1、什么是零信任网络?
随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着前所未有的挑战。
而面对访问者身份及接入终端的多样化、复杂化打破了网络的边界,传统的访问管控方式已经过于单一。在用户一次认证后,整个访问过程不再进行用户身份合规性检查,无法实时管控访问过程中的违规和异常行为。
举个例子,为什么传统的管控方式过于单一。问大家一个问题,“为什么一些内部服务器在不通公网的情况下会中勒索病毒?”原因很简单,因为我们企业员工,在家或者出差时。如需要远程办公,那么我们通常想到的就是通过传统vpn打通到服务内网,去访问企业内部OA、邮箱等服务。那么接入访问的客户端,如果这个时候中了病毒,那么就可以通过这vpn通道去污染内部的服务器,造成资料的病毒感染,进而造成损失!
而如今出现的零信任方案则可以解决这一问题,零信任可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。零信任是一种行业上新的安全理念和多种相关技术的概括性叫法。零信任的基本目标是防止未经授权情况下的资源访问,其高阶目标是降低资源访问过程中的所有安全风险,所以零信任是一种网络安全防护/保护理念。
2、为什么零信任很重要?
现在企业业务上云是非常常见的了,这也是互联网发展的趋势。而面对业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。高低密级数据融合导致权限污染,被动抬高整体安全等级,打破安全和业务体验的平衡。
资源从分散到云化集中管理,按需部署。由于当前安全管控策略分散、协同水平不高,云端主机一旦受到攻击,攻击将难以快速闭环,很难形成全局防御。
零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。
我们用拓扑图做对比:
传统vpn连接方式:
只经过一次安全认证,管控方式单一
零信任网络连接方式:
除了身份认证外,还会对流量进行分析防控,没有问题的流量才能转发到下一跳,有问题的流量则会被拦截。
3、零信任和传统VPN的区别
易迷惑点
VPN与零信任最令人迷惑的地方有两点,一是VPN和零信任都须解决一定安全问题,二是VPN和零信任都适用于远程办公场景。因此很多人认为零信任和VPN是完全等同的关系。其实不然。
核心技术点分析
VPN:
关键技术是隧道技术,通过对通信数据的封装和解封装,实现数据的透明、安全传输。根据隧道所在的网络层次,可分为二层、三层、应用层隧道协议。常见的二层隧道协议包括PPTP、L2TP,三层隧道协议包括GRE、IPsec,应用层隧道协议SSL VPN等。VPN一般会和用户身份认证(通常基于口令、基于数字证书等)技术结合使用。一旦鉴权通过,VPN即默认“信任”所有内部访问流量,无持续动态监测用户安全状态。
零信任:
核心技术涉及较多,包括身份认证(用户/设备/应用/进程、MFA等)、访问控制(基于安全评估而非仅仅依赖传统的基于用户角色、基于静态属性、基于网络位置等因素)、持续安全验证(包括身份认证、访问控制、信道安全、端侧安全、服务侧安全、流量监控等)、自动化(策略自适应、安全评估AI化等)、设备和资产管理等。零信任安全基于“持续验证、永不信任”的安全设计原则,对用户身份和行为进行动态授权,默认任何流量“不可信”。
4、零信任是否会将传统VPN淘汰
零信任和VPN是不同维度的概念,但在业界经常拿两者进行比较。现在市场中也出现了基于零信任理念的VPN产品,基本上把零信任安全代理的能力在传统VPN的基础上做了升级和扩展。
零信任的先进性已经吸引了很多企业去了解、应用。这必定促进了零信任的应用和发展,加上业界逐步针对传统VPN的零信任改造,传统VPN将逐步被淘汰。这是技术发展的趋势,不可避免。根据2024年4月的一篇报道看,目前我国的零信任技术应用率已经达到了80%,相信应用率将100%。
最后:正所谓“芳林新叶催陈叶,流水前波让后波。”时代的进程不可逆,技术的发展更是不断的推陈出新,我们只能跟随时代的潮流,不断的扬帆起航,才能看到更多更美的风景,我们一起共勉!
腾讯云开发者
