“從來不是遠程辦公淘汰了現場辦公���,而是高效代替了低效�����?���!备餍懈鳂I數字化轉型��,追求的必然是更高效的工作方式��,由此催熱了“零信任”的概念�����。
各安全廠商百家爭鳴��,演進了多條技術路線(SDP���、IAM�、MSG 等)��,以期用零信任架構�,護航用戶遠程辦公的安全接入����。
然而����,大部分用戶仍舊認為零信任的落地難度和演進方向都是不明確的:
● 對于還在觀望的用戶來說�����,停留于一個固有觀念:“零信任只能解決遠程辦公的安全問題”�����,零信任不就是“更安全一點”的VPN嗎���?
● 對于已經初步入局的用戶����,同樣也存在疑惑:落地遠程辦公場景后��,下一步要怎么辦�?
面對您的疑問�,深信服零信任決定來一次全面解讀��。
零信任≠VPN�,零信任聚焦的是“主體到客體的訪問控制和數據保護”����,主要解決業務安全訪問的問題���,接入能力只是零信任的子集�����。
過去我們通過不同類型的安全設備來進行訪問控制�����,包括防火墻�����、交換機��、路由器�����、SSL VPN 等����。
經過多年的發展����,傳統的訪問控制機制開始暴露出諸多弊端���,主要有兩個方面:
1.在傳統身份認證機制下���,先授權網絡連接和訪問���,再進行身份認證���,導致業務對外暴露�。
2.基于 IP/MAC/VLAN 設置 ACL����,難以與真實用戶進行關聯��;身份與權限對應靜態且粗放����,難以做到細粒度權限管控�。
當我們進一步剖析�����,上述問題的本質都是“主體到客體的訪問控制存在著安全風險”��。
在南北向訪問中����,過去通過 SSL VPN 實現遠程安全接入�,但SSL VPN 在安全性/大并發等方面的能力���,越來越難以滿足數字化轉型趨勢下的用戶需求����。
而零信任聚焦業務安全接入���,從身份���、終端�����、連接����、權限���、數據和行為等不同維度���,幫助用戶安全訪問業務�����,構筑了基于端到端多維度信任評估的訪問控制鏈條�。
區別于以傳統的 IP/MAC/VLAN 等方式判定網絡邊界�,零信任基于身份構建更細粒度的網絡邊界���,讓業務的訪問方式和信任判定方式更加完善和全面����。
理解了這一點�,我們就能達成一個共識:零信任所聚焦的建設范圍實際上是用戶的整個辦公網絡���,而不僅僅是遠程接入場景���。
舉個例子來說��,SSL VPN 和零信任�����,好比是計算器和計算機�����,二者都做數據運算���,但計算器只能做加減乘除�����,而計算機有著更多的擴展空間����,不論是能力擴展���,還是場景擴展�,都會存在差異�,且隨著后續的發展���,差異也會越來越大����。
零信任不止于遠程辦公�����,遠程辦公是初嘗零信任適合切入的場景��,后續可以逐步擴展分支����、內網��、特權訪問等場景�����。
引入一套新的技術架構�,勢必猶如平地一聲雷����,給原有的網絡架構帶來沖擊���。
站在助力用戶領先一步落地的視角����,過去我們提出“以零信任替換 VPN”����,從遠程辦公場景切入�����,既是考慮到用戶需求的緊迫性���、對業務影響范圍較小����,也考慮了實際落地難度�����。這也已經成為當前業界的共識�。
然而����,遠程辦公零信任落地后�,我們還在思考:用戶可能還存在著哪些問題�����?這些問題可以通過零信任架構解決么�?
