“零信任”时代,VPN将被取代

2020-01-21 08:24:35 文/安全牛 作者/ 安全牛

现代互联网上,威胁来自任意位置,任何设备或被盗用户凭证都有可能被用作入侵网络的支点。零信任方法不仅仅依赖加密和凭证,能够最小化风险并改善安全态势。SDP超越了仅仅假装硬边界仍存在的虚幻假象。

虚拟专用网(VPN)面世二十多年,为我们提供了加密的安全通信信道与数据传输渠道。虽然VPN类型很多,比如常见的SSL VPN和IPSec,但无论实现方式如何,其基本理念都是一样的:创建安全IP传输隧道,以加密访问的方式保障数据安全。

软件定义边界(SDP)的概念相对较新,出现于2013年,最初受云安全联盟(CSA)指导。SDP模型没有默认信任假设,不会因为采用了传输层安全(TLS)就认为加密隧道是安全的,所以很多供应商在与SDP相关的产品上采用了“零信任”这一术语。

典型SDP架构中,每个连接要经过多点验证和检查,以帮助保障真实性和限制风险。通常,SDP模型中设置有定义资源访问策略的控制器,规定哪些客户端可以连接并访问不同资源。网关组件则帮助导引流量到正确的数据中心或云资源。最后,设备和服务可使用SDP客户端通过控制器连接并请求资源。有些SDP实现是无客户端式的。

SDP vs.VPN

构建并部署VPN的基本前提就是存在企业边界,表面上受到IDS/IPS和防火墙等边界安全设备保护。远程用户或商业合作伙伴可通过VPN隧道穿透企业网络边界,访问企业内部资源,即使不在企业内部也能享有本地访问权限。

然而,现代IT企业的现实是边界已不复存在,员工、承包商和合作伙伴遍布全世界,在本地、远程和云端完成作业。这就是促使SDP诞生的环境及其将要解决的问题。

VPN今天仍广泛使用,适应特定类型的远程访问和移动员工需求,但这需要某种程度的隐式或显式信任。企业网络信任拥有正确VPN凭证的人,认为拥有这些凭证就应赋予访问权限。但若该VPN用户恰好是恶意用户或盗取了凭证的未授权用户,那就成问题了,而且是VPN无法妥善解决的固有问题。

而SDP或零信任模型可用在现代无边界企业中,帮助守护远程、移动和云用户,以及企业工作负载。SDP不仅仅意味着拥有安全通信隧道,而且提供验证与授权。SDP并没有仅仅信任某隧道是安全的,而是设置了各项检查以验证身份,用健壮的策略授予权限,以隔离策略限制访问,并安排了多个控制点层层保护。

大中小型企业纷纷开始采用零信任安全技术,这是一种趋势。公司企业想要减小风险、最小化潜在攻击界面,拥有更多控制点就成了关键。安全人员也常建议企业尽量控制特权用户数量,基于最小权限原则授权。与其简单赋予VPN用户完全本地访问权,系统管理员应根据策略和设备授权限制访问,这是零信任模型的核心特征。

架构良好的零信任解决方案还可提供潜在的开销削减,无需添置实体设备或客户端代理。

用例

对商业用户而言,VPN是比较熟悉的远程访问概念,近期内这种情况不太可能发生很大变化。访问公司内本地文件共享,甚或是访问公司打印机这么简单的操作,使用VPN在未来两三年内仍不失为理想选择。但随着越来越多的业务迁至SDP,即便是简单的打印机访问也将纳入覆盖范围。

在公司内部,无边界企业中的内部威胁与外部威胁等同,零信任模型是限制内部人风险的良好模型。

对涉及DevOps的开发人员而言,零信任是授权和访问现场、云及远程资源的更优雅可控的方式。通过隧道简单连进网络的分布式开发不如零信任模型驱动的开发强大。

VPN不再是保护访问安全的终极解决方案。

现代互联网上,威胁来自任意位置,任何设备或被盗用户凭证都有可能被用作入侵网络的支点。零信任方法不仅仅依赖加密和凭证,能够最小化风险并改善安全态势。SDP超越了仅仅假装硬边界仍存在的虚幻假象。

免责声明:凡注明为其它来源的信息均转自其它平台,由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,不为其版权负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。联系邮箱:leixiao@infoobs.com