■ 云南 張銳

編者按：VPN 確保了企業(yè)員工之間的異地通信的便捷和高效，但如今VPN 也面臨來自安全方面的挑戰(zhàn)。特別是零信任理念誕生以來，經過多年的實踐，很多人都非常看好零信任的發(fā)展。那么面對新技術的挑戰(zhàn)，VPN 將會如何發(fā)展？零信任又將如何從根本上解決用戶的安全挑戰(zhàn)？本文將一一解析。

VPN 自誕生以來為遠程工作者提供了連接企業(yè)網絡的安全通道。但隨著企業(yè)遷移到更靈活、更精細的零信任安全框架，VPN 面臨被替代的可能。許多人認為，零信任框架更適合當今的數字業(yè)務世界。

VPN 是基于網絡邊界概念的安全策略的一部分——受信任的員工在內部，不受信任的員工被隔離在外部。但是，該模型已不再適用于現代業(yè)務環(huán)境，在該環(huán)境中，使用各種移動設備的員工可以從各種內部或外部位置訪問網絡，并且企業(yè)資產也由企業(yè)數據中心轉移到了多云環(huán)境中。

Gartner 預測，到2023年將有60%的企業(yè)摒棄VPN，并采用零信任網絡訪問。零信任網絡訪問可以采取網關或代理形式，在允許基于角色的上下文感知之前對設備和用戶進行身份驗證訪問。

與眾多安全設備及模型的缺陷類似。VPN 無法解決內部攻擊。對于供應商、第三方和供應鏈合作伙伴而言，VPN在這一方面表現得并不夠好。如果攻擊者竊取了某人的VPN 憑據，那么攻擊者可以在內網暢通無阻。另外，隨著時間的推移，當前的VPN 已變得尤為復雜且難以管理。目前很多用戶表示為VPN 的安全而抓狂。

關注當前企業(yè)安全狀況的人都知道，我們目前面臨的安全形勢已經越來越嚴峻。Forrester 首席分析師Chase Cunningham 甚至認為，目前基于邊界的安全模型已經徹底失敗了。并不是因為缺乏創(chuàng)新或缺乏投資，而是因為傳統安全模型是建立在并不牢固的基礎之上的。一旦安全防護體系出現一處短板，整個體系都將可能崩塌。

Palo Alto Networks 的分析師Jon Kindervag 在2009 年提出零信任安全框架以來，零信任理念已經開始為越來越多人所接納。該理念很簡單：持續(xù)驗證，永不信任，并強制執(zhí)行嚴格的訪問控制和身份管理策略，以限制員工訪問其工作所需的資源，僅此而已。

零信任不是某一項產品或技術，而是對安全性的另一種思考方式。很多人仍然停留在表層含義上，客戶也常因供應商在其含義上的不一致而感到困惑。但是也有安全人員認為，零信任有可能從根本上改變傳統安全的方式。

安全廠商開始擁抱零信任

盡管零信任理念及其框架已經誕生有10 年了，并且在業(yè)界引起了很大反響，但是直到最近一年左右，在企業(yè)側才開始興起。根據451 Group 近期的一項調查，只有大約13%的企業(yè)開啟了零信任之路。這一比例似乎并不高，其中的一個關鍵原因是供應商的步伐緩慢。

零信任的成功典范可以追溯到2014 年，當時Google宣布了其BeyondCorp 安全模型。Google 花了無數的時間和金錢來建立起自己的零信任方案，但不是每個企業(yè)都是Google，巨額的投入使它們難以效仿Google 的先例。

如今零信任越來越受到關注，技術的進步終于趕上了當初美好的愿景。5 至7年前，企業(yè)還沒有辦法能夠實現零信任的方法，而現在它們開始看到了可能。

供應商的壯大可以說從各個方面支持了零信任的發(fā)展。例如，在最新Forrester Wave 報告中的zero-trust eXtended Ecosystem（ZTX）就提到包括了像Palo Alto Networks、Akamai、Okta、Symantec、Illumio和Centrify 這樣的各類廠家。并且思科、微軟和Vmware 也都提供零信任產品。在國內，也有部分安全廠商開始對零信任開展研究實踐。

因此，已經投入了大量人力和物力用于建立和加強傳統網絡安全體系的企業(yè)，面對一種全新的安全模型時，能否做到將所有人（無論是企業(yè)高管還是普通員工，或是第三方供應商）都視為同等信任？這是個不小的挑戰(zhàn)。

