什么是零信任边缘?

 

零信任边缘是一种安全解决方案,主要通过利用云端安全和网络服务,以零信任访问原则将 Internet 流量连接到远程站点。

 

零信任边缘 (ZTE) 提供更安全的 Internet 入口通道,因为从 Internet 的几乎任何位置都可以访问 ZTE 网络,使用零信任网络访问 (ZTNA) 对连接的用户和设备进行身份验证。

 

Gartner 注意到网络连接和网络安全相互交织得越来越密,于是引入了安全访问服务边缘 (SASE) 的概念,其中部分包括云计算安全云网络服务的融合。SASE 解决方案旨在保护云、数据中心和分支网络边缘,跨越不同的连接提供安全的 SD-WAN 架构。最近,Forrester 在他们的报告“Introducing The Zero Trust Edge Model For Security and Network Services”中介绍了一种较新的 SASE 模式,其中定义了零信任边缘 (ZTE),特别强调了“零信任”部分。

SASE 和 ZTNA 傻瓜指南

SASE 和 ZTNA 傻瓜指南

免费下载 

为什么零信任边缘很重要?

尽管数十年来,企业网络边界一直在衰退,但当全球性的新冠肺炎疫情迫使员工不得不快速在家里设置远程办公室时,这个边界完全消失了。员工在家办公 (WFH) 已成为新常态,企业也在不断寻找新的渠道与客户接洽,包括 Web 和移动应用。

 

由于数量不断膨胀的用户和设备必须连接到企业资源才能执行其工作职能或处理业务,因此安全专业人员越来越多地采用零信任网络连接方法来安全地支持远程员工队伍。

 

因此,大多数企业最初的 ZTE 应用场景是,保护远程员工,同时消除对虚拟专用网络 (VPN) 的需求,VPN 经常因 WFH 人群建立的大量新连接而负担过重。

 

网络连接和安全性的进一步集成由三个主要推动因素推动:

 

  • 安全专业人员要求确定网络上允许的流量是否符合他们严格的安全信任级别,并监控和分析流量以确保符合策略。
  • 网络连接专业人员需要采用 ZTE 策略,并从安全角度执行网络连接,而不是在企业网络上叠加安全团队。
  • 每个客户端和端点都需要安全的 Internet 入口通道,并能够阻止或绕过网络路线中任何位置可能存在的恶意软件

 

零信任边缘有哪些优势?

尽管许多企业已通过使用软件定义的广域网 (SD-WAN) 实现了网络虚拟化,但这种方法无法满足许多较新的安全要求。ZTE 以这种方式将云计算安全性和网络连接结合在一起,带来了一些关键优势,包括:

 

降低风险。由于安全性已融入网络架构,每个连接都受到检查并确保是安全的,因此 IT 专业人员无需担心用户连接的源头、正在使用应用或使用的加密类型(如果有)。每个连接和事务每次都经过身份验证。

 

节省成本。由于 ZTE 通常作为自动化的云交付服务提供,因此 ZTE 网络具有内在的可扩展性。由于它们是 Internet 架构的一部分,因此支持企业的数字化转型,而不受传统体系架构的影响。

 

用户体验增强。网络性能和吞吐量得到了改善,因为入口通道在全球范围内提供,减少了回传需求并降低了延迟。

 

零信任边缘如何运行?

尽管 ZTE 模式设计为云托管或边缘托管的安全堆栈,但许多方面的带宽限制要求堆栈的某些元素留在本地基础架构上。
企业目前可以利用三种 ZTE 方法

  1. 基于供应商运营的网络或第三方网络的云交付服务,有数个到数百个具备 ZTE 功能的入网点 (POP)。这种方法是从“软件即服务”(SaaS) 角度出发的。

  2. ZTE 是 WAN 连接服务的一部分,运营商提供 ZTE 功能以及外包安全。Comcast Enterprise 和 Akami 提供 ZTE 功能,许多 SD-WAN 提供商正在与专注于 ZTE 的安全供应商合作提供产品和服务。尽管选项有许多,但本地部署产品和服务将缺乏云端系统的敏捷性,并且 SD-WAN/ZTE 组合将需要为每个服务配置策略,因此缺乏整体的单一窗口解决方案。

