引言
随着网络攻击的增加、人工智能等新兴技术的出现以及云计算的普及,零信任的概念逐渐兴起。零信任网络访问(Zero Trust Network Access,ZTNA)正在改变我们在工作中访问互联网的方式。本文将探讨VPN(虚拟私人网络)如何与零信任理念交融。
VPN与零信任网络访问的矛盾
VPN的逐渐失宠
VPN在过去一段时间内逐渐不受欢迎,这主要是因为企业网络的变化。许多公司采用了混合云模式,员工可以访问存储在远程服务器上的企业系统和数据。传统VPN虽然可以在员工与本地业务系统之间创建加密连接,但由于需要通过物理企业网络基础设施路由用户,这些解决方案往往速度较慢且不够用户友好。在广泛远程工作的时代,这一问题尤为突出。
安全性问题
如今,许多远程员工使用VPN从各种设备访问公司资产,有些人甚至在公共场所(如图书馆或咖啡馆)工作。数字攻击者可能已经入侵了这些设备或连接的Wi-Fi网络,甚至可能通过盗取工作账户访问权限来攻破用户本身。零信任网络访问可以应对这些风险,而传统VPN却无法做到。
传统VPN解决方案并不验证这些潜在的安全隐患,它们的设计理念是提供一个直接的、受信任的连接,绕过所有的边界防御。威胁行为者利用这一点,借助VPN隐藏在企业网络中,尽可能长时间地潜伏。
零信任网络访问时代的VPN
组织的转变
为了应对上述风险,许多组织开始转向零信任网络访问,以持续保护用户、设备和应用程序。最近,关于零信任如何改变许多安全工具功能的讨论越来越多。尽管人们担心零信任模型会导致防火墙的“死亡”,但实际上它只是使用“分段网关”,将防火墙和其他工具的功能结合在一起。零信任使得在被批准的用户、设备、应用和其他资产之间强制执行信任成为可能。
软件定义边界的作用
从VPN到软件定义边界
虽然零信任并不意味着防火墙的终结,但它确实在推动VPN的淘汰。VPN正被软件定义边界(Software-Defined Perimeter,SDP)所取代。
SDP的理念是停止将边界等同于数据中心(如传统VPN所做的)。相反,我们希望将边界视为随着设备移动而变化的解决方案。这种安排消除了传统VPN对用户授予的普遍授权,而是提供零信任网络访问。经过验证的用户及其设备仅能访问执行工作所需的资源,这通过默认执行最低权限原则来加强零信任的核心理念。因此,这使得潜在攻击者在企业系统之间横向移动的可能性大大降低。
SDP与传统VPN的不同
SDP与传统VPN的另一个不同之处在于,许多SDP产品利用全球网络的接入点以减少延迟并优化数据路由。这有助于为需要访问企业网络的用户创建更流畅(更高效)的网关。
考虑到许多SDP产品的定价是按用户固定收费,无论网络资源的多少,企业可以随着业务的发展和演变,轻松扩展零信任网络访问。
下一代VPN的光明未来
尽管传统VPN在分布式网络中可能已失去效用,但下一代VPN(如SDP)却仍然大有可为。事实上,云安全联盟报告指出,SDP是“采用零信任策略的最有效架构”。可以预见,随着零信任网络访问的普及,越来越多的组织将转向这些类型的解决方案。
结论
零信任网络访问正在重新定义网络安全的格局,而传统VPN正面临被淘汰的命运。通过采用软件定义边界,企业不仅可以提高安全性,还能实现更灵活的访问管理,为未来的网络安全奠定坚实的基础。
