博客
远程劳动力保护
现在是零信任软件定义的周长(SDP)的时候了
零信任网络访问

现在是零信任软件定义的周长(SDP)的时候了

Etay Bogner

一种软件定义的周长虚拟专用网络(VPN)的零信任替代方案是什么安全远程访问到任何地方,位于任何地方。零信任SDP模型的原始概念很简单。只要它属于员工并且连接到局域网(LAN),您就没有相信设备。理想情况下,零信任运动意味着“没有”是值得信赖的。

零信任SDP定义扩展到包括微分段的组合以及基于身份的访问。微分段提供了改进的网络隔离,分割和控制。基于身份的访问可确保在登录时,用户未经认证一次或两次,但不断验证,并检查其活动以检测异常。

它被错误地假设由于设备属于员工并且在LAN上,它应该允许网络访问,即使该设备通过VPN远程连接。但是,如果我们在过去的经历上发出火炬,我们将意识到安全专业人士需要非常谨慎地授予授予网络访问。

基于地理位置的网络设计

零信任软件定义的周长概念介绍了一种与网络常用的方式不同的网络的网络。目前,网络拓扑的设计不是用户周围的,他们需要访问的资源;10bet十搏欧洲杯首页相反,它围绕分支机构和数据中心建造。

设计网络的传统方式不是基于身份的,而是基于物理位置。与零信任网络设计相比,这最终以多种方式缩短,特别是随着周边变得不太清晰。

周长现在是流体的

过去,生命更加简单,因为我们有静态有线的公司拥有的设备访问静态,明确定义的企业应用程序。但是,现在我们有多个设备(公司和个人拥有)从到处连接。今天,还有迅速迁移到软件 - AS-Service(SaaS)和基础架构 - AS-Service(IAAS)环境。

因此,我们不再被具有明确分界点的安全网络周边屏蔽。移动用户,带上自己的设备(拜托)和云应用正在测试传统VPN架构的限制。然而,企业严重依赖VPN访问无缝生产力。

VPN安全性和可用性问题

VPN的第一个问题今天是安全 - 登录VPN并获得广泛的网络访问的用户。即使网络是精心设计和分段的,攻击者也可以看到各种网络资源。10bet十搏欧洲杯首页

让我们不要忘记用户体验:当您必须向集中数据中心重新启动到VPN终端或用于安全目的时,存在降低应用程序性能的延迟。此外,用户通常需要处理不可靠的客户端应用程序和复杂的配置。如果您有一个VPN集中器和回程到该位置,则除了延迟之外可能不会有太多问题。但是,如果例如,您有3个VPN集中器,并且用户需要选择正确的集中器,则必须知道应用程序所在的位置。

云规模问题

从操作上讲,一旦有数千名内部员工和第三方远程访问应用程序,那么定义策略并在不同地点同步它们是非常复杂的。此外,在数十个或数百个云实例中部署、配置和管理vpn是昂贵的、耗时的,而且风险很高。

vlan的滥用

最初,网络设计基于区域。VLAN的原始用例专注于通过划分广播域来提高性能。然而,随着时间的推移,他们的角色发展为提供他们从未真正打算的安全性。

它们不是跨越多个位置的最佳技术。考虑到VLAN不支持其本地形式的云。你如何从AWS到谷歌云并携带VLAN?当每个云提供商或数据中心具有特定的分段方案时,您如何执行管理和同步?

正确的前进方式 - 微分段

微观细分是零信任的第一阶段。人们迫切需要创建一个逻辑网络,用户只能看到他们有权看到的东西。微细分将传统的基于区域的体系结构进一步细分区域内的网络为单个应用或服务。

微分割是右方向的一步;但是,它确实有了某些问题。首先,它使用简单允许或拒绝的二进制规则。这是一件或没有任何任何的方法,也不允许更智能,动态和颗粒规则。另一个挑战是,默认情况下,它不会考虑身份,位置或设备姿势。

您需要跨网络、数据中心和云同步所有IP地址和身份。管理用户和设备基于IP地址和TCP/UDP端口所能做的事情的规则会在用户在不同的网络间漫游时导致一致性角色访问控制(RBAC)的问题。

我们都知道IP地址会随着子网边界和时间的变化而变化。因此,我们需要保留所有的DHCP日志,并形成一个连贯的数据流,可以将其提供给外部系统,如安全信息和事件管理(SIEM)以及跨网络的安全设备。这最终需要大量的调查工作。

尽管如此,您仍然必须努力分区所有网络。您需要在所有数据中心和云位置进行分区,然后将其基于用户的身份基础。您需要确保将网络分区,以便身份可以访问合适的服务,这可能很难管理和缩放。

微观分割必须以身份为基础

关键在于,你的目标是以一种永久的方式识别用户,而不管他们的连接点是什么。这使IT管理员能够快速了解网络中正在发生的事情,而不需要进行耗时的检查工作。此外,它允许您在整个网络中一致地放置访问策略规则。

我们需要一个基于身份的解决方案而不是身份,而不是基于我们拥有的信息,例如设备类型,位置和所有权来实现和做出决策。

第二个问题与身份验证有关。IP地址不是为身份验证机制而设计的。解决方案必须确保流量携带身份。

零信任网络设计的下一步是什么?

今天的企业的挑战是为移动用户巩固网络和安全交付。要将传统的VPN远程访问转换为低风险,一个连贯的解决方案是一个很大的挑战。

需要一种均匀的解决方案,如零信任软件定义的周长需要提供对未与物理位置相关联的数据和应用程序的访问。管理访问和设置策略应该集中完成。需要什么是全局分布的抽象层,位于现有基础架构的顶部,从而从任何人到任何地方和站点到站点连接的无缝访问。应内置身份和微分段。

要了解更多关于零信任SPD和VPN的信息,并了解为什么现在是时候进行转换了,请查看我们最近的白皮书。

了解更多关于Proofpoint的方法零信任

订阅校对点博客