如何通過零信任邊緣確保安全

張如旭

德爾塔毒株的出現打破了成千上萬人原本穩步恢復的工作和生活，使得許多企業只能回到在家辦公的模式。許多學校，尤其是在出現疫情的地區的學校都發布了推遲秋季開學的通知。事實上，遠程工作應用程序已經成為繼續防控疫情和維護經濟社會正常運行的重要工具，其用戶數量正在迅速增長。據中國互聯網絡信息中心發布的第47次《中國互聯網絡發展狀況統計報告》，截至2020年12月，中國遠程辦公用戶規模達3.46億，占網民整體的34.9 %。

遠程生活的轉變使得員工越來越多地將工作設備用于個人用途，同時企業也提供更多的網絡訪問，使員工可以在家順利工作。隨著遠程工作成為常態，有成千上萬人在企業安全邊界之外通過多個設備訪問應用程序，使得企業信息或系統安全遭到破壞的風險大大增加。但是，這些提供網絡訪問的企業并不總是知道誰在使用哪些應用程序。即使經過培訓，員工也不一定能識別網絡罪犯的可疑活動。

上述這些都令企業的安全變得搖搖欲墜。為了加強自身安全，更好地保護自己的數字資產免于威脅和攻擊，企業應實施零信任策略。零信任安全模式不存在安全與員工應用程序訪問便捷性之間的“取舍”，因此適合幾乎所有類型的企業。

零信任：新現實中的關鍵組成部分

零信任是一項簡單的策略，其核心是最小特權網絡安全原則的加強版。但與這個名字恰恰相反的是，零信任是一項對員工友好的安全解決方案，因此可以被IT專業人員和其他員工所接受。

零信任可以真正地為各種規模的企業提供更好的安全結果。2021年6月中國剛剛通過了《數據安全法》，中國企業被要求改善他們的數據保護實踐。未能保護數據并導致大規模數據泄露的組織將面臨最高200萬元人民幣的罰款，并可能被暫停相關業務。因此，許多企業已經實施或正在實施零信任，有些甚至建立了基于零信任安全的新一代遠程辦公系統。

在最近一些備受矚目的網絡攻擊中出現了一種明顯的模式———惡意軟件通過網絡釣魚或由惡意行動者利用暴露的服務器漏洞對企業進行攻擊。惡意軟件在進入后會在企業內部橫向移動，尋找高價值的目標。勒索軟件正是通過這種模式找到可以加密的目標，然后索取解密贖金。令人震驚的是，全球不乏脆弱和暴露的服務器，也不乏勒索軟件的受害者。

幸運的是，零信任可以在這方面有所作為。零信任的基本理念是確保用戶只能訪問他們需要訪問的應用程序，而且必須在經過驗證和授權之后才能訪問。事實上，在采取零信任策略的情況下，用戶在經過驗證并被授予訪問權限之前無法訪問應用程序，因此不會暴露應用程序。在零信任威脅保護下，用戶會被自動阻止訪問釣魚網站或惡意軟件分發網站，而惡意軟件會被自動阻止訪問其命令和控制。通過這些基本機制，零信任使惡意軟件更難進入或傳播。

零信任的核心是非常嚴格的訪問控制，能夠確保只向經過驗證和授權的用戶授予訪問權限，而且只用于必要的用途。盡管該策略的名稱是“零信任”，但它并不嚇人。這個概念十分簡單，可以認為是一種添加了環境變量的最小權限訪問形式。

零信任網絡訪問“名不副實”

盡管零信任并不復雜，并且可以被看作是最小權限訪問安全原則的加強版，但其實二者并不相似。事實上，它與最小權限訪問最顯著的區別之一在于零信任基于應用程序訪問，而不是網絡訪問。了解網絡訪問和應用程序訪問之間的區別至關重要。

傳統的企業應用程序訪問基于網絡訪問，需要在企業網絡上才能訪問企業應用程序。例如在企業的某幢辦公大樓里，會連接該企業的WiFi網絡或以太網，可能還需要通過一個額外的網絡訪問控制（NAC）步驟，如果在其他地方，可能使用虛擬私人網絡（VPN）。無論哪種方式，都會有某種形式的驗證和授權允許您在企業網絡上訪問，此時，如果有較高的權限，就可以訪問企業的應用程序。

但這種伴隨著網絡訪問的高級權限也會帶來不需要的額外功能。具體而言，您可能無法登錄到每一個這樣的應用程序，但可以看到它們，也就是說，可以將數據包發送給它們。這個區別十分重要，如果能看到一個應用程序，就可以讓它執行代碼（例如顯示登錄屏幕或啟動一些其他形式的登錄挑戰）。如果能讓它執行代碼，就可以利用漏洞。

