30

VPN正在逐渐消失,取而代之的是零信任

 4 years ago
source link: https://www.sdnlab.com/23818.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

数十年来,VPN为远程工作者提供了进入企业网络的安全通道,但随着当今的数字业务世界的发展,企业正在逐渐向更灵活、更安全的“零信任”框架(zero trust)迁移,VPN技术正在面临消失。

vpn-zero-trust-668x400.jpg

VPN是基于网络边界概念的安全策略的一部分,可信的员工在内部,不可信的员工在外部。但是,这种模型不再适用于现代商业环境,因为在现代商业环境中,移动员工可以从各种内部或外部位置访问网络,并且公司资产不位于企业数据中心,而是位于多云环境中。

Gartner预测,到2023年,60%的企业将逐步淘汰大部分VPN,以支持零信任网络访问,这种网络访问可以采用网关或代理的形式,企业不自动信任内部或外部的任何人/事/物,在授权前对任何试图接入企业系统的人/事/物进行验证。

VPN的缺陷很多,它无法解决内部攻击。对于承包商、第三方和供应链合作伙伴而言,它做得还不够好。如果攻击者窃取了某人的VPN凭据,就可以自由访问网络。另外,随着时间的推移,VPN变得越来越复杂且难以管理。Workiva的高级安全架构师Matt Sullivan说:“VPN笨重、过时,有很多东西要管理,并且安全性不足。”

从根本上讲,任何关注当今企业安全状况的人都知道,VPN迟早会被新技术取代。Forrester首席分析师Chase Cunningham说:“基于边界的安全模型已经彻底失败了。并不是因为缺乏努力或缺乏投资,而是因为它是建立在纸房子上的。”

Cunningham在Forrester负责零信任,Palo Alto Networks的分析师Jon Kindervag在2009年开发了零信任安全框架。零信任的道理很简单:不信任任何人,验证每个人,实施严格的访问控制和身份管理策略,以限制员工访问其工作所需的资源,仅此而已。

451 Group的首席分析师Garrett Bekker表示,零信任既不是产品,也不是技术,这是对安全性的另一种思考方式。

安全厂商拥抱零信任

尽管零信任框架已经存在了十年,但直到最近一年左右,企业的采用才开始兴起。根据451集团最近的一项调查,只有大约13%的企业开始了零信任之路。一个关键的原因是供应商们迟迟没有行动。

零信任的成功故事可以追溯到2014年,当时Google宣布了其BeyondCorp计划。 Google投入了大量的时间和金钱来建立自己的零信任实施方案,但其他企业却无法效仿,因为他们不具备Google的能力。

但零信任如今正在日益受到关注。“技术终于赶上了愿景,”Cunningham说。“5-7年前,我们还没有能力实现这类方法。现在我们开始看到可能。”

提供零信任的厂商包括下一代防火墙供应商Palo Alto Networks,托管服务提供商Akamai Technologies,身份管理供应商Okta,安全软件领导者Symantec,微分段专家Illumio和特权访问管理供应商Centrify。

思科、微软和VMware也不例外,它们都提供零信任的产品。根据Forrester Wave的调查,思科和微软被评为出色企业,而VMware则是竞争者。

那么,一个投入了数百万美元用于建立和加强其周边防御的企业,是如何突然改变策略,采用一种对所有人一视同仁的模式的呢?

