隨著信息化技術(shù)的不斷發(fā)展,企業(yè)對于員工互聯(lián)網(wǎng)訪問行為的安全性和管理性要求不斷提升。目前常見的技術(shù)包括Zero-Trust Network Access (ZTNA)、Secure Web Gateway(SWG)等,但在實際應(yīng)用中,這兩種技術(shù)手段既有相似也有不同,本文將著重對這兩種技術(shù)手段進行介紹。
01
首先我們來看下Gartner對這2種技術(shù)的定義:
Zero-Trust Network Access (ZTNA),零信任網(wǎng)絡(luò)訪問是一種在一個或一組應(yīng)用程序周圍創(chuàng)建基于身份和上下文邏輯訪問邊界的產(chǎn)品或服務(wù),它需要在用戶允許訪問應(yīng)用程序之前代理驗證其身份,并判斷上下文是否遵循相關(guān)策略,避免用戶進入網(wǎng)絡(luò)后的橫向移動。
Secure Web Gateway(SWG),安全Web網(wǎng)關(guān)是指用于保護訪問網(wǎng)頁的PC端免受感染并執(zhí)行公司IT安全策略的解決方案,它可以在用戶發(fā)起的網(wǎng)頁訪問流量中過濾惡意或非必要的軟件,并強制執(zhí)行公司策略合規(guī)性檢驗。
02
從以上的定義可以看出,這兩種技術(shù)的出發(fā)點是不同的;
零信任是一種安全策略,一種保護應(yīng)用資源訪問的模式,而SWG是保護用戶訪問網(wǎng)頁時免受非法軟件入侵的技術(shù);
零信任主要是Inbound入站方式的網(wǎng)絡(luò)訪問流向,而SWG通常是Outbound出站方式,也有Inbound入站方式的應(yīng)用;從網(wǎng)絡(luò)訪問流向上零信任和VPN或Reverse Proxy反向代理類似,而SWG則和Proxy代理或Gateway網(wǎng)關(guān)類似;
零信任是基于用戶身份的,在建立訪問鏈路時首先需要進行身份驗證,而SWG對于身份驗證不是必須的,沒有身份信息的訪問也可以通過SWG,SWG也可以保護這些訪問的安全。
03
零信任和SWG的許多技術(shù)正在逐步融合;
零信任架構(gòu)中的信任網(wǎng)關(guān)和SWG功能有許多相似點,例如,都是基于網(wǎng)關(guān)Gateway模式,所有的訪問都通過網(wǎng)關(guān),實現(xiàn)訪問流量監(jiān)控,根據(jù)內(nèi)容基于策略實現(xiàn)訪問權(quán)限管理或內(nèi)容過濾;
從廠商的產(chǎn)品形態(tài)上來看,這兩種技術(shù)都有基于云端的產(chǎn)品和解決方案,同時也支持私有化部署;
SWG產(chǎn)品相比零信任更早進入市場,隨著近年來零信任逐步成熟并被市場接受,大部分的SWG廠商通過在產(chǎn)品中增加零信任網(wǎng)絡(luò)訪問(ZTNA)能力,進入零信任產(chǎn)品和解決方案領(lǐng)域,所以在一眾零信任廠商列表中可以看到許多傳統(tǒng)SWG廠商;
在大多數(shù)的用戶應(yīng)用場景中,僅僅考慮零信任或SWG是不夠的,需要將兩種技術(shù)融合使用;或者在產(chǎn)品選型中,需要從產(chǎn)品支持的各種能力去考慮,而不是單一功能的選擇。Gartner的Secure Access Service Edge(SASE) 安全訪問服務(wù)邊緣就定義了這樣一個安全模型,它將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全服務(wù)(ZTNA,SWG,云訪問安全代理(CASB),防火墻即服務(wù)(FWaaS),數(shù)據(jù)丟失保護(DLP)等)融合在一起,形成一個支持應(yīng)用程序和用戶所有訪問流量的綜合解決方案。該模型允許企業(yè)快速驗證用戶身份,識別和緩解潛在的安全威脅,并全面檢查內(nèi)容。無需通過搭建常規(guī)的代理和SDP為互聯(lián)網(wǎng)訪問和企業(yè)內(nèi)部應(yīng)用訪問建設(shè)獨立的基礎(chǔ)架構(gòu)。
通過結(jié)合SASE和零信任原則,企業(yè)可以通過單一解決方案來實現(xiàn)ZTNA,從而在整個網(wǎng)絡(luò)中一致地應(yīng)用和實施安全策略。Gartner在其《零信任網(wǎng)絡(luò)訪問市場指南》做出戰(zhàn)略規(guī)劃假設(shè),截至2022年,80%的新數(shù)字業(yè)務(wù)應(yīng)用將通過零信任網(wǎng)絡(luò)訪問,未來,ZTNA概念也將會在更多的企業(yè)中得到實踐和應(yīng)用。