  3. 自主开发方法,仅适用于敏捷性的大型企业,这些企业能够利用云服务提供商的 POP、云托管防火墙和公有云中的其他安全服务构建自己的 ZTE 产品和服务。虽然这种方法非常灵活,但它需要持续监控不断发展的安全组件、云计算服务和 IT 技能,才能创建和管理此类产品和服务。

 

预计 ZTE 将在云端实现最大价值,因为解决方案应基于两个关键的云端原则:

  • 网络和安全管理基于云端,为整个企业中的用户提供一套策略,以及网络连接、防火墙和其他 SD-WAN 功能的管理工具。这将减少错误、提高效率并有助于为多个系统设置相似的策略。

  • 关联网络连接和安全性的监控、管理和分析工具。ZTE 的这一特点可更好地利用链路,帮助发现可能导致安全问题的网络异常,并将整个网络(包括对等城域)纳入监控范围。收集和分析的海量数据非常需要云端解决方案来存储和处理,以实现分析目的。

全面部署后,企业可以集中管理、监控和分析 ZTE 解决方案内的一组安全和网络连接服务,无论它们是云端服务还是托管在远程位置。

 

零信任边缘有哪些挑战?

零信任边缘模式转变而非颠覆了安全和网络连接的传统使用方式。网络安全功能始终处于不断发展的状态,如今已迅速向零信任边缘转变。

 

远程员工安全性问题迫使公司选择了零信任边缘,但要充分发挥该模式的潜力,还面临着重大的挑战,包括:

 

传统应用和服务。支持身份联合的现代 Web 应用在 ZTE 中更容易配置,但这些基于非 Web 协议(尤其是远程访问 RDP/VDI 协议和语音 SIP/VoIP 协议)构建的应用无法轻易集成,因为它们没有标准化,无法在 ZTE 环境中使用。

 

传统网络连接设备。一旦计算机和应用加入 ZTE,IT 必须考虑大量的运维技术 (OT) 和物联网 (IoT) 设备,任何企业都可能有数千台这样的设备。

 

容量。虽然 ZTE 可以解决远程员工的策略性访问问题,但目前还无法取代提供数据中心访问的高容量网络和安全服务。企业可能会选择在过渡到 ZTE 以保护特定企业资产之前先进行云迁移。

 

 

零信任边缘和 SASE 之间有何区别?

Forrester 将 ZTE 定义为对原始 SASE 模式的一种优化,更加关注该模式的“零信任”部分。由于 Internet 在设计之初就没有考虑安全性,所以滋生了一系列恶意软件和不断变化的攻击面。ZTE 选择忽略数十年来应用安全补丁和创可贴保护连接安全的做法,并假设最坏的情况,使用 ZTE 对每个连接进行身份验证,即使端点唯一的 Internet 连接是通过它连接到另一个端点也要验证,从而使用户远离公共 Internet 上的“阴暗面”。

VMware 零信任边缘的相关产品、解决方案和资源

VMware SD-WAN

VMware SD-WAN 不仅仅提供基本功能,还提供了真正完整的 SASE 解决方案以支持企业向云转移。

零信任安全解决方案

利用原生的模块化零信任安全方法获得可见性和控制力,轻松保护整个数字化环境。

Anywhere Workspace 解决方案

使员工能够随时随地开展工作并获得安全顺畅的体验。

2020 Gartner 魔力象限报告

VMware SD-WAN™ by VeloCloud® 继续为 WAN 边缘基础架构市场指明道路。

什么是 SASE?

Secure Access Service Edge (SASE) 是云网络与云安全性相融合的产物,可提供简便性、可扩展性、灵活性和普遍的安全性。

VMware SD-WAN - 企业应用场景

企业面临着带宽成本和网络部署复杂性不断增加的问题。VMware SD-WAN by VeloCloud 化解了这些挑战。