在企业网络中,虚拟私人网络(VPN)常常被称为“企业网络的支柱”。这是一个大胆的说法,因为这种技术在过去二十多年中基本没有改变。然而,VPN能够为员工、第三方甚至客户提供“安全”的远程访问企业应用和数据的能力,在当今的企业环境中依然是必不可少的。不过,行业专家对VPN的死亡预言已经存在超过十年,现在是时候让这一预言成为现实了。
传统VPN的局限性
传统VPN作为大多数企业网络的主力军,已经不再适合未来的架构。这是因为它们延续了一种网络边界安全架构,在这种架构中,用户在企业网络拓扑中的位置决定了他们的可信度和访问关键资产的资格。在这种网络边界安全模型中,事情很简单:用户的设备直接连接到企业网络,或者通过VPN远程连接,从而获得信任的标识。这种信任被用来授予用户设备几乎总是超出完成用户职责所需的访问权限。这种根本性的过度访问被攻击者在大多数成功的攻击中利用。
零信任架构的优势
零信任架构提供了一种替代的访问模型,用户永远不会获得对可信企业网络的过度访问,因为在这种架构中不存在可信的企业网络。相反,访问决策被从网络层提升到应用层,在这里基于多种数据源做出更细化的访问决策。访问权限基于用户身份和所需的最低访问权限逐个应用进行调控。
尽管零信任理念在安全行业迅速传播,但不幸的是,大多数组织仍在使用传统的网络边界安全模型,并通过VPN授予远程访问权限。然而,许多人不知道或忘记的是,40%的网络安全漏洞实际上源于授权用户访问未授权系统。如果超过40%的漏洞来自授权用户访问未授权系统,为什么还要假设访问是可信的呢?
VPN的风险与第三方访问
也许VPN最大的风险用例是将远程访问扩展到不仅仅是员工,还有第三方,如承包商或商业合作伙伴。通常,向第三方授予企业应用的访问权限是一个关键的业务需求,但这并不需要意味着这些第三方通过VPN获得对可信企业网络的访问。这种过度的访问权限代表了显著的风险,这也是许多组织优先考虑零信任转型的原因之一,尤其是在针对第三方访问时。
零信任市场的增长
根据Forrester的一份最新报告,越来越多的安全领导者将零信任视为解决安全和风险挑战的一种方式。反过来,这种采用为零信任市场创造了显著的增长机会。报告确认:“增长在很大程度上是由于安全专业人士越来越依赖供应商作为技术集成商和长期合作伙伴,以规划和实现零信任的架构建议。”
传统VPN的替代方案
采用云服务的架构师经常表示,他们正在寻找比传统VPN更高效的远程访问解决方案。随着远程用户寻求访问越来越多的云端企业应用,将用户流量路由到企业数据中心的VPN集中器的低效性变得更加明显。将用户流量路由到企业数据中心的VPN集中器建立信任,然后立即将流量路由回云服务提供商的做法毫无意义。云原生的零信任架构可以提供更简单、更高效的IT操作,同时降低风险。
通过实施零信任方法并切换到身份感知代理(IAP)访问模型,企业可以超越传统基于场所的远程访问技术的限制。安全和IT团队可以使用软件即服务解决方案,简化应用访问和安全控制,而无需授予对整个特权网络的访问权限。转向IAP模型允许最终用户按应用逐个访问特定的企业应用,具体映射到用户的身份。此外,组织可以利用上下文感知访问,同时无缝集成其他服务,如应用加速、应用安全和全球范围内的高级恶意软件防护。
结论
通过在云中实施零信任安全态势和访问控制,企业网络中的横向移动不再可能,因为信任被从网络中移除,敏感的企业数据和知识产权可以保持安全,并在正确的手中。
获取网络安全的深入知识与实用策略
了解更多关于如何加固网络安全的信息,提升您的企业防护能力。
