En 400-6655-581
5
返回列表
> 資源中心 > 盤(pán)點(diǎn)零信任與SWG安全Web網(wǎng)關(guān)的區(qū)別

盤(pán)點(diǎn)零信任與SWG安全Web網(wǎng)關(guān)的區(qū)別

2021-04-08瀏覽次數(shù):3130

隨著信息化技術(shù)的不斷發(fā)展,企業(yè)對(duì)于員工互聯(lián)網(wǎng)訪問(wèn)行為的安全性和管理性要求不斷提升。目前常見(jiàn)的技術(shù)包括Zero-Trust Network Access (ZTNA)、Secure Web Gateway(SWG)等,但在實(shí)際應(yīng)用中,這兩種技術(shù)手段既有相似也有不同,本文將著重對(duì)這兩種技術(shù)手段進(jìn)行介紹。

 

01

首先我們來(lái)看下Gartner對(duì)這2種技術(shù)的定義:

 

Zero-Trust Network Access (ZTNA),零信任網(wǎng)絡(luò)訪問(wèn)是一種在一個(gè)或一組應(yīng)用程序周?chē)鷦?chuàng)建基于身份和上下文邏輯訪問(wèn)邊界的產(chǎn)品或服務(wù),它需要在用戶允許訪問(wèn)應(yīng)用程序之前代理驗(yàn)證其身份,并判斷上下文是否遵循相關(guān)策略,避免用戶進(jìn)入網(wǎng)絡(luò)后的橫向移動(dòng)。

 

Secure Web Gateway(SWG),安全Web網(wǎng)關(guān)是指用于保護(hù)訪問(wèn)網(wǎng)頁(yè)的PC端免受感染并執(zhí)行公司IT安全策略的解決方案,它可以在用戶發(fā)起的網(wǎng)頁(yè)訪問(wèn)流量中過(guò)濾惡意或非必要的軟件,并強(qiáng)制執(zhí)行公司策略合規(guī)性檢驗(yàn)。 

 

02

從以上的定義可以看出,這兩種技術(shù)的出發(fā)點(diǎn)是不同的;

 

零信任是一種安全策略,一種保護(hù)應(yīng)用資源訪問(wèn)的模式,而SWG是保護(hù)用戶訪問(wèn)網(wǎng)頁(yè)時(shí)免受非法軟件入侵的技術(shù);

 

零信任主要是Inbound入站方式的網(wǎng)絡(luò)訪問(wèn)流向,而SWG通常是Outbound出站方式,也有Inbound入站方式的應(yīng)用;從網(wǎng)絡(luò)訪問(wèn)流向上零信任和VPN或Reverse Proxy反向代理類(lèi)似,而SWG則和Proxy代理或Gateway網(wǎng)關(guān)類(lèi)似;

 

零信任是基于用戶身份的,在建立訪問(wèn)鏈路時(shí)首先需要進(jìn)行身份驗(yàn)證,而SWG對(duì)于身份驗(yàn)證不是必須的,沒(méi)有身份信息的訪問(wèn)也可以通過(guò)SWG,SWG也可以保護(hù)這些訪問(wèn)的安全。

 

03

零信任和SWG的許多技術(shù)正在逐步融合;

 

零信任架構(gòu)中的信任網(wǎng)關(guān)和SWG功能有許多相似點(diǎn),例如,都是基于網(wǎng)關(guān)Gateway模式,所有的訪問(wèn)都通過(guò)網(wǎng)關(guān),實(shí)現(xiàn)訪問(wèn)流量監(jiān)控,根據(jù)內(nèi)容基于策略實(shí)現(xiàn)訪問(wèn)權(quán)限管理或內(nèi)容過(guò)濾;

 

從廠商的產(chǎn)品形態(tài)上來(lái)看,這兩種技術(shù)都有基于云端的產(chǎn)品和解決方案,同時(shí)也支持私有化部署;

 

SWG產(chǎn)品相比零信任更早進(jìn)入市場(chǎng),隨著近年來(lái)零信任逐步成熟并被市場(chǎng)接受,大部分的SWG廠商通過(guò)在產(chǎn)品中增加零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)能力,進(jìn)入零信任產(chǎn)品和解決方案領(lǐng)域,所以在一眾零信任廠商列表中可以看到許多傳統(tǒng)SWG廠商;

 

在大多數(shù)的用戶應(yīng)用場(chǎng)景中,僅僅考慮零信任或SWG是不夠的,需要將兩種技術(shù)融合使用;或者在產(chǎn)品選型中,需要從產(chǎn)品支持的各種能力去考慮,而不是單一功能的選擇。Gartner的Secure Access Service Edge(SASE) 安全訪問(wèn)服務(wù)邊緣就定義了這樣一個(gè)安全模型,它將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全服務(wù)(ZTNA,SWG,云訪問(wèn)安全代理(CASB),防火墻即服務(wù)(FWaaS),數(shù)據(jù)丟失保護(hù)(DLP)等)融合在一起,形成一個(gè)支持應(yīng)用程序和用戶所有訪問(wèn)流量的綜合解決方案。該模型允許企業(yè)快速驗(yàn)證用戶身份,識(shí)別和緩解潛在的安全威脅,并全面檢查內(nèi)容。無(wú)需通過(guò)搭建常規(guī)的代理和SDP為互聯(lián)網(wǎng)訪問(wèn)和企業(yè)內(nèi)部應(yīng)用訪問(wèn)建設(shè)獨(dú)立的基礎(chǔ)架構(gòu)。

 

圖片

 

通過(guò)結(jié)合SASE和零信任原則,企業(yè)可以通過(guò)單一解決方案來(lái)實(shí)現(xiàn)ZTNA,從而在整個(gè)網(wǎng)絡(luò)中一致地應(yīng)用和實(shí)施安全策略。Gartner在其《零信任網(wǎng)絡(luò)訪問(wèn)市場(chǎng)指南》做出戰(zhàn)略規(guī)劃假設(shè),截至2022年,80%的新數(shù)字業(yè)務(wù)應(yīng)用將通過(guò)零信任網(wǎng)絡(luò)訪問(wèn),未來(lái),ZTNA概念也將會(huì)在更多的企業(yè)中得到實(shí)踐和應(yīng)用。