無論是零信任還是SASE，都是幫助企業(yè)迎接一個全新的挑戰(zhàn)：下一代企業(yè)網絡將與互聯(lián)網“與狼共舞“，讓所有流量路由到本地防火墻或數據中心的帝國防御模式已經崩塌。

SASE（安全訪問服務邊緣）和ZTNA是近年來最具影響力的兩個顛覆性的網絡安全模型。

在全球性的遠程辦公大潮中，傳統(tǒng)的企業(yè)網絡“邊界”徹底消失，提供遠程訪問和安全服務的SASE模型以及零信任可以幫助企業(yè)重新定義網絡和邊界防御。但是，SASE和ZNTA兩大架構之間有何關聯(lián)？如何協(xié)同演進？依然是數字化轉型企業(yè)當下最為關心的問題之一，以下我們嘗試從幾個方面進行解讀：

零信任：身份驅動的安全范型轉移

隨著網絡應用程序和資源遷移到云端，傳統(tǒng)網絡邊界消失，企業(yè)數字化轉型實施，傳統(tǒng)防火墻、安全網關、VPN和代理暴露出很多安全漏洞和短板，零信任已經成為企業(yè)用戶的關注焦點。

ZTNA（零信任網絡架構）是面對數字化轉型新業(yè)務場景，克服傳統(tǒng)基于邊界的安全方案弊端的一次重大范型轉移，其本質是一次（身份管理）安全范型的轉移或者變革。零信任前有多種流派，比如Forrester的ZTX、Google的BeyondCorp、Gartner提出的CARTA，但是無論哪一種方案實現，更細粒度、更可靠和更具新業(yè)務適應性的身份管理都是其中最新不變的安全需求。

零信任已被吹捧為未來十年網絡安全的大勢所趨。但是直到最近，尤其是Google BeyondCorp等零信任方案產品化后，零信任才開始作為可用于生產環(huán)境的實用企業(yè)安全框架受到關注。

零信任的發(fā)展歷程圖表來源：聯(lián)軟科技

2020年新冠疫情大流行影響了不少企業(yè)的數字化轉型計劃，但卻極大刺激了對零信任的關注和應用。因為隨著遠程辦公成為新常態(tài)，企業(yè)員工和資產暴露的攻擊面快速增長，面臨網絡攻擊的風險飆升。上半年報告的攻擊數量飆升已經說明了一切。

零信任提供了一種全面而靈活的方法來保護IT基礎架構，應用程序和數據。

將基于零信任策略的安全性應用于用戶交互時，企業(yè)可以減少其網絡攻擊面。每個人和系統(tǒng)都經過身份驗證，僅能有限地訪問他們被授權使用的應用程序，數據和資源。在大多數情況下，零信任的安全決策在端點實施，但在云中定義和管理。訪問策略可以細化，以根據IT資源、會話數據、身份驗證和許多其他因素在訪問邊緣做出安全決策。

SASE與零信任不謀而合

SASE是一個相對較新的概念，是Gartner在2019年末的報告《網絡安全的未來在云端》中提出的安全模型，其基本思想是將已經建立的網絡安全服務堆棧從基于數據中心的中心化架構，轉變?yōu)閷⑸矸莨芾怼跋鲁痢钡浇K端設備的設計，從而使安全架構能夠更好地支持邊緣計算和混合云等數字化轉型新場景中的動態(tài)服務、軟件即服務（SaaS）以及分布式數據處理等新業(yè)務。

零信任安全架構與SASE的基于邊緣的安全方法目標完全一致，可以使用SASE框架執(zhí)行。在這里，我們有必要回顧一下二者的基本概念和原則。

零信任網絡訪問（ZTNA）是一種安全架構，其核心構想通過權限最小化原則來保護網絡免受高級威脅的攻擊。

傳統(tǒng)網絡環(huán)境將企業(yè)內部網絡定義為“可信區(qū)域”，這個區(qū)域內部的所有計算資源可以互相通信，沒有做到權限最小化原則。一旦有外部黑客攻入內網，或是企業(yè)內部人員想要惡意破壞，就可以在“可信區(qū)域”內“橫向移動”，對企業(yè)計算資源進行大肆攻擊和破壞。

