VPN 將死 零信任已來(lái)？

■ 云南 張銳

編者按：VPN 確保了企業(yè)員工之間的異地通信的便捷和高效，但如今VPN 也面臨來(lái)自安全方面的挑戰(zhàn)。特別是零信任理念誕生以來(lái)，經(jīng)過多年的實(shí)踐，很多人都非?？春昧阈湃蔚陌l(fā)展。那么面對(duì)新技術(shù)的挑戰(zhàn)，VPN 將會(huì)如何發(fā)展？零信任又將如何從根本上解決用戶的安全挑戰(zhàn)？本文將一一解析。

VPN 自誕生以來(lái)為遠(yuǎn)程工作者提供了連接企業(yè)網(wǎng)絡(luò)的安全通道。但隨著企業(yè)遷移到更靈活、更精細(xì)的零信任安全框架，VPN 面臨被替代的可能。許多人認(rèn)為，零信任框架更適合當(dāng)今的數(shù)字業(yè)務(wù)世界。

VPN 是基于網(wǎng)絡(luò)邊界概念的安全策略的一部分——受信任的員工在內(nèi)部，不受信任的員工被隔離在外部。但是，該模型已不再適用于現(xiàn)代業(yè)務(wù)環(huán)境，在該環(huán)境中，使用各種移動(dòng)設(shè)備的員工可以從各種內(nèi)部或外部位置訪問網(wǎng)絡(luò)，并且企業(yè)資產(chǎn)也由企業(yè)數(shù)據(jù)中心轉(zhuǎn)移到了多云環(huán)境中。

Gartner 預(yù)測(cè)，到2023年將有60%的企業(yè)摒棄VPN，并采用零信任網(wǎng)絡(luò)訪問。零信任網(wǎng)絡(luò)訪問可以采取網(wǎng)關(guān)或代理形式，在允許基于角色的上下文感知之前對(duì)設(shè)備和用戶進(jìn)行身份驗(yàn)證訪問。

與眾多安全設(shè)備及模型的缺陷類似。VPN 無(wú)法解決內(nèi)部攻擊。對(duì)于供應(yīng)商、第三方和供應(yīng)鏈合作伙伴而言，VPN在這一方面表現(xiàn)得并不夠好。如果攻擊者竊取了某人的VPN 憑據(jù)，那么攻擊者可以在內(nèi)網(wǎng)暢通無(wú)阻。另外，隨著時(shí)間的推移，當(dāng)前的VPN 已變得尤為復(fù)雜且難以管理。目前很多用戶表示為VPN 的安全而抓狂。

關(guān)注當(dāng)前企業(yè)安全狀況的人都知道，我們目前面臨的安全形勢(shì)已經(jīng)越來(lái)越嚴(yán)峻。Forrester 首席分析師Chase Cunningham 甚至認(rèn)為，目前基于邊界的安全模型已經(jīng)徹底失敗了。并不是因?yàn)槿狈?chuàng)新或缺乏投資，而是因?yàn)閭鹘y(tǒng)安全模型是建立在并不牢固的基礎(chǔ)之上的。一旦安全防護(hù)體系出現(xiàn)一處短板，整個(gè)體系都將可能崩塌。

Palo Alto Networks 的分析師Jon Kindervag 在2009 年提出零信任安全框架以來(lái)，零信任理念已經(jīng)開始為越來(lái)越多人所接納。該理念很簡(jiǎn)單：持續(xù)驗(yàn)證，永不信任，并強(qiáng)制執(zhí)行嚴(yán)格的訪問控制和身份管理策略，以限制員工訪問其工作所需的資源，僅此而已。

零信任不是某一項(xiàng)產(chǎn)品或技術(shù)，而是對(duì)安全性的另一種思考方式。很多人仍然停留在表層含義上，客戶也常因供應(yīng)商在其含義上的不一致而感到困惑。但是也有安全人員認(rèn)為，零信任有可能從根本上改變傳統(tǒng)安全的方式。

