(xiàn)一處短板,整個(gè)體系都將可能崩塌。
Palo Alto Networks 的分析師Jon Kindervag 在2009 年提出零信任安全框架以來(lái),零信任理念已經(jīng)開始為越來(lái)越多人所接納。該理念很簡(jiǎn)單:持續(xù)驗(yàn)證,永不信任,并強(qiáng)制執(zhí)行嚴(yán)格的訪問控制和身份管理策略,以限制員工訪問其工作所需的資源,僅此而已。
零信任不是某一項(xiàng)產(chǎn)品或技術(shù),而是對(duì)安全性的另一種思考方式。很多人仍然停留在表層含義上,客戶也常因供應(yīng)商在其含義上的不一致而感到困惑。但是也有安全人員認(rèn)為,零信任有可能從根本上改變傳統(tǒng)安全的方式。
盡管零信任理念及其框架已經(jīng)誕生有10 年了,并且在業(yè)界引起了很大反響,但是直到最近一年左右,在企業(yè)側(cè)才開始興起。根據(jù)451 Group 近期的一項(xiàng)調(diào)查,只有大約13%的企業(yè)開啟了零信任之路。這一比例似乎并不高,其中的一個(gè)關(guān)鍵原因是供應(yīng)商的步伐緩慢。
零信任的成功典范可以追溯到2014 年,當(dāng)時(shí)Google宣布了其BeyondCorp 安全模型。Google 花了無(wú)數(shù)的時(shí)間和金錢來(lái)建立起自己的零信任方案,但不是每個(gè)企業(yè)都是Google,巨額的投入使它們難以效仿Google 的先例。
如今零信任越來(lái)越受到關(guān)注,技術(shù)的進(jìn)步終于趕上了當(dāng)初美好的愿景。5 至7年前,企業(yè)還沒有辦法能夠?qū)崿F(xiàn)零信任的方法,而現(xiàn)在它們開始看到了可能。
供應(yīng)商的壯大可以說(shuō)從各個(gè)方面支持了零信任的發(fā)展。例如,在最新Forrester Wave 報(bào)告中的zero-trust eXtended Ecosystem(ZTX)就提到包括了像Palo Alto Networks、Akamai、Okta、Symantec、Illumio和Centrify 這樣的各類廠家。并且思科、微軟和Vmware 也都提供零信任產(chǎn)品。在國(guó)內(nèi),也有部分安全廠商開始對(duì)零信任開展研究實(shí)踐。
因此,已經(jīng)投入了大量人力和物力用于建立和加強(qiáng)傳統(tǒng)網(wǎng)絡(luò)安全體系的企業(yè),面對(duì)一種全新的安全模型時(shí),能否做到將所有人(無(wú)論是企業(yè)高管還是普通員工,或是第三方供應(yīng)商)都視為同等信任?這是個(gè)不小的挑戰(zhàn)。
第一個(gè)也是最重要的建議是從小處開始,逐漸積累而非一步到位。安全專家建議,首先可以選擇從第三方供應(yīng)商開始,找到一種將其與自身網(wǎng)絡(luò)相隔離的方法。
Gartner 確定了三種新興的零信任用例:針對(duì)供應(yīng)鏈合作伙伴的新移動(dòng)應(yīng)用程序、云遷移方案和針對(duì)軟件開發(fā)人員的訪問控制。
剛剛被Okta 收購(gòu)的Workiva 公司實(shí)施的針對(duì)DevOps 和IT 運(yùn)營(yíng)團(tuán)隊(duì)的訪問控制,使該公司可以通過云訪問特定的開發(fā)和模擬環(huán)境實(shí)例。Workiva 公司放棄了傳統(tǒng)的VPN 方案,轉(zhuǎn)而使用ScaleFT 的零信任訪問控制。
改造之后,當(dāng)公司的新員工拿起筆記本電腦時(shí),該設(shè)備需要得到管理員的明確授權(quán)。為了訪問網(wǎng)絡(luò),員工需要連接到中心網(wǎng)關(guān),該中心網(wǎng)關(guān)部署了適當(dāng)?shù)纳矸莺驮L問管理策略。
如今零信任已經(jīng)不再是一個(gè)概念,而是已經(jīng)實(shí)實(shí)在在得到了落地應(yīng)用。而這一過程——在企業(yè)級(jí)解決方案問世之前,業(yè)界花費(fèi)了近10年的時(shí)間。