在整體網絡架構中��,遠程辦公只是一個相對獨立的場景����,用戶的業務訪問方式沒有發生質的改變�����,依舊是先連接����、后認證����。一旦攻擊者突破邊界����,整個內網將完全暴露�����。無論是攻防演練所暴露出的問題�����,還是真實世界中發生的網絡安全事件����,都在不斷警示著我們:大部分安全事件的源頭都來自于內部���。
大部分用戶很重視從外到內的安全接入���,但內部業務訪問邏輯卻相對簡單��,且接入方式復雜多樣���,包括網絡準入����、云桌面 VDI��、PC 等�����,不僅需要來回切換���,還引入了多套身份體系����,增加了安全風險�����。同時����,伴隨著企業數字化轉型�,業務部署方式發生變化��,多機房���、混合云的環境使得傳統的 SSL VPN 難以滿足用戶隨時隨地的接入訪問需求�����。
多套安全接入產品����,勢必會造成不同設備訪問策略管理的復雜度持續上升���,需要投入更多的人力和時間成本�����,違背企業“降本增效”的經營邏輯�。
相信以上問題���,諸多用戶都有共鳴�。如何解決��,才是關鍵�����。
為了給廣大用戶提供更合理可行的解決方案�,深信服以自身進行驗證����,在短短一年時間內�,完成了集團內部零信任建設��,實現基于零信任架構的內外網統一接入(點擊跳轉:深信服零信任的0號樣板點)���。無論用戶身處何種網絡��,只有通過零信任的安全認證和訪問代理����,才能訪問后端業務�����。
去年��,我們也開始幫助用戶逐步向更廣泛的場景進發:分支接入�����、開發測試�����、安全運維����、內外網統一接入等���,在各行各業打造典型案例���,成為國內零信任落地數量第1����、單客戶百萬并發規模的網絡安全廠商��。(點擊跳轉:落地數量第1�,深信服零信任獲中國信通院“最受行業歡迎廠商”)
如今��,越來越多的用戶已經將零信任取代了傳統的 SSL VPN�,并且享受到了零信任所帶來的安全效益�����,因此我們為用戶提供的切實建議是:
基于訪問主體和客體����,統一規劃�,在平穩完成遠程辦公場景零信任建設后����,可以逐步切換到分支接入�、特權訪問���、辦公內網等場景的零信任建設����,逐步解決上述問題���。
零信任是一個架構體系�����,面向不同的訪問主體和訪問客體���,可以選擇不同“搭建方式”����。
值得關注的是���,作為網絡安全體系中信任評估和訪問控制的全局性框架�,零信任架構的演進性和生長性是關鍵����,需要隨著業務范圍的擴展�����,進行靈活�、快速���、低成本的適配��。
零信任架構并非單個產品就能完全實現的��,基于大量用戶實踐的探索��,深信服能夠為用戶提供不同組合的搭建方案:
提供“5A+S級”Workspace辦公體驗�,構建融合多種不同安全級別應用的數字化工作平臺����,在同一工作平臺中實現不同密級應用的一站式訪問�,為辦公安全與體驗上一份“雙重保險”���。
【案例】銀聯商務(點擊跳轉:守“滬”金融����,背后的力量)
面對銀聯商務3-4級分支公司�、超1000人規模的員工���,零信任aTrust與桌面云VDI���、安全沙箱UEM等創新結合�����,為數字化安全辦公平臺的基座砌上更堅實的磚瓦���。
綜合虛擬網絡域���、辦公空間���、透明加解密�、數據導出/外發管控��、內存拷貝管控�、屏幕水印等技術���,實現終端數據泄密防護���。
【案例】廣州銀行信用卡中心(點擊跳轉:落地零信任�,助力業務高韌性發展)
基于豐富的認證手段與持續檢測終端安全基線�����,將終端劃分不同的工作空間�����,通過零信任aTrust 網關和控制中心����,實現強認證以及數據不落地�����,保障業務安全接入與終端數據防護“兩手抓”���。
最后���,您可能還會有一個終極問題:
使用零信任就絕對安全了嗎�?
答案顯然是否定的���。安全風險只能“轉移”���,不會憑空“消失”���。
當然�����,深信服零信任也持續思考和探索“如何將安全風險最小化”���,以不斷沉淀的技術實力與不斷增強的產品能力�����,詮釋安全接入的全新范式�,助力用戶“安全領先一步”�����。相信不久后����,我們將給您帶來一份全新答卷�����。
原文鏈接:零信任=VPN�����?只能做遠程辦公��?深信服零信任坦誠解答您的疑問
手機二維碼 
客服QQ
18123591892
2284624216@qq.com