安全廠商開始擁抱零信任

盡管零信任理念及其框架已經(jīng)誕生有10 年了，并且在業(yè)界引起了很大反響，但是直到最近一年左右，在企業(yè)側(cè)才開始興起。根據(jù)451 Group 近期的一項(xiàng)調(diào)查，只有大約13%的企業(yè)開啟了零信任之路。這一比例似乎并不高，其中的一個(gè)關(guān)鍵原因是供應(yīng)商的步伐緩慢。

零信任的成功典范可以追溯到2014 年，當(dāng)時(shí)Google宣布了其BeyondCorp 安全模型。Google 花了無(wú)數(shù)的時(shí)間和金錢來(lái)建立起自己的零信任方案，但不是每個(gè)企業(yè)都是Google，巨額的投入使它們難以效仿Google 的先例。

如今零信任越來(lái)越受到關(guān)注，技術(shù)的進(jìn)步終于趕上了當(dāng)初美好的愿景。5 至7年前，企業(yè)還沒有辦法能夠?qū)崿F(xiàn)零信任的方法，而現(xiàn)在它們開始看到了可能。

供應(yīng)商的壯大可以說(shuō)從各個(gè)方面支持了零信任的發(fā)展。例如，在最新Forrester Wave 報(bào)告中的zero-trust eXtended Ecosystem（ZTX）就提到包括了像Palo Alto Networks、Akamai、Okta、Symantec、Illumio和Centrify 這樣的各類廠家。并且思科、微軟和Vmware 也都提供零信任產(chǎn)品。在國(guó)內(nèi)，也有部分安全廠商開始對(duì)零信任開展研究實(shí)踐。

因此，已經(jīng)投入了大量人力和物力用于建立和加強(qiáng)傳統(tǒng)網(wǎng)絡(luò)安全體系的企業(yè)，面對(duì)一種全新的安全模型時(shí)，能否做到將所有人（無(wú)論是企業(yè)高管還是普通員工，或是第三方供應(yīng)商）都視為同等信任？這是個(gè)不小的挑戰(zhàn)。

如何開展零信任安全模型

第一個(gè)也是最重要的建議是從小處開始，逐漸積累而非一步到位。安全專家建議，首先可以選擇從第三方供應(yīng)商開始，找到一種將其與自身網(wǎng)絡(luò)相隔離的方法。

Gartner 確定了三種新興的零信任用例：針對(duì)供應(yīng)鏈合作伙伴的新移動(dòng)應(yīng)用程序、云遷移方案和針對(duì)軟件開發(fā)人員的訪問控制。

剛剛被Okta 收購(gòu)的Workiva 公司實(shí)施的針對(duì)DevOps 和IT 運(yùn)營(yíng)團(tuán)隊(duì)的訪問控制，使該公司可以通過云訪問特定的開發(fā)和模擬環(huán)境實(shí)例。Workiva 公司放棄了傳統(tǒng)的VPN 方案，轉(zhuǎn)而使用ScaleFT 的零信任訪問控制。

改造之后，當(dāng)公司的新員工拿起筆記本電腦時(shí)，該設(shè)備需要得到管理員的明確授權(quán)。為了訪問網(wǎng)絡(luò)，員工需要連接到中心網(wǎng)關(guān)，該中心網(wǎng)關(guān)部署了適當(dāng)?shù)纳矸莺驮L問管理策略。

如今零信任已經(jīng)不再是一個(gè)概念，而是已經(jīng)實(shí)實(shí)在在得到了落地應(yīng)用。而這一過程——在企業(yè)級(jí)解決方案問世之前，業(yè)界花費(fèi)了近10年的時(shí)間。

供應(yīng)商正圍繞兩個(gè)方向進(jìn)行整合：以網(wǎng)絡(luò)為中心的團(tuán)隊(duì)更加關(guān)注網(wǎng)絡(luò)分段和應(yīng)用感知防火墻，而以身份為中心的團(tuán)隊(duì)則傾向于網(wǎng)絡(luò)訪問控制和身份管理。