這明顯違反了最小權限原則，訪問某些應用程序但無需看到其他應用程序，更不用說掃描網絡漏洞。零信任通過使用基于應用程序的訪問模式來解決這個問題。

通過零信任訪問，用戶和應用程序之間不存在直接路徑，所有訪問均通過代理進行。一般情況下，零信任訪問作為一種服務提供，代理位于多個互聯網地點，這樣，用戶只需要連接互聯網，而不需要連接企業網絡。

即使在遠程訪問的情況下，也不需要VPN，當用戶試圖連接一個應用程序時，他們會被轉到這些代理之一。只有在代理對用戶進行認證并確定用戶被授權使用該應用程序后，它才會建立與該應用程序的前向連接并允許用戶與該應用程序進行通信。

現在已了解基于網絡的傳統訪問模式和基于應用程序的零信任訪問模式之間的明顯區別。在基于網絡的訪問中，應用程序被暴露在網絡中（無論是整個互聯網還是企業網絡），對任何可能需要訪問的人都是可見的。相反，在基于應用程序的訪問中，應用程序是不可見的，只有確實需要訪問的人在經過驗證和授權后才能看見應用程序。

在邊緣部署零信任

在這個用戶、威脅和應用程序無處不在的時代，所有流量都必須通過一個可靠的安全堆棧，但回傳流量會破壞性能，而且回傳攻擊流量會造成更大的破壞。那么如何在不進行回傳的情況下實現這一目標？答案是部署零信任安全并將其作為一項邊緣服務提供。

在深入研究傳統部署模式時，應首先考慮員工訪問基于互聯網的網絡應用程序這一情況。此類應用程序可能是工作所需的SaaS應用程序，也可能是在工作環境中使用或者用于個人活動的網絡應用程序。為了確保這些流量的安全，需要一個安全網絡網關（SWG）。

SWG確保可接受的使用政策得到執行，員工不會意外嘗試訪問釣魚網站，惡意軟件不會被下載到員工的設備等。SWG是安全堆棧的一個重要組成部分，而在強大的網絡安全態勢下，所有對基于互聯網的網絡應用程序的訪問都要經過SWG。

問題在于在傳統的SWG部署模式需要進行回傳，SWG作為設備或虛擬設備部署在一個或少數幾個地點。如果幾乎所有員工都在一個或少數幾個辦公地點工作，那就可以選擇讓這些SWG地點位于辦公室內或附近，這樣就不需要進行回傳。

但由于員工經常遠程工作并且一般通過遠程訪問VPN，所以流量必須回傳到SWG。這會破壞性能并帶來其他擴展挑戰。此外，SWG并不是安全堆棧的唯一重要組成部分。在強大的網絡安全態勢下，所有流量都必須接受訪問控制和檢查，而不僅是那些通過SWG的互聯網流量。該要求是零信任的一個基本原則。

回傳流量破壞性能

在零信任安全態勢下，所有流量都需要通過安全堆棧；而在傳統部署模式下，該要求會迫使回傳流量及其所有相關問題。回傳不但成本高昂并且會破壞性能，而且當其中一些流量被攻擊時，情況會變得更糟。

處理攻擊流量是安全堆棧的功能之一。在流量到達安全堆棧之前，不知道哪些流量是攻擊流量，回傳攻擊流量只是給了它更多的機會與網絡鏈接和設備互動。而這也給了它進行破壞的機會，例如破壞關鍵的上游鏈接并使整個安全堆棧無法訪問。

當安全問題被部署在邊緣時的回傳

那么應該怎么做呢？與其將流量回傳到安全堆棧，不如將安全堆棧部署在流量所在的邊緣。在這種模式下，一個完整的零信任安全堆棧可以作為一項服務在邊緣基礎設施上運行。由于安全堆棧位于邊緣，因此它靠近在任何地點工作的用戶/員工，無論他們是在辦公室、家中還是在路上工作。同樣，它還靠近被部署在任何位置的應用程序，無論它們是在數據中心、云端，還是在其他位置。

靠近用戶和應用程序的邊緣正是安全堆棧的用武之地———這里是流量所在，不需要回傳。此外，安全堆棧還靠近位于邊緣的任何攻擊者，比如被破壞的企業設備或蠕蟲，因此可以在攻擊流量有機會造成任何破壞之前在源頭阻止它。

隨著企業繼續面臨更加先進和惡性的網絡威脅，同時還需要管理遠程工作團隊，與一個值得信賴的網絡安全合作伙伴合作可以為企業提供實現完整零信任安全架構的工具，從而在新的辦公世界取得成功。鑒于上述這些優點以及目前市場上產品的成熟度，在向后疫情時代邁進時，沒有理由不使用零信任解決方案來保護自己的企業。