零信任解決方案包括可以添加到現有VPN和網絡中的微隔離工具（例如，應用程序隔離）以及其他技術（例如SDP）。這些技術控制網絡內部的橫向移動，通過將遠程和內部應用程序的訪范圍限制在真正需要的內容來防止攻擊。

SASE則代表了企業(yè)網絡及安全體系結構的融合趨勢，它適用于當今不斷變化的（分布式遠程）云計算工作環(huán)境，將安全性和網絡融合在一起，適用于任何類型的端點，企業(yè)無需在設備上放置代理，連接到VPN并將所有流量重新路由到云端，SASE為每個單獨的設備帶來安全性，這與零信任的“細粒度“安全控制目標顯然是一致的。

例如，零信任Web瀏覽假定所有網站都不安全，因此不允許它們與用戶端點上安裝的瀏覽器軟件自由交互。在此情況下，SASE框架著重介紹了一種稱為遠程瀏覽器隔離（RBI）的技術。這是一種安全功能，其假設和原則與“零信任”一致：不信任來自Web的任何內容，并且懷疑所有網站代碼、活動和下載內容。通過RBI，所有用戶的Web瀏覽都可以在云中的虛擬瀏覽器中遠程進行，只有安全的渲染信息才能從網站發(fā)送到設備的瀏覽器，從而提供安全，完全交互，無縫的用戶體驗。

零信任是目標，SASE是路徑

為了了解SASE如何實現零信任安全模型的方法，需要對Gartner的愿景進行更深入的解讀。在對SASE模型的介紹中，Gartner列出了可以構成SASE平臺的許多功能和元素-網絡即服務技術（例如SD-WAN、CDN和WAN優(yōu)化）以及網絡安全服務（例如云）SWG、VPN、NGFW、ZTNA、云訪問安全代理（CASB）和RBI。作為SASE的各個組件，這些組件現已上市，并且在不同程度上已為很多組織所使用。Gartner的SASE愿景是，這些解決方案的發(fā)展趨勢是整合到一個集成的，易于使用的全球云交付平臺中。

通過將網絡基礎結構功能與網絡安全功能集成在一起，SASE可以在所有網絡連接點和端點上實施安全控制。SASE解決方案結合了核心連通性和安全策略功能，提供控件，可在請求的用戶和IT資源（數據庫、應用程序等）之間（無論它們是否位于企業(yè)網絡中）在線做出訪問策略和數據使用決策，這些都與零信任的訴求和目標一致。

SASE極大地提高了網絡安全性，而且如果實施正確，對用戶的影響也可降至最低。SASE解決方案能為IT員工提供整個組織網絡和應用程序中每個用戶訪問的完全控制權和可見性。集成的，持續(xù)的流量檢查和分析以及動態(tài)的安全策略執(zhí)行功能，使SASE成為改變數字化轉型計劃的推動者，同時也是零信任架構的理想載體和路徑。

SASE已經啟程

Gartner預計，到2024年，至少有40％的企業(yè)將制定SASE應用戰(zhàn)略。由于供應商仍在開發(fā)其集成的基于云的SASE平臺，因此早期采用者需要保持其SASE早期方案或準備工作的靈活性。

首先，您可以從重新評估組織的網絡架構開始，并確保網絡安全從一開始就融入架構，正確的體系結構設計對于建立強大、適應性強的架構至關重要。

其次，SASE和零信任是一種進化，企業(yè)可以循序漸進，零信任可以從MFA、SSO等做起，同樣地，企業(yè)也可以在現有的網絡基礎架構中添加和補充安全功能來快速獲得SASE能力。例如，升級NGFW和VPN以添加“零信任”網絡訪問功能或者添加RBI以將零信任Web瀏覽帶入您的企業(yè)。

最后，您可以通過逐步減少硬件依賴性來向SASE遷徙。云原生應用程序、Web訪問和安全解決方案除了可與傳統(tǒng)網絡一起使用外，還為分布式架構奠定了基礎。選擇適合的路線圖和過渡解決方案，可以幫助你的企業(yè)成為真正的“零信任企業(yè)“。
責任編輯:pj