托管服務(wù)提供商FNTS 公司采取了以網(wǎng)絡(luò)為中心的改造路線，通過Palo Alto Networks 的零信任安全堆棧對(duì)其基礎(chǔ)架構(gòu)進(jìn)行了大幅改造，最終從根本上建立起公司云服務(wù)平臺(tái)的下一代版本，以便可以擴(kuò)展到多云環(huán)境。

零信任使企業(yè)能夠更精細(xì)地執(zhí)行員工每天的工作。零信任方案的成功部署需要充分了解員工角色，以確定員工完成工作所需的資產(chǎn)和應(yīng)用，以及監(jiān)視員工在網(wǎng)絡(luò)上的行為。

FNTS 公司從非關(guān)鍵應(yīng)用的有限部署開始，然后慢慢擴(kuò)展，并還需要從公司的業(yè)務(wù)部門那里獲得支持。FNTS公司也顯示出，部署零信任架構(gòu)不是完全由技術(shù)決定，而是企業(yè)業(yè)務(wù)戰(zhàn)略的一部分。

Entegrus 公司同樣致力于實(shí)現(xiàn)零信任，但其方法是以網(wǎng)絡(luò)訪問控制為中心。由于大型企業(yè)業(yè)務(wù)遍布世界各個(gè)地區(qū)，每個(gè)區(qū)域的員工都擁有多個(gè)設(shè)備，因此，企業(yè)網(wǎng)絡(luò)的攻擊面非常廣泛且脆弱，需要特別加以保護(hù)。

Entegrus 公司因業(yè)務(wù)的需要，開始重建自己的網(wǎng)絡(luò)。這也使得它能夠有機(jī)會(huì)嘗試零信任方案。該公司通過與PulseSecure 合作，部署了基于零信任的遠(yuǎn)程訪問和網(wǎng)絡(luò)訪問控制工具。最終做到安全產(chǎn)品和業(yè)務(wù)系統(tǒng)的無(wú)縫對(duì)接，公司可以在員工連接到網(wǎng)絡(luò)時(shí)應(yīng)用這一策略。

Entegrus 公司采用了一種分階段部署的方法，首先需要在實(shí)驗(yàn)室環(huán)境中進(jìn)行試點(diǎn)項(xiàng)目并進(jìn)行不斷調(diào)整，然后再進(jìn)行現(xiàn)場(chǎng)部署。這其中的關(guān)鍵是確保零信任基礎(chǔ)架構(gòu)對(duì)員工而言是無(wú)縫的。

對(duì)某些大型企業(yè)而言，零信任更多地是關(guān)于智能業(yè)務(wù)流程和數(shù)據(jù)流以及業(yè)務(wù)需求，而不僅僅是使用諸如防火墻和網(wǎng)絡(luò)分段這樣的安全產(chǎn)品。實(shí)際上，零信任更多的是動(dòng)態(tài)響應(yīng)不斷變化的環(huán)境。

當(dāng)然，企業(yè)放棄傳統(tǒng)安全架構(gòu)而過渡到零信任，會(huì)帶來(lái)一定程度的不適應(yīng)。但相較而言，承受短暫的痛苦總歸是好過將來(lái)忍受長(zhǎng)期無(wú)處不在的安全威脅。

零信任：為未知的、永無(wú)止境的安全未來(lái)做準(zhǔn)備

對(duì)于考慮零信任理念的任何人或企業(yè)來(lái)說(shuō)，這里有兩個(gè)關(guān)鍵要點(diǎn)要注意。首先，當(dāng)前并沒有零信任部署路線圖，也沒有相關(guān)的行業(yè)標(biāo)準(zhǔn)作參考——至少目前還沒有。您需要“摸著石頭過河”。

正因如此，沒有一個(gè)單一的策略，您可以盡可能地去嘗試，充分發(fā)揮自己的創(chuàng)造力，以最小的阻力為您實(shí)現(xiàn)最大的控制力和可視性。

再者，安全發(fā)展永無(wú)止境。零信任同樣是一個(gè)持續(xù)不斷的過程，以幫助企業(yè)應(yīng)對(duì)不斷變化的業(yè)務(wù)狀況。