引言
隨著網路攻擊的增加、人工智慧等新興技術的出現以及雲端運算的普及,零信任的概念也逐漸興起。零信任網路存取(Zero Trust Network Access,ZTNA)正在改變我們在工作中存取網際網路的方式。本文將探討VPN(虛擬私人網路)如何與零信任理念交融。
VPN與零信任網路存取的矛盾
VPN的逐漸失寵
VPN在過去一段時間逐漸不受歡迎,這主要是因為企業網路的變化。許多公司採用了混合雲模式,員工可以存取儲存在遠端伺服器上的企業系統和資料。傳統VPN雖然可以在員工與本地業務系統之間創建加密連接,但由於需要透過實體企業網路基礎設施路由用戶,這些解決方案往往速度較慢且不夠用戶友好。在廣泛遠距工作的時代,這一問題尤其突出。
安全性問題
如今,許多遠端員工使用VPN從各種設備存取公司資產,有些人甚至在公共場所(如圖書館或咖啡館)工作。數位攻擊者可能已經入侵了這些裝置或連接的Wi-Fi網絡,甚至可能透過竊取工作帳戶存取權限來攻破使用者本身。零信任網路存取可以應對這些風險,而傳統VPN卻無法做到。
傳統VPN解決方案並未驗證這些潛在的安全隱患,它們的設計理念是提供一個直接的、受信任的連接,繞過所有的邊界防禦。威脅行為者利用這一點,借助VPN隱藏在企業網路中,盡可能長時間地潛伏。
零信任網路存取時代的VPN
組織的轉變
為了應對上述風險,許多組織開始轉向零信任網路訪問,以持續保護使用者、裝置和應用程式。最近,關於零信任如何改變許多安全工具功能的討論越來越多。儘管人們擔心零信任模型會導致防火牆的“死亡”,但實際上它只是使用“分段網關”,將防火牆和其他工具的功能結合在一起。零信任使得在被批准的使用者、裝置、應用程式和其他資產之間強制執行信任成為可能。
軟體定義邊界的作用
從VPN到軟體定義邊界
雖然零信任並不意味著防火牆的終結,但它確實在推動VPN的淘汰。 VPN正被軟體定義邊界(Software-Defined Perimeter,SDP)取代。
SDP的理念是停止將邊界等同於資料中心(如傳統VPN所做的)。相反,我們希望將邊界視為隨著設備移動而變化的解決方案。這種安排消除了傳統VPN對使用者授予的普遍授權,而是提供零信任網路存取。經過驗證的使用者及其裝置僅能存取執行工作所需的資源,這透過預設執行最低權限原則來加強零信任的核心理念。因此,這使得潛在攻擊者在企業系統之間橫向移動的可能性大大降低。
SDP與傳統VPN的不同
SDP與傳統VPN的另一個不同之處在於,許多SDP產品利用全球網路的存取點以減少延遲並最佳化資料路由。這有助於為需要存取企業網路的使用者創建更流暢(更有效率)的網關。
考慮到許多SDP產品的定價是按用戶固定收費,無論網路資源的多寡,企業可以隨著業務的發展和演變,輕鬆擴展零信任網路存取。
下一代VPN的光明未來
儘管傳統VPN在分散式網路中可能已失去效用,但下一代VPN(如SDP)仍然大有可為。事實上,雲端安全聯盟報告指出,SDP是「採用零信任策略的最有效架構」。可以預見,隨著零信任網路存取的普及,越來越多的組織將轉向這些類型的解決方案。
結論
零信任網路存取正在重新定義網路安全的格局,而傳統VPN正面臨被淘汰的命運。透過採用軟體定義邊界,企業不僅可以提高安全性,還能實現更靈活的存取管理,為未來的網路安全奠定堅實的基礎。
