网络安全十年巨变：零信任与SASE崛起

过去十年，网络安全领域经历了翻天覆地的变化，传统的基于边界防御的模型已不复存在。云计算的迅速扩张以及新冠疫情引发的远程工作激增，促使零信任和安全访问服务边缘（SASE）这两种互补但不同的网络安全模型得到广泛采用。

安全边界消逝
曾经，企业的网络有着明确的物理边界。员工在办公室启动电脑时便接入了企业网络，而一旦离开办公室，便无法再访问该网络。彼时的网络安全相对简单，仅需部署边缘防火墙即可保障整个网络的安全，因为网络结构相对扁平化。

“你只需要边缘周界防火墙，这就是你的网络安全，因为一切都是一个平面网络，”费城宾夕法尼亚医学的首席信息安全官朱利安·米哈伊（Julian Mihai）说道。

然而，自2000年左右企业VPN和家庭宽带互联网接入开始部署以来，这一状况逐渐发生改变。即便当时员工通过VPN从家中登录，企业网络仍存在“内部”与“外部”之分，VPN提供对“内部”的访问权限。一旦进入“内部”，员工往往能够无限制地访问网络中的大部分资源。

如今，情况已大不相同。在零信任和SASE模型中，网络无处不在，几乎所有组织都在云端拥有资产，任何拥有正确凭据的个人或设备都能接入网络。

“你需要全面地考虑安全问题，”Check Point安全服务产品管理负责人阿维夫·阿布拉莫维奇（Aviv Abramovich）表示。“你的网络实际上延伸到了坐在家中穿着拖鞋、在个人Wi-Fi路由器上使用自带电脑阅读电子邮件的员工那里。”

此外，现代智能手机的广泛普及以及“智能”电视、语音助手和其他智能设备的并行发展，也对现代网络安全产生了影响。

智能手机的普及意味着每天有数千万部口袋大小、由个人拥有和管理的电脑加入企业网络。网络安全工作人员必须确保这些设备的输入安全并进行清理，而零信任模型假定每个设备都可能具有敌意，这使得这项任务变得更为容易。

将智能电视、智能冰箱或恶意嵌入式设备添加到工作场所网络中（甚至远程连接）会创造出另一条攻击途径，而零信任同样可以减轻这种风险。

验证但不信任
零信任模型使用身份而非相对于边界的地理位置来授予访问权限。更重要的是，零信任模型不会让用户在网络中自由漫游。

相反，用户在访问新的区域和资源时必须进行身份验证，即使他们已经登录。零信任模型也适用于传统的本地网络。

“我两分钟前信任你，并不意味着我现在还信任你，”阿布拉莫维奇说道。“也许你在那两分钟内设法在你的笔记本电脑上安装了恶意软件，或者你在访问的任何地方，现在我必须撤销这种信任。”

零信任在2010年后开始崭露头角。当时，谷歌实施并推广了其BeyondCorp零信任模型，Forrester Research也发表了一篇如今著名的论文，题为“不再有软心馅：介绍零信任信息安全模型”。

然而，零信任在实践中真正腾飞是在2020年初，新冠疫情突然在全球范围内创造了数亿远程工作者。
“[新冠疫情]确实加速了之前已经开始的事情：需要从我的手机、电脑、家中、咖啡馆、旅行时等地方工作，”阿布拉莫维奇说道。

零信任的衍生原则是最小权限原则，该原则指出，不应授予用户超出完成分配角色所必需的系统权限或特权。

“现实是你将在网络上的受信任资产上拥有威胁行为者，”米哈伊说道。“如果没有零信任方法，在网络上、在应用程序上，你将无法有效地遏制这种威胁。”

零信任还解决了云计算带来的一些问题，云计算将资产和工作负载从边界防御的安全茧房中移除。由于零信任模型以身份为中心而非地理位置，因此更容易保护可能位于任何地方的云资产。

在服务边缘获取SASE
安全访问服务边缘（SASE）及其兄弟产品安全服务边缘（SSE）比零信任在用例上更为专业。

SASE的最佳用例是拥有众多分布在广泛区域的办公室的大型组织。与其试图通过有线或VPN连接在分支机构和中央总部之间复制基于边界的网络，SASE创建了一个软件定义的广域网（SD-WAN），可以从云端进行管理。

SASE将网络保护扩展到区域分散的接入点（POP），用户可以本地连接到这些接入点，而不是连接到遥远的数据中心。由于网络基于云端和软件，它不需要“位于”任何地方，这意味着它也可以覆盖在家工作的员工。

为了保护这个虚拟网络，SASE采用基于云端的防火墙，即防火墙即服务（FWaaS），以执行公司网络策略；安全Web网关（SWG），用于监控用户网络流量并阻止恶意软件；以及零信任网络访问（ZTNA），将零信任原则应用于所有访问请求。

大多数SASE实现包括云访问安全代理（CASB），用于监控和控制对云应用程序和实例的流量。

“有些客户已经保护了他们的云，但他们并没有使用SASE，”阿布拉莫维奇说道。“SASE更多是一种架构，你在分支机构有SD-WAN，在云端有防火墙即服务。”

一些SASE和SSE设置增加了数据丢失预防（DLP）系统、域名系统层（DNS-layer）安全或入侵预防或入侵检测系统（IPS/IDS）。或者，FWaaS或SWG可能提供其中的一些或全部保护。

SASE最初在2019年Gartner的一篇白皮书中被定义。两年后，Gartner承认许多没有分支机构，甚至没有任何办公室的组织，对SD-WAN没有任何需求。于是，它提出了SSE，保留了SASE的FWaaS、SWG、CASB和POP组件，并让ZTNA处理安全网络连接。

保障云端安全
云端网络安全需要“云原生”安全工具，这些工具能够跟踪每个资产、每组数据和每个用户，并分别为它们创建保护。对于习惯于本地网络的安全从业者来说，这些软件及其相关技术可能并不熟悉。

除了CASB和ZTNA，这些工具还包括云安全态势管理（CSPM）、云工作负载保护平台（CWPP）以及更具包容性的云原生应用保护平台（CNAPP）。

当然，许可和实施这些云原生工具，并培训员工使用它们，成本高昂。一些组织可能需要扩充其安全团队，以跟上云资产的扩张步伐。

然而，传统方法仍然适用，你还不应丢弃那些遗留网络安全工具。

在CyberRisk Alliance最近对202名IT和安全经理及决策者进行的一项调查中，96%的受访者表示他们的组织至少有一些工作负载在云端。

但只有16%的受访者表示，他们超过四分之三的工作负载是基于云的，这意味着几乎所有受访者都在运行由云和遗留元素混合而成的网络。“绝大多数[组织]拥有传统的网络，这些网络正在被云和其他类型的新技术所增强，”阿布拉莫维奇说道。“对于所有这些组织来说，边界防御仍然非常相关。”

参考链接：From the perimeter to SASE: The evolution of network security