“零信任”時代,VPN必將被SDP取代
責編:gltian |2019-12-23 15:06:47在傳統網絡邊界近乎消失的時代,VPN 也盡顯老態。
虛擬專用網 (VPN) 面世二十多年,為我們提供了加密的安全通信信道與數據傳輸渠道。雖然 VPN 類型很多,比如常見的 SSL VPN 和 IPSec,但無論實現方式如何,其基本理念都是一樣的:創建安全 IP 傳輸隧道,以加密訪問的方式保障數據安全。
軟件定義邊界 (SDP) 的概念相對較新,出現于 2013 年,最初受云安全聯盟 (CSA) 指導。SDP 模型沒有默認信任假設,不會因為采用了傳輸層安全 (TLS) 就認為加密隧道是安全的,所以很多供應商在與 SDP 相關的產品上采用了 “零信任” 這一術語。
典型 SDP 架構中,每個連接要經過多點驗證和檢查,以幫助保障真實性和限制風險。通常,SDP 模型中設置有定義資源訪問策略的控制器,規定哪些客戶端可以連接并訪問不同資源。網關組件則幫助導引流量到正確的數據中心或云資源。最后,設備和服務可使用 SDP 客戶端通過控制器連接并請求資源。有些 SDP 實現是無客戶端式的。
SDP vs. VPN
構建并部署 VPN 的基本前提就是存在企業邊界,表面上受到 IDS/IPS 和防火墻等邊界安全設備保護。遠程用戶或商業合作伙伴可通過 VPN 隧道穿透企業網絡邊界,訪問企業內部資源,即使不在企業內部也能享有本地訪問權限。
然而,現代 IT 企業的現實是邊界已不復存在,員工、承包商和合作伙伴遍布全世界,在本地、遠程和云端完成作業。這就是促使 SDP 誕生的環境及其將要解決的問題。
VPN 今天仍廣泛使用,適應特定類型的遠程訪問和移動員工需求,但這需要某種程度的隱式或顯式信任。企業網絡信任擁有正確 VPN 憑證的人,認為擁有這些憑證就應賦予訪問權限。但若該 VPN 用戶恰好是惡意用戶或盜取了憑證的未授權用戶,那就成問題了,而且是 VPN 無法妥善解決的固有問題。
而 SDP 或零信任模型可用在現代無邊界企業中,幫助守護遠程、移動和云用戶,以及企業工作負載。SDP 不僅僅意味著擁有安全通信隧道,而且提供驗證與授權。SDP 并沒有僅僅信任某隧道是安全的,而是設置了各項檢查以驗證身份,用健壯的策略授予權限,以隔離策略限制訪問,并安排了多個控制點層層保護。
大中小型企業紛紛開始采用零信任安全技術,這是一種趨勢。公司企業想要減小風險、最小化潛在攻擊界面,擁有更多控制點就成了關鍵。安全人員也常建議企業盡量控制特權用戶數量,基于最小權限原則授權。與其簡單賦予 VPN 用戶完全本地訪問權,系統管理員應根據策略和設備授權限制訪問,這是零信任模型的核心特征。
架構良好的零信任解決方案還可提供潛在的開銷削減,無需添置實體設備或客戶端代理。
用例
對商業用戶而言,VPN 是比較熟悉的遠程訪問概念,近期內這種情況不太可能發生很大變化。訪問公司內本地文件共享,甚或是訪問公司打印機這么簡單的操作,使用 VPN 在未來兩三年內仍不失為理想選擇。但隨著越來越多的業務遷至 SDP,即便是簡單的打印機訪問也將納入覆蓋范圍。
在公司內部,無邊界企業中的內部威脅與外部威脅等同,零信任模型是限制內部人風險的良好模型。
對涉及 DevOps 的開發人員而言,零信任是授權和訪問現場、云及遠程資源的更優雅可控的方式。通過隧道簡單連進網絡的分布式開發不如零信任模型驅動的開發強大。
VPN 不再是保護訪問安全的終極解決方案。
現代互聯網上,威脅來自任意位置,任何設備或被盜用戶憑證都有可能被用作入侵網絡的支點。零信任方法不僅僅依賴加密和憑證,能夠最小化風險并改善安全態勢。SDP 超越了僅僅假裝硬邊界仍存在的虛幻假象。