如何开始使用零信任安全模型

第一个建议是从小处着手,就像Cunningham所说的那样,“尝试煮一小壶水而不是整个海洋。”他补充说:“对我来说,第一件事就是照顾卖家和第三方,找到一种方法将他们与网络的其余部分隔离开来。”

Gartner分析师Neil MacDonald对此表示赞同。他指出了零信任的三个新兴用例:针对供应链合作伙伴的新移动应用程序、云迁移方案和针对软件开发人员的访问控制。

他的DevOps和IT运营团队的访问控制是Sullivan在Workiva(一家IT基础设施完全基于云的公司)实现的。Sullivan一直在寻找一种更有效的方法,让他的团队可以通过云访问特定的开发和暂存实例。他放弃了传统的VPN,转而使用ScaleFT的零信任访问控制,ScaleFT是一家初创公司,最近被Okta收购。

Sullivan说,现在,当新员工拿起笔记本电脑时,该设备需要得到管理员的明确授权,员工需要连接到应用适当的身份和访问管理策略的中央网关才能访问网络。

Sullivan表示:“零信任概念早就应该出现了。这显然是正确的方法,但在推出企业级解决方案之前,我们浪费了近十年的时间在抱怨上面。”

以网络为中心或以身份为中心的零信任

Bekker说,供应商分为两个阵营:一个是以网络为中心的团队,其工作重点更多地放在网络细分和应用感知防火墙上,还有一个是以身份为中心的阵营,它们倾向于网络访问控制和身份管理。

位于内布拉斯加州奥马哈的托管服务提供商FNTS的CISO Robert LaMagna-Reiter采取了以网络为中心的路线,他使用来自Palo Alto的零信任安全堆栈对基础架构进行了全面检查。LaMagna-Reiter表示,几年前,他从根本上入手,建立了公司云服务平台的下一个迭代版本,以便可以扩展到多云世界。

LaMagna-Reiter说:“零信任使我们能够更精细地执行人们每天的工作。” 他将零信任计划的成功归功于广泛的前期基础工作,这些基础工作是为了全面了解员工角色,确定员工完成工作所需的资产和应用程序以及监视员工在网络上的行为。

他最初在一个非关键支持应用程序中进行了有限的部署,然后逐步发展,并得到了公司业务主管的支持。他说:“我们向人们表明,这不是一个技术决策,而是商业战略。”

Entegrus是加拿大安大略省的一家能源分销公司,同样致力于实现零信任,但它是以网络访问控制为中心。戴维·库伦(Dave Cullen)知道,由于维护和维修人员、仪表技术员和现场服务代表的流动人员遍布广泛的地理区域,每个人都携带多个设备,因此,他的攻击面很广,需要加以保护。

Entegrus的信息系统经理Cullen表示:“我们有一个业务需求,需要开始重建我们的网络。” 对网络的彻底检修给了库伦一个机会,让他开始走上零信任道路。他决定与PulseSecure合作,以部署其基于零信任的远程访问和网络访问控制工具。Cullen表示,至关重要的是这些产品能否无缝配对,这样Cullen才能在员工连接网络时实施相关策略。

库伦说他采用的是分阶段的方法,在实地部署之前,要先在实验室环境中进行试点并调整。首要任务是确保零信任基础架构对员工而言是无缝的。

“对我来说,零信任更多的是关于智能业务流程、数据流以及业务需求。这不仅仅是使用防火墙和网络分段。实际上,它更多的是动态响应一个不断变化的环境。” Cullen补充说。

Forrester的Cunningham承认,过渡到零信任会有一定程度的痛苦。“你是宁愿现在受点苦,然后把它做好,还是宁愿长期受苦,最后接到下一个大型故障的通知?”

零信任:为未知的,永无止境的旅程做好准备

对于那些考虑零信任的人来说,这里有两个关键要点。首先,没有零信任的部署路线图,没有行业标准,也没有厂商联盟,至少目前还没有,你必须自己滚动一下。“没有单一的策略,有100种方法可以解决这个问题。但它能以最小的阻力为你提供最大的控制权和最大的可视性,”Cunningham说。

第二,旅程永远不会结束。LaMagna-Reiter指出:“永远不会有完成的状态,成功没有明确的定义。” 零信任是一个帮助企业应对不断变化的商业环境的持续过程。

原文链接:https://www.networkworld.com/article/3487720/the-vpn-is-dying-long-live-zero-trust.html


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK