从缩写到行动:揭秘 Zero Trust
Zero Trust:这是一个流传已久,似乎永远不会消失的术语。虽然它存在已久,却仍然笼罩着一层神秘感;而 SSE 、SASE 、SWG 、ZTNA 、CASB 、RBI 等缩略词(似乎无穷无尽)让情况变得更加复杂。
卷入这场风暴中心的企业感到困惑不解,因为众多供应商纷纷宣称自己的 Zero Trust 产品是解决所有安全问题的终极解决方案。但是,正如每一位专家和普通人会告诉的那样,实施 Zero Trust 并不像购买现成产品那么简单。更关键的是选择一种理念。但遗憾的是,对于企业来说,部署这些理念并非易事,最终,公司需要一些技术或解决方案才能实现。而这正是最容易引起困惑、产生混淆的地方。
保护用户
这里将深入浅出地讲解 Zero Trust 的原理。我们会重点介绍 Zero Trust 的真正价值:保护用户。过去,网络用户几乎可以不受限制地访问企业资源,除了需要输入用户名和密码。如果用户凭据或设备被黑客入侵,这可能会成为一个严重的问题。理想情况下,我们应该采取适当措施保护用户及其设备,而不影响生产力。有人说,Zero Trust 就像是用户看不见的气泡膜。这是一个奇怪的类比,但却切中了 Zero Trust 的核心:将增强安全与流畅的用户体验相结合。
这让人想到了 VPN,它经常被人们戏谑地称为网络安全的“继子”。它笨重难用,就像拨号上网时代的回响,只不过没有调制解调器的提示音。启动 VPN 客户端,输入凭据,等待连接,浏览错综复杂的公司内网,然后断开连接以返回到常规互联网。��这就像是一场精心排练的舞曲,VPN 探戈。
远程办公的出现迫使 VPN 成为万众瞩目的焦点,其弊端也开始显现。传统企业应用被 SaaS 替代方案取代,因此,VPN 也只能拼命跟上。结果如何?连接瓶颈、速度下降,甚至出现连接故障。VPN 通常通过登录密码验证来保护用户,并提供与本地用户相同的网络访问权限。
结果显而易见。VPN 的权限范围过于宽泛,破坏用户体验,难以与云集成,并且它在可扩展性和泛在接入方面表现欠佳。再叠加上针对脆弱的 VPN 基础设施的 DDoS 攻击威胁,灾难随时可能发生。
进入“移动办公”的新时代。云应用、远程用户和个人设备的爆炸式增长,要求全面改进网络边界安全模型。传统模型,即:基于设备的 VPN 解决方案,根本无法跟上步伐。应采用现代模型,也就是 Zero Trust 网络访问 (ZTNA)。
Zero Trust 理念的实际应用
Zero Trust 背后的理念植根于一个简单的原则:永不信任,始终验证。ZTNA 体现了这种特质,它提供对资源的直接、精细化、上下文感知访问,而不提供过于宽泛的网络访问。这带来了颠覆性变革,提供卓越的用户体验、强大的安全性、可见性以及可扩展性,是当今混合办公模式的理想解决方案。
但是,Zero Trust �理念不仅仅涉及远程访问。当然不止于此。通过安全 Web 网关 (SWG) 和远程浏览器隔离 (RBI),Zero Trust 原则可扩展到互联网浏览器。当然了,还有电子邮件。超过 90% 的网络攻击都源于网络钓鱼邮件。我认为,“永不信任,始终验证”原则应该扩展到电子邮件收件箱,并提供电子邮件网络钓鱼防护。
保护最终用户至关重要,但保护重要的公司数据安全也同样重要。CASB 和 DLP 也是 Zero Trust 体系的组成部分,帮助阻止数据泄露。在 AI 和聊天机器人的时代,这一点比以往任何时候都更加重要。制定、执行和监测数据在网络中的移动方式和位置的策略,也是 Zero Trust 的重要组成部分。随着企业使用软件定义的安全架构重塑网络,Zero Trust 模型的重要性也与日俱增。
If zero trust is the promised panacea, why isn't everyone on board? If we were building from the ground up today, zero trust would be the unequivocal choice. We'd select a zero trust platform, link up the IDP of choice, and promptly start provisioning users with ZTNA and the rest of the arsenal. But transitions aren't instantaneous. Often, it's because network and security teams aren't in sync. At other times, it’s the sizable investment already sunk into the current VPN infrastructure that stalls the shift. There may even be a resource crunch to execute the change. But let's be clear, these are explanations, not justifications.
我们知道,安全威胁不仅真实存在,而且正在不断升级。用户暴露在风险之中,时刻担心因误点电子邮件而无意中引发网络攻击。作为安全领��导者,我们不应责怪用户,而应承担起保护用户的责任。Zero Trust 模型秉持“永不信任,始终验证”的原则,提供了一种高效、自适应的策略,弥补了传统 VPN 和网络安全措施的不足。采用 Zero Trust 最简单的方法是通过单一平台实现,而不是拼凑来自多个供应商的单点解决方案。采用 Zero Trust 为最终用户和数据提供分层保护,其实并不复杂。在远程办公、SaaS 和 AI 普及的当今时代,采用 Zero Trust 不仅是一种战略选择,而且是必然选择。
信任的基础
面对不断演变的网络安全格局,采用 Zero Trust 安全模型代表着一种关键的范式转变。认识到基于边界的传统防御措施不足以抵御威胁,企业能够获得诸多好处,包括增强数据保护、缩小攻击面,以及增强抵御复杂威胁的韧性。采用 Zero Trust 不仅是一种技术选择,也是一项战略要务,它让企业能够保护关键资产,在充满不确定性的世界中建立信任的基础。
Cloudflare 支持企业实施 Zero Trust 并协同使用安全和网络即服务 (SASE) 产品,提供安全性、性能和可靠性于一体的体验。Cloudflare 利用其覆盖全球的网络,提供快速、可靠的互联网连接,无论员工身在何处。由于 Zero Trust 安全方法适用于每一个访问请求,因此,所有流量都必须接受身份验证,保护企业员工和数据免受威胁。凭借 Cloudflare Zero Trust,企业可以使用统一界面来阻止不必要的访问、缓解数据丢失,并掌控一切。无论企业处于数字化转型发展的哪一个阶段,都能获得保护。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《Zero Trust 架构路线图》报告,了解如何规划从基于边界的传统安全架构迁移到 Zero Trust 的路径。
作者
John Engates
前 Cloudflare 现场首席技术官
关键要点
阅读本文后,您将能够了解:
保护用户和数据的要求已经改变
Zero Trust 支持全面的威胁防护
如何建立信任基础并掌控局面