盤點零信任與SWG安全Web網(wǎng)關(guān)的區(qū)別

首先我們來看下Gartner對這2種技術(shù)的定義：

Zero-Trust Network Access (ZTNA)，零信任網(wǎng)絡(luò)訪問是一種在一個或一組應(yīng)用程序周圍創(chuàng)建基于身份和上下文邏輯訪問邊界的產(chǎn)品或服務(wù)，它需要在用戶允許訪問應(yīng)用程序之前代理驗證其身份，并判斷上下文是否遵循相關(guān)策略，避免用戶進入網(wǎng)絡(luò)后的橫向移動。

Secure Web Gateway(SWG)，安全Web網(wǎng)關(guān)是指用于保護訪問網(wǎng)頁的PC端免受感染并執(zhí)行公司IT安全策略的解決方案，它可以在用戶發(fā)起的網(wǎng)頁訪問流量中過濾惡意或非必要的軟件，并強制執(zhí)行公司策略合規(guī)性檢驗。 

從以上的定義可以看出，這兩種技術(shù)的出發(fā)點是不同的；

零信任是一種安全策略，一種保護應(yīng)用資源訪問的模式，而SWG是保護用戶訪問網(wǎng)頁時免受非法軟件入侵的技術(shù)；

零信任主要是Inbound入站方式的網(wǎng)絡(luò)訪問流向，而SWG通常是Outbound出站方式，也有Inbound入站方式的應(yīng)用；從網(wǎng)絡(luò)訪問流向上零信任和VPN或Reverse Proxy反向代理類似，而SWG則和Proxy代理或Gateway網(wǎng)關(guān)類似；

零信任是基于用戶身份的，在建立訪問鏈路時首先需要進行身份驗證，而SWG對于身份驗證不是必須的，沒有身份信息的訪問也可以通過SWG，SWG也可以保護這些訪問的安全。

零信任和SWG的許多技術(shù)正在逐步融合；

零信任架構(gòu)中的信任網(wǎng)關(guān)和SWG功能有許多相似點，例如，都是基于網(wǎng)關(guān)Gateway模式，所有的訪問都通過網(wǎng)關(guān)，實現(xiàn)訪問流量監(jiān)控，根據(jù)內(nèi)容基于策略實現(xiàn)訪問權(quán)限管理或內(nèi)容過濾；

從廠商的產(chǎn)品形態(tài)上來看，這兩種技術(shù)都有基于云端的產(chǎn)品和解決方案，同時也支持私有化部署；

SWG產(chǎn)品相比零信任更早進入市場，隨著近年來零信任逐步成熟并被市場接受，大部分的SWG廠商通過在產(chǎn)品中增加零信任網(wǎng)絡(luò)訪問(ZTNA)能力，進入零信任產(chǎn)品和解決方案領(lǐng)域，所以在一眾零信任廠商列表中可以看到許多傳統(tǒng)SWG廠商；

在大多數(shù)的用戶應(yīng)用場景中，僅僅考慮零信任或SWG是不夠的，需要將兩種技術(shù)融合使用；或者在產(chǎn)品選型中，需要從產(chǎn)品支持的各種能力去考慮，而不是單一功能的選擇。Gartner的Secure Access Service Edge(SASE) 安全訪問服務(wù)邊緣就定義了這樣一個安全模型，它將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全服務(wù)(ZTNA，SWG，云訪問安全代理(CASB)，防火墻即服務(wù)(FWaaS)，數(shù)據(jù)丟失保護(DLP)等)融合在一起，形成一個支持應(yīng)用程序和用戶所有訪問流量的綜合解決方案。該模型允許企業(yè)快速驗證用戶身份，識別和緩解潛在的安全威脅，并全面檢查內(nèi)容。無需通過搭建常規(guī)的代理和SDP為互聯(lián)網(wǎng)訪問和企業(yè)內(nèi)部應(yīng)用訪問建設(shè)獨立的基礎(chǔ)架構(gòu)。

通過結(jié)合SASE和零信任原則，企業(yè)可以通過單一解決方案來實現(xiàn)ZTNA，從而在整個網(wǎng)絡(luò)中一致地應(yīng)用和實施安全策略。Gartner在其《零信任網(wǎng)絡(luò)訪問市場指南》做出戰(zhàn)略規(guī)劃假設(shè),截至2022年，80%的新數(shù)字業(yè)務(wù)應(yīng)用將通過零信任網(wǎng)絡(luò)訪問，未來，ZTNA概念也將會在更多的企業(yè)中得到實踐和應(yīng)用。