前情回顾·零信任技术全面普及

安全内参8月11日消息,多年来,零信任倡导者一直在推动废除VPN,主要是因为VPN提供了过多(隐含的)访问权限,可能成为恶意活动的入口。

VPN替代技术是零信任网络访问(ZTNA)。目前,大多数组织都在采用ZTNA实现零信任。ZTNA在疫情期间十分火爆,但火爆原因并不是安全性:使用ZTNA,远程用户就不再需要将始终保持连接的VPN流量通过企业内部的安全堆栈。ZTNA既能提高生产力,也能增加安全性。

三大公共云服务提供商,亚马逊网络服务(AWS)、谷歌云和微软Azure,现在都提供云原生ZTNA服务。下面将详细讨论每家超大规模云服务商提供的ZTNA服务。

Google BeyondCorp

谷歌的零信任访问服务名为BeyondCorp。值得一提的是,谷歌早早在市场上提供零信任访问解决方案,很可能还是最早这样做的供应商。

BeyondCorp与谷歌生态系统其他部分结合时效果最好。例如,BeyondCorp软件客户端就是安装在您计算机上的谷歌Chrome浏览器。这是BeyondCorp的独特之处。

AWS Verified Access

今年4月,AWS推出了自家的ZTNA服务,名为Verified Access。长期以来,AWS一直将VPN直接连接到虚拟产品控制器(VPC)。这样做的确很赞。但是,他们现在有了零信任访问,可以让用户直接访问应用程序。

与几乎所有其他按用户收费的服务不同,AWS是按使用量(按小时)收费。费用取决于连接的应用程序以及正在处理的数据。目前,该服务无法保护企业内部应用程序,所以它更适合那些完全采用云计算的组织

微软Private Access

今年7月,微软发布重大安全服务大公告。这家供应商将Azure AD更名为Entra,方便与Active Directory区分。微软还进入了不断壮大的安全服务边缘(SSE)市场,与Zscaler、Netskope、Cloudflare、Menlo、Lookout、iboss等展开竞争。安全服务边缘是一套保护远程用户的技术(包含ZTNA)。

事实上,微软多年来一直有一个名为Conditional Access的ZTNA功能。它可以与在Azure中托管的应用程序一起使用,但管理员也可以通过一个EXE连接器将其配置,为企业内部应用程序提供ZTNA。如果用户有合适的许可级别,这项服务是免费的,但它仅限于Web应用程序。对于需要所有端口和协议来支持VOIP等事项的大型组织来说,这是一个硬伤。

Conditional Access功能是新的Private Access服务的核心。目前,它至少可以处理任何TCP应用程序,但仍然存在一些重要的限制,比如无法为M365提供IPv6隧道支持,也缺乏QUIC支持。这是相当大的问题,因为QUIC是Exchange Online使用的协议。

最后

虽然三家超大规模云服务商现在都提供原生ZTNA服务(阿里云也有,但仅限于国内),但是企业很可能只在特定情况下使用。与其他云安全服务仅嵌入基础架构不同(比如DDoS防护),ZTNA是面向用户的,需要在终端上使用客户端代理。

许多企业级客户是多云/混合云环境,他们需要一套良好体验的零信任解决方案,并且能通过单一客户端代理来实现,因此企业可能需要寻求第三方供应商。

参考资料:https://www.forrester.com/blogs/the-big-three-hyperscalers-all-have-cloud-native-ztna-now/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。