如何開展零信任安全模型

第一個也是最重要的建議是從小處開始，逐漸積累而非一步到位。安全專家建議，首先可以選擇從第三方供應商開始，找到一種將其與自身網絡相隔離的方法。

Gartner 確定了三種新興的零信任用例：針對供應鏈合作伙伴的新移動應用程序、云遷移方案和針對軟件開發(fā)人員的訪問控制。

剛剛被Okta 收購的Workiva 公司實施的針對DevOps 和IT 運營團隊的訪問控制，使該公司可以通過云訪問特定的開發(fā)和模擬環(huán)境實例。Workiva 公司放棄了傳統的VPN 方案，轉而使用ScaleFT 的零信任訪問控制。

改造之后，當公司的新員工拿起筆記本電腦時，該設備需要得到管理員的明確授權。為了訪問網絡，員工需要連接到中心網關，該中心網關部署了適當的身份和訪問管理策略。

如今零信任已經不再是一個概念，而是已經實實在在得到了落地應用。而這一過程——在企業(yè)級解決方案問世之前，業(yè)界花費了近10年的時間。

供應商正圍繞兩個方向進行整合：以網絡為中心的團隊更加關注網絡分段和應用感知防火墻，而以身份為中心的團隊則傾向于網絡訪問控制和身份管理。

托管服務提供商FNTS 公司采取了以網絡為中心的改造路線，通過Palo Alto Networks 的零信任安全堆棧對其基礎架構進行了大幅改造，最終從根本上建立起公司云服務平臺的下一代版本，以便可以擴展到多云環(huán)境。

零信任使企業(yè)能夠更精細地執(zhí)行員工每天的工作。零信任方案的成功部署需要充分了解員工角色，以確定員工完成工作所需的資產和應用，以及監(jiān)視員工在網絡上的行為。

FNTS 公司從非關鍵應用的有限部署開始，然后慢慢擴展，并還需要從公司的業(yè)務部門那里獲得支持。FNTS公司也顯示出，部署零信任架構不是完全由技術決定，而是企業(yè)業(yè)務戰(zhàn)略的一部分。

Entegrus 公司同樣致力于實現零信任，但其方法是以網絡訪問控制為中心。由于大型企業(yè)業(yè)務遍布世界各個地區(qū)，每個區(qū)域的員工都擁有多個設備，因此，企業(yè)網絡的攻擊面非常廣泛且脆弱，需要特別加以保護。

Entegrus 公司因業(yè)務的需要，開始重建自己的網絡。這也使得它能夠有機會嘗試零信任方案。該公司通過與PulseSecure 合作，部署了基于零信任的遠程訪問和網絡訪問控制工具。最終做到安全產品和業(yè)務系統的無縫對接，公司可以在員工連接到網絡時應用這一策略。

Entegrus 公司采用了一種分階段部署的方法，首先需要在實驗室環(huán)境中進行試點項目并進行不斷調整，然后再進行現場部署。這其中的關鍵是確保零信任基礎架構對員工而言是無縫的。

對某些大型企業(yè)而言，零信任更多地是關于智能業(yè)務流程和數據流以及業(yè)務需求，而不僅僅是使用諸如防火墻和網絡分段這樣的安全產品。實際上，零信任更多的是動態(tài)響應不斷變化的環(huán)境。

當然，企業(yè)放棄傳統安全架構而過渡到零信任，會帶來一定程度的不適應。但相較而言，承受短暫的痛苦總歸是好過將來忍受長期無處不在的安全威脅。

零信任：為未知的、永無止境的安全未來做準備

對于考慮零信任理念的任何人或企業(yè)來說，這里有兩個關鍵要點要注意。首先，當前并沒有零信任部署路線圖，也沒有相關的行業(yè)標準作參考——至少目前還沒有。您需要“摸著石頭過河”。

正因如此，沒有一個單一的策略，您可以盡可能地去嘗試，充分發(fā)揮自己的創(chuàng)造力，以最小的阻力為您實現最大的控制力和可視性。

再者，安全發(fā)展永無止境。零信任同樣是一個持續(xù)不斷的過程，以幫助企業(yè)應對不斷變化的業(yè)務狀況。