從零信任角度看VPN安全

說到VPN，大家應(yīng)該都不陌生，在工信部整治VPN亂象之前，誰的手機(jī)里沒有一個(gè)翻墻軟件，畢竟要探索墻外世界的必要條件之一就是VPN，所以很多人理所當(dāng)然的VPN當(dāng)成翻墻的“梯子”，但VPN的使用場(chǎng)景遠(yuǎn)不止翻墻瀏覽外網(wǎng)那么簡(jiǎn)單。

2020年初，新冠疫情讓人措手不及，很多企業(yè)被迫開啟遠(yuǎn)程辦公模式。一些工作僅需要網(wǎng)絡(luò)和office全家桶就能完成，可有些工作需要訪問企業(yè)系統(tǒng)內(nèi)網(wǎng)來支撐工作的開展。

這種時(shí)候VPN就派上用場(chǎng)了。

只不過這里的VPN不是翻外墻，而是作為遠(yuǎn)程辦公的解決辦法。

它可以通過特殊的加密通訊協(xié)議在兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，以此實(shí)現(xiàn)遠(yuǎn)程辦公。

不過盡管VPN能實(shí)現(xiàn)異地訪問內(nèi)網(wǎng)的需求，但還是存在一定的風(fēng)險(xiǎn)。一些企業(yè)為了方便員工存取VPN，會(huì)在入職時(shí)替員工的流動(dòng)設(shè)備設(shè)定好VPN聯(lián)機(jī)，而IT部門為了減少用戶查詢，也會(huì)直接把登入信息儲(chǔ)存，讓員工直接點(diǎn)擊即可連接到VPN。

而這里面其實(shí)有個(gè)安全隱患：企業(yè)無法保證VPN的掌控權(quán)一直在員工自己手中。假如員工設(shè)備遺失、密碼泄露、或者被攻擊者利用社工手段接觸到設(shè)備等問題都會(huì)導(dǎo)致企業(yè)內(nèi)網(wǎng)被他人入侵。因?yàn)楹芏郪PN只要通過賬號(hào)登錄這一關(guān)，就能輕松訪問內(nèi)網(wǎng)資源。

像VPN這類傳統(tǒng)的邊界防護(hù)認(rèn)為數(shù)據(jù)中心的內(nèi)部是安全的，只要做好邊界防護(hù)，牢守城門，外部的攻擊就不能對(duì)內(nèi)部的數(shù)據(jù)造成威脅。如果用戶一旦通過網(wǎng)關(guān)接入內(nèi)網(wǎng)，其所有操作都被信任和接受，一些黑客正是利用這一點(diǎn)發(fā)起對(duì)企業(yè)內(nèi)網(wǎng)的攻擊。

在安全防護(hù)的理念上，零信任則跟VPN不同，零信任沒有任何預(yù)設(shè)條件，無論用戶在哪，如果想要獲得內(nèi)網(wǎng)某一資源，都需要進(jìn)行身份驗(yàn)證，即便用戶自己訪問內(nèi)網(wǎng)也需要通過多因素認(rèn)證，并且即便用戶通過了認(rèn)證也不能隨便訪問內(nèi)網(wǎng)資源。在基于角色/屬性授權(quán)后，用戶可訪問最小化授權(quán)的應(yīng)用、使用最小授權(quán)的功能。而且在訪問應(yīng)用過程中，安全風(fēng)險(xiǎn)會(huì)被持續(xù)評(píng)估，如果零信任系統(tǒng)發(fā)現(xiàn)終端環(huán)境、用戶行為存在風(fēng)險(xiǎn)，或用戶將進(jìn)行敏感高危操作，則會(huì)觸發(fā)動(dòng)態(tài)授權(quán)、二次認(rèn)證等，進(jìn)一步可進(jìn)入審批環(huán)節(jié)，從而將風(fēng)險(xiǎn)降到最低。

簡(jiǎn)單來說，企業(yè)大可不必再度擔(dān)心某些員工會(huì)利用VPN當(dāng)跳板入侵企業(yè)內(nèi)網(wǎng)刪除機(jī)密信息的事故了。

比起VPN這類傳統(tǒng)的邊界防護(hù)，零信任具備以下的優(yōu)點(diǎn)足以滿足企業(yè)的安全需求：