日前,全球权威咨询机构Forrester发布 《New Tech: Zero Trust Network Access, Q2 2021》(《New Tech: 2021年第二季度零信任网络访问》报告,下称《报告》)。

《报告》指出,受疫情催化影响远程访问常态化,但传统VPN远程接入方案存在诸多安全挑战。为应对挑战,企业寻求更安全的解决方案,零信任网络访问(ZTNA)已成为标志性的安全技术,主要通过三种方式推进其市场发展。ZTNA市场发展迅速,Forrester通过调查评估全球网络安全市场,评选出34家厂商上榜零信任厂商成熟度榜单。Forrester通过研究发现零信任厂商部署ZTNA解决方案主要有三种模式,企业可根据自身需求等因素选择适合的零信任解决方案。

随着企业数字化转型深入和后疫情时代的来临,远程访问常态化发展,促使企业需要开放更多业务给各种人员、各种设备、任何时间、任何地点进行访问,多类远程访问场景无疑产生了大量的、复杂的访问需求,加剧了企业网络的打开与延伸,网络边界越来越模糊。以VPN接入为主的现有边界安全产品在在端口开放、多维认证、细粒度权限、自身安全防护方面均存在不足,难以应对安全挑战。《报告》也认为VPN的接入的解决方案会面临挑战,主要为:

  • 内网流量限制,网络性能降低,可用性面临挑战;
  • VPN许可失效,用户无法再连接入内网;
  • 用户漫游在互联网中,缺乏远程网络保护。

这些安全挑战迫使企业寻求更安全的解决方案,也就是零信任网络访问(ZTNA)。

“零信任”已经成为网络安全圈的热门。国内外ZTNA市场发展迅速,Forrester对全球网络安全市场进行调查评估,评选出34家零信任厂商,从业务发展、员工发展以及产品成熟度三个维度综合评估零信任厂商成熟度,分级为“成熟型”、 “成长型”、 “早期型”三类。同时也介绍了现有产品形态、重点行业及代表客户。研究发现零信任厂商的方案和产品主要会以三种方式进行市场推广。

  • ZTNA解决方案定位为VPN的替代品,更快更安全地解决流量问题;
  • ZTNA解决方案作为切入点,迈出零信任第一步,后续拓展到全场景。实现全场景零信任架构迁移;
  • ZTNA解决方案作为一种服务,大多托管在公有云上,做到ZTNA即服务解决方案。

零信任厂商成熟度榜单中,国内知名安全厂商奇安信、深信服、腾讯安全等均位列“成长型”;“成熟型”厂商包括Akamai(阿卡迈)、Palo Alto Network(派拓网络)等;BlackBerry(黑莓)、Axis Security、Ananda Networks等属于“早期型”。

安全厂商提供的ZTNA解决方案时会根据用户需求,基于隐私、用量、性能三方面考虑,通过不同部署模式构建。就上榜厂商而言,SaaS方式部署几乎是所有供应商的选择,不过大多数供应商也采用自托管方式,极少数通过网络覆盖部署ZTNA。(部署模式介绍可参考下方)

● 云托管SaaS(Cloud-hosted SaaS)

ZTNA最常见的部署模型。该模型提高了安全性和性能,同时具备云上拓展能力。但也存在缺点,必须为每个应用程序部署和配置本地软件连接器、缺乏数据驻留控制能力。

●自托管软件(Self-hosted software)

基于合规性、政策等要求,一些企业机构通常采用保守方式,将软件安装在自己的数据中心。该部署模式攻击面较小,但企业需自己解决维护、测试、升级、补丁等问题,也缺乏延展性。

● 网络覆盖(Overlay network)

该模型将每个主机上的软件代理连接至零信任虚拟覆盖网络。连接至该虚拟覆盖网络的用户基于云上管理的基于身份的安全策略,可访问网络中的资源。若企业组织存在无法使用代理的设备或代理疲劳的情况,这种部署模式不可行。

对于大多数企业来说,ZTNA解决方案是迈出零信任的第一步,在进行解决方案和产品的选择时,企业用户应根据自身需求,考虑合作伙伴生态等多方因素。

达成“零信任”的技术手段多种多样,但无论如何,解决方案和产品都应该是立足于零信任架构的“以身份为基石,业务安全访问,持续信任评估,动态访问控制”四大关键能力,确保企业任意人员、任意终端从任意时间、任意地点、任意场景访问任意业务。

企业也要有长远的眼光,选择具备安全能力叠加、有场景拓展能力的零信任解决方案,为日后实现全场景安全架构、安全策略、安全运行统一做准备,实现全场景零信任架构迁移。

本文作者:牛苗苗 奇安信身份安全实验室

参考资料:https://services.forrester.com/report/New+Tech+Zero+Trust+Network+Access+Q2+2021/-/E-RES161768

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。