零信任框架如何保障遠(yuǎn)程工作安全

劉詢

我們的生活已經(jīng)被新型冠狀病毒疫情所改變，我們已經(jīng)改變了遠(yuǎn)程工作的方式，不太可能完全回到辦公室，混合工作場(chǎng)所將繼續(xù)存在。

根據(jù)S&P Global在2020年6月發(fā)布的研究顯示，80%的受訪公司已經(jīng)實(shí)施或擴(kuò)大了在家工作政策以應(yīng)對(duì)危機(jī)，67%的公司預(yù)計(jì)這些政策將長(zhǎng)期或永久地保持下去。隨著越來(lái)越多的人繼續(xù)遠(yuǎn)程工作，連接的數(shù)量增加，潛在的攻擊面也在增加。

通過(guò)對(duì)威脅形勢(shì)的分析，以及最近的SolarWinds漏洞發(fā)現(xiàn)，黑客往往能夠獲得廣泛的系統(tǒng)訪問(wèn)。在許多情況下，黑客不受約束地在網(wǎng)絡(luò)中移動(dòng)，建立后門和管理員賬戶。隨著員工的大量連接，他們正在創(chuàng)造一個(gè)黑客的游樂(lè)場(chǎng)，新的、脆弱的端點(diǎn)和接入點(diǎn)被暴露出來(lái)，需要新的框架和工具來(lái)管理這些威脅。

定義SASE和零信任

安全訪問(wèn)服務(wù)邊緣（SASE）是由Gartner研究公司創(chuàng)造的一個(gè)部分，而零信任是由Forrester研究公司創(chuàng)造的，這2個(gè)框架可以幫助保護(hù)我們的員工。

零信任作為一個(gè)概念已經(jīng)存在了至少10年。其最簡(jiǎn)單的形式是不要相信不需要相信的東西，對(duì)于必須信任的東西，要信任但要不斷驗(yàn)證。今天，有許多零信任項(xiàng)目專注于網(wǎng)絡(luò)、用戶、設(shè)備或服務(wù)器。

SASE模式將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全服務(wù)、云訪問(wèn)安全代理（CASB）、防火墻即服務(wù)（FWaaS）以及數(shù)據(jù)丟失保護(hù)（DLP）等結(jié)合在一起，成為一個(gè)支持所有流量、應(yīng)用和用戶的全面、綜合的解決方案。

這一切都與防御性安全策略有關(guān)

SASE和零信任都支持一種新的方法：邊緣的防御性安全策略。該模式要求在服務(wù)邊緣進(jìn)行檢查?！霸撃Ｊ綄⒏鶕?jù)雇員、學(xué)生或承包商的訪問(wèn)來(lái)了解他們的身份。但他們都不在網(wǎng)絡(luò)上，而是根據(jù)他們?cè)诰W(wǎng)絡(luò)拓?fù)渲械奈恢脕?lái)分配信任?！盇kamai首席技術(shù)官兼安全專家Patrick Sullivan說(shuō)。

這樣的代理將允許訪問(wèn)網(wǎng)絡(luò)服務(wù)，無(wú)論它們?cè)谀睦锿泄?，甚至在本地企業(yè)網(wǎng)絡(luò)中托管的服務(wù)。

這種方法有助于隱藏內(nèi)部網(wǎng)絡(luò)應(yīng)用，避免將其擺在互聯(lián)網(wǎng)上，通過(guò)代理提供安全訪問(wèn)。這消除了對(duì)VPN的使用，因?yàn)榫W(wǎng)絡(luò)應(yīng)用可以通過(guò)代理從任何地方以安全的方式單獨(dú)應(yīng)用零信任來(lái)訪問(wèn)。在邊緣部署安全檢查的靈活性意味著，無(wú)論計(jì)算的位置如何轉(zhuǎn)移，都可以在本地邊緣節(jié)點(diǎn)進(jìn)行安全檢查。此外，由于多云是最主要的架構(gòu)，在同質(zhì)化的邊緣部署安全比試圖利用各種云安全供應(yīng)商（CSP）的異質(zhì)化能力設(shè)計(jì)的控制更有意義。

企業(yè)需要有意識(shí)地進(jìn)行這方面的工作

分析師們一致認(rèn)為，有效的安全策略實(shí)施需要時(shí)間、承諾和文化變革，需要對(duì)以下幾點(diǎn)進(jìn)行評(píng)估和考慮。

多層次的安全;

圍繞任何類型的連接的企業(yè)級(jí)安全;

簡(jiǎn)化部署;

可擴(kuò)展性;

提高網(wǎng)絡(luò)性能;

降低運(yùn)營(yíng)開(kāi)銷。

實(shí)施SASE和零信任等安全框架的關(guān)鍵是減少?gòu)?fù)雜性、提高可見(jiàn)性，同時(shí)還要便于管理，它的設(shè)計(jì)重點(diǎn)是保護(hù)公司和員工。人們希望為一個(gè)能給他們提供靈活性和豐富、安全數(shù)字體驗(yàn)的組織工作——做他們最好的工作，并在任何地方完成工作。