隨著信息化技術(shù)的不斷發(fā)展,企業(yè)對(duì)于員工互聯(lián)網(wǎng)訪問行為的安全性和管理性要求不斷提升。目前常見的技術(shù)包括Zero-Trust Network Access (ZTNA)、Secure Web Gateway(SWG)等,但在實(shí)際應(yīng)用中,這兩種技術(shù)手段既有相似也有不同,本文將著重對(duì)這兩種技術(shù)手段進(jìn)行介紹。
01
首先我們來看下Gartner對(duì)這2種技術(shù)的定義:
Zero-Trust Network Access (ZTNA),零信任網(wǎng)絡(luò)訪問是一種在一個(gè)或一組應(yīng)用程序周圍創(chuàng)建基于身份和上下文邏輯訪問邊界的產(chǎn)品或服務(wù),它需要在用戶允許訪問應(yīng)用程序之前代理驗(yàn)證其身份,并判斷上下文是否遵循相關(guān)策略,避免用戶進(jìn)入網(wǎng)絡(luò)后的橫向移動(dòng)。
Secure Web Gateway(SWG),安全Web網(wǎng)關(guān)是指用于保護(hù)訪問網(wǎng)頁的PC端免受感染并執(zhí)行公司IT安全策略的解決方案,它可以在用戶發(fā)起的網(wǎng)頁訪問流量中過濾惡意或非必要的軟件,并強(qiáng)制執(zhí)行公司策略合規(guī)性檢驗(yàn)。
02
從以上的定義可以看出,這兩種技術(shù)的出發(fā)點(diǎn)是不同的;
零信任是一種安全策略,一種保護(hù)應(yīng)用資源訪問的模式,而SWG是保護(hù)用戶訪問網(wǎng)頁時(shí)免受非法軟件入侵的技術(shù);
零信任主要是Inbound入站方式的網(wǎng)絡(luò)訪問流向,而SWG通常是Outbound出站方式,也有Inbound入站方式的應(yīng)用;從網(wǎng)絡(luò)訪問流向上零信任和VPN或Reverse Proxy反向代理類似,而SWG則和Proxy代理或Gateway網(wǎng)關(guān)類似;
零信任是基于用戶身份的,在建立訪問鏈路時(shí)首先需要進(jìn)行身份驗(yàn)證,而SWG對(duì)于身份驗(yàn)證不是必須的,沒有身份信息的訪問也可以通過SWG,SWG也可以保護(hù)這些訪問的安全。
03
零信任和SWG的許多技術(shù)正在逐步融合;
零信任架構(gòu)中的信任網(wǎng)關(guān)和SWG功能有許多相似點(diǎn),例如,都是基于網(wǎng)關(guān)Gateway模式,所有的訪問都通過網(wǎng)關(guān),實(shí)現(xiàn)訪問流量監(jiān)控,根據(jù)內(nèi)容基于策略實(shí)現(xiàn)訪問權(quán)限管理或內(nèi)容過濾;
從廠商的產(chǎn)品形態(tài)上來看,這兩種技術(shù)都有基于云端的產(chǎn)品和解決方案,同時(shí)也支持私有化部署;
SWG產(chǎn)品相比零信任更早進(jìn)入市場(chǎng),隨著近年來零信任逐步成熟并被市場(chǎng)接受,大部分的SWG廠商通過在產(chǎn)品中增加零信任網(wǎng)絡(luò)訪問(ZTNA)能力,進(jìn)入零信任產(chǎn)品和解決方案領(lǐng)域,所以在一眾零信任廠商列表中可以看到許多傳統(tǒng)SWG廠商;
在大多數(shù)的用戶應(yīng)用場(chǎng)景中,僅僅考慮零信任或SWG是不夠的,需要將兩種技術(shù)融合使用;或者在產(chǎn)品選型中,需要從產(chǎn)品支持的各種能力去考慮,而不是單一功能的選擇。Gartner的Secure Access Service Edge(SASE) 安全訪問服務(wù)邊緣就定義了這樣一個(gè)安全模型,它將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全服務(wù)(ZTNA,SWG,云訪問安全代理(CASB),防火墻即服務(wù)(FWaaS),數(shù)據(jù)丟失保護(hù)(DLP)等)融合在一起,形成一個(gè)支持應(yīng)用程序和用戶所有訪問流量的綜合解決方案。該模型允許企業(yè)快速驗(yàn)證用戶身份,識(shí)別和緩解潛在的安全威脅,并全面檢查內(nèi)容。無需通過搭建常規(guī)的代理和SDP為互聯(lián)網(wǎng)訪問和企業(yè)內(nèi)部應(yīng)用訪問建設(shè)獨(dú)立的基礎(chǔ)架構(gòu)。
通過結(jié)合SASE和零信任原則,企業(yè)可以通過單一解決方案來實(shí)現(xiàn)ZTNA,從而在整個(gè)網(wǎng)絡(luò)中一致地應(yīng)用和實(shí)施安全策略。Gartner在其《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》做出戰(zhàn)略規(guī)劃假設(shè),截至2022年,80%的新數(shù)字業(yè)務(wù)應(yīng)用將通過零信任網(wǎng)絡(luò)訪問,未來,ZTNA概念也將會(huì)在更多的企業(yè)中得到實(shí)踐和應(yīng)用。