从缩写到行动:揭秘 Zero Trust
Zero Trust:这是一个流传已久,似乎永远不会消失的术语。虽然它存在已久,却仍然笼罩着一层神秘感;而 SSE、SASE、SWG、ZTNA、CASB、RBI 等缩略词(无法在此一一列举)让情况变得更加复杂。
�卷入这场风暴中心的企业感到困惑不解,因为众多供应商纷纷宣称自己的 Zero Trust 产品是解决所有安全问题的终极解决方案。但是,正如每一位专家和普通人会告诉的那样,实施 Zero Trust 并不像购买现成产品那么简单。更关键的是选择一种理念。但遗憾的是,对于企业来说,部署这些理念并非易事,最终,公司需要一些技术或解决方案才能实现。而这正是最容易引起困惑、产生混淆的地方。
保护用户
这里将深入浅出地讲解 Zero Trust 的原理。我们会重点介绍 Zero Trust 的真正价值:保护用户。过去,网络用户几乎可以不受限制地访问企业资源,除了需要输入用户名和密码。如果用户凭据或设备被黑客入侵,这可能会成为一个严重的问题。理想情况下,我们应该采取适当措施保护用户及其设备,而不影响生产力。有人说,Zero Trust 就像是用户看不见的气泡膜。这是一个奇怪的类比,但却切中了 Zero Trust 的核心:将增强安全与流畅的用户体验相结合。
这让人想到了 VPN,它经常被人们戏谑地称为网络安全的“继子”。它笨重难用,就像拨号上网时代的回响,只不过没有调制解调器的提示音。启动 VPN 客户端,输入凭据,等待连接,浏览错综复杂的公司内网,然后断开连接以返回到常规互联网。这就像是一场精心排练的舞曲,VPN 探戈。
远程办公的出现迫使 VPN 成为万众瞩目的焦点,其弊端也开始显现。传统企业应用被 SaaS 替代方案取代,因此,VPN 也只能拼命跟上。结果如何?连接瓶颈、速度下降,甚至出现连接故障。VPN 通常通过登录密码验证来保护用户,并提供与本地用户相同的网络访问权限。
结果显而易见。VPN 的权限范围过于宽泛,破坏用户体验,难以与云集成,并且它在可扩展性和泛在接入方面表现欠佳。再叠加上针对脆弱的 VPN 基础设施的 DDoS 攻击威胁,灾难随时可能发生。
进入新时代,“移动办公”的时代。云应用、远程用户和个人设备的爆炸式增长,要求全面改进网络边界安全模型。传统模型,即:基于设备的 VPN 解决方案,根本无法跟上步伐。应采用现代模型,也就是 Zero Trust 网络访问 (ZTNA)。
Zero Trust 理念的实际应用
Zero Trust 背后的理念植根于一个简单的原则:永不信任,始终验证。ZTNA 体现了这种特质,它提供对资源的直接、精细化、上下文感知访问访问,而不提供过于宽泛的网络访问。这带来了颠覆性变革,提供卓越的用户体验、强大的安全性、可见性以及可扩展性,是当今混合办公模式的理想解决方案。
但是,Zero Trust 理念不仅仅涉及远程访问。当然不止于此��。通过安全 Web 网关 (SWG) 和远程浏览器隔离 (RBI),Zero Trust 原则可扩展到互联网浏览器。当然了,还有电子邮件。超过 90% 的网络攻击都源于网络钓鱼邮件。我认为,“永不信任,始终验证”原则应该扩展到电子邮件收件箱,并提供电子邮件网络钓鱼防护。
保护最终用户至关重要,但保护重要的公司数据安全也同样重要。CASB 和 DLP 也是 Zero Trust 体系的组成部分,帮助阻止数据泄露。在 AI 和聊天机器人的时代,这一点比以往任何时候都更加重要。制定、执行和监测数据在网络中的移动方式和位置的策略,也是 Zero Trust 的重要组成部分。随着企业使用软件定义的安全架构重塑网络,Zero Trust 模型的重要性也与日俱增。
如果 Zero Trust 是万能解决方案,为什么不是每个人都认同呢?如果我们立即从头开始构建,Zero Trust 将是毫无疑问的选择。我们会选择一个 Zero Trust 平台,连接选定的 IDP,并立即开始为用户配置 ZTNA 和其他相关工具。但转变并非一蹴而就。通常情况下,这是因为网络团队和安全团队的步调不一致。其他时候则是因为已投入现有 VPN 基础设施的巨额投资会阻碍转型。这种情况下,实施变革甚至可能面临资源短缺的问题。但必须明确的一点是,这些都是解释,而不是正当的理由。
我们知道,安全威胁不仅真实存在,而且正在不断升级。用户暴露在风险之中,时刻担心因误点电子邮件而无意中引发网络攻击。作为安全领导者,我们不应责怪用户,而应承担起保护用户的责任。Zero Trust 模型秉持“永不信任,始终验证”的原则,提供了一种高效、自适应的策略,弥补了传统 VPN 和网络安全措施的不足。采用 Zero Trust 最简单的方法是通过单一平台实现,而不是拼凑来自多个供应商的单点解决方案。采用 Zero Trust 为最终用户和数据提供分层保护,其实并不复杂。在远程办公、SaaS 和 AI 普及的当今时代,采用 Zero Trust 不仅是一种战略选择,而且是必然选择。
信任的基础
面对不断演变的网络安全格局,采用 Zero Trust 安全模型代表着一种关键的范式转变。认识到基于边界的传统防御措施不足以抵御威胁,企业能够获得诸多好处,包括增强数据保护、缩小攻击面,以及增强抵御复杂威胁的能力。采用 Zero Trust 不仅是一种技术选择,也是一项战略要务,它让企业能够保护关键资产,在充满不确定性的世界中建立信任的基础。
Cloudflare 支持企业实施 Zero Trust 并协同使用安全和网络即服务 (SASE) 产品,提供安全性、性能和可靠性于一体的体验。Cloudflare 利用其覆盖全球的网络,提供快速、可靠的互联网连接,无论员工身在何处。由于 Zero Trust 安全方法适用于每一个访问请求,因此,所有流量都必须接受身份验证,保护企业员工和数据免受威胁。凭借 Cloudflare Zero Trust,企业可以使用统一界面来阻止不必要的访问、缓解数据丢失,并掌控一切。无论企业处于数字化转型发展的哪一个阶段,都能获得保护。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
作者
John Engates - @jengates
Cloudflare 现场首席技术官
关键要点
阅读本文后,您将能够了解:
保护用户和数据的要求已经改变
Zero Trust 支持全面的威胁防护
如何建立信任基础并掌控局面