在傳統網路邊界已不復存在的世界中,VPN 已顯現老態龍鐘。
虛擬私人網路 (VPN)已經存在了二十多年,為通訊和資料提供安全、加密的隧道。 雖然有多種類型的 VPN — 包括 SSL VPN 和 IPsec 等兩種類型 —— 無論實施如何,基本概念都是相同的。 透過 VPN,可以建立安全的 IP 傳輸隧道,旨在確保資料的安全,因為存取是加密的。
軟體定義邊界(SDP)的概念有些較新,最初在雲端資安聯盟(CSA)的指導下於2013年出現。 使用 SDP 模型,而不僅僅信任加密通道是因為它使用傳輸層安全性 (TLS) 而是安全的,而且沒有任何信任的假設-因此許多供應商在與 SDP 有關的情況下使用「零信任」一詞。
在典型的 SDP 架構中,有多個點,每個連接都經過驗證和檢查,以幫助證明真實性並限制風險。 通常,在 SDP 模型中有一個控制器,可定義用戶端可以通過這些原則來連接並獲得對不同資源的存取權限。 閘道器組件有助於將流量引導至正確的資料中心或雲端資源。 最後,裝置和服務利用連接控制器並請求對資源的存取的SDP客戶端。 某些 SDP 實作是無代理程式的。
VPN 最初建置和部署的基本前提是存在一個企業邊界,表面上受到 IDS/IPS 和防火牆等邊界安全裝置的保護。 VPN 使遠端使用者或業務合作夥伴能夠透過外圍隧道存取企業內部的內容,從而提供本地存取權限,即使在遠端時也是如此。
現代 IT 企業的現實是,邊界已不復存在,員工、承包商和合作夥伴在校園內、遠端、在雲端以及世界各地工作。 這就是 SDP 誕生的世界,目的是解決的。
當今 VPN 仍然被廣泛使用,並且對某些類型的遠程訪問和移動工作者的需求仍然有用,但它們涉及一定量的隱含或授予的信任。 企業網路相信擁有正確 VPN 憑證的人應該擁有這些憑證並被允許存取。 現在,如果該 VPN 用戶碰巧是惡意用戶,或者憑證被現在可以訪問本地網路的未經授權的人竊取,這就是一個問題,而且 VPN 的設計並不能真正解決這個問題一切都很好,如果有的話。
SDP 或零信任模型可在現代無邊界企業中使用,以協助保護遠端、行動和雲端使用者以及工作負載。 SDP 不僅僅是擁有安全通道,而且還涉及驗證和授權。 不僅僅信任通道是安全的,還有驗證狀態的檢查、授與存取權的強大策略、限制存取的區段政策以及多個控制點。
各種規模的組織越來越採用零信任安全技術,是一種不斷演變的趨勢。 隨著組織尋求降低風險並最大程度地減少潛在的攻擊表面,擁有更多控制點通常是關鍵目標。 安全專業人員也通常建議組織最小化特權使用者數量,並根據最小權限原則授與存取權限。 系統管理員不應只是簡單地為 VPN 用戶提供完全的本地訪問權限,而應根據策略和裝置授權來限制訪問,這是零信任模型的核心屬性。
設計精心設計的零信任解決方案也可以提供更少的開支,而無需實體設備或用戶端代理程序。
對於商務用戶來說,VPN 是遠端存取的一個熟悉的概念,這並不是很可能在短期內發生變化的事情。 對於訪問公司內的本地文件共享,甚至是像訪問公司印表機這樣簡單的事情,VPN 在未來兩到三年內仍然是一個合理的選擇。 但是,隨著越來越多的企業轉向 SDP,即使是簡單的打印機訪問也將被涵蓋。
在公司內部,無邊界企業中的內部威脅與外部威脅一樣可能,零信任模型是限制內部風險的有用模型。
對於開發人員和參與開發營運的人員來說,零信任是一種更優雅、更可控的方法來授予存取權限以及提供對本地、雲端和遠端資源的存取。 開發是分散式的,簡單地透過隧道進入網路並不像零信任那麼強大。
VPN 不再是保護存取權限的首選解決方案,這些解決方案已經被承諾。
現代網路的現實是,威脅來自任何地方,任何裝置或受損的使用者憑證都有可能被用作破壞網路的樞紐點。 零信任方法不僅僅依靠加密和憑證來最大限度地降低風險並提高安全性。 SDP 不僅僅僅僅是假裝硬邊界的虛構仍然存在。
反映意見