供應(yīng)商正圍繞兩個(gè)方向進(jìn)行整合:以網(wǎng)絡(luò)為中心的團(tuán)隊(duì)更加關(guān)注網(wǎng)絡(luò)分段和應(yīng)用感知防火墻,而以身份為中心的團(tuán)隊(duì)則傾向于網(wǎng)絡(luò)訪問控制和身份管理。
托管服務(wù)提供商FNTS 公司采取了以網(wǎng)絡(luò)為中心的改造路線,通過Palo Alto Networks 的零信任安全堆棧對(duì)其基礎(chǔ)架構(gòu)進(jìn)行了大幅改造,最終從根本上建立起公司云服務(wù)平臺(tái)的下一代版本,以便可以擴(kuò)展到多云環(huán)境。
零信任使企業(yè)能夠更精細(xì)地執(zhí)行員工每天的工作。零信任方案的成功部署需要充分了解員工角色,以確定員工完成工作所需的資產(chǎn)和應(yīng)用,以及監(jiān)視員工在網(wǎng)絡(luò)上的行為。
FNTS 公司從非關(guān)鍵應(yīng)用的有限部署開始,然后慢慢擴(kuò)展,并還需要從公司的業(yè)務(wù)部門那里獲得支持。FNTS公司也顯示出,部署零信任架構(gòu)不是完全由技術(shù)決定,而是企業(yè)業(yè)務(wù)戰(zhàn)略的一部分。
Entegrus 公司同樣致力于實(shí)現(xiàn)零信任,但其方法是以網(wǎng)絡(luò)訪問控制為中心。由于大型企業(yè)業(yè)務(wù)遍布世界各個(gè)地區(qū),每個(gè)區(qū)域的員工都擁有多個(gè)設(shè)備,因此,企業(yè)網(wǎng)絡(luò)的攻擊面非常廣泛且脆弱,需要特別加以保護(hù)。
Entegrus 公司因業(yè)務(wù)的需要,開始重建自己的網(wǎng)絡(luò)。這也使得它能夠有機(jī)會(huì)嘗試零信任方案。該公司通過與PulseSecure 合作,部署了基于零信任的遠(yuǎn)程訪問和網(wǎng)絡(luò)訪問控制工具。最終做到安全產(chǎn)品和業(yè)務(wù)系統(tǒng)的無(wú)縫對(duì)接,公司可以在員工連接到網(wǎng)絡(luò)時(shí)應(yīng)用這一策略。
Entegrus 公司采用了一種分階段部署的方法,首先需要在實(shí)驗(yàn)室環(huán)境中進(jìn)行試點(diǎn)項(xiàng)目并進(jìn)行不斷調(diào)整,然后再進(jìn)行現(xiàn)場(chǎng)部署。這其中的關(guān)鍵是確保零信任基礎(chǔ)架構(gòu)對(duì)員工而言是無(wú)縫的。
對(duì)某些大型企業(yè)而言,零信任更多地是關(guān)于智能業(yè)務(wù)流程和數(shù)據(jù)流以及業(yè)務(wù)需求,而不僅僅是使用諸如防火墻和網(wǎng)絡(luò)分段這樣的安全產(chǎn)品。實(shí)際上,零信任更多的是動(dòng)態(tài)響應(yīng)不斷變化的環(huán)境。
當(dāng)然,企業(yè)放棄傳統(tǒng)安全架構(gòu)而過渡到零信任,會(huì)帶來(lái)一定程度的不適應(yīng)。但相較而言,承受短暫的痛苦總歸是好過將來(lái)忍受長(zhǎng)期無(wú)處不在的安全威脅。
對(duì)于考慮零信任理念的任何人或企業(yè)來(lái)說(shuō),這里有兩個(gè)關(guān)鍵要點(diǎn)要注意。首先,當(dāng)前并沒有零信任部署路線圖,也沒有相關(guān)的行業(yè)標(biāo)準(zhǔn)作參考——至少目前還沒有。您需要“摸著石頭過河”。
正因如此,沒有一個(gè)單一的策略,您可以盡可能地去嘗試,充分發(fā)揮自己的創(chuàng)造力,以最小的阻力為您實(shí)現(xiàn)最大的控制力和可視性。
再者,安全發(fā)展永無(wú)止境。零信任同樣是一個(gè)持續(xù)不斷的過程,以幫助企業(yè)應(yīng)對(duì)不斷變化的業(yè)務(wù)狀況。