创造零信任网络的几个过程
发布时间:2022-06-04 11:07:26 所属栏目:安全 来源:互联网
导读:两个多月前,安全牛曾发表一篇题为《零信任时代,VPN必将被SDP取代》的文章,引发了较大争议,有人认为SDP(零信任的一种实现框架)无法取代VPN,也有人认为零信任才是最终答案。但是,新冠疫情已经将VPN与SDP/零信任的对决大大提前,因为VPN在全球性的大规模
|
两个多月前,安全牛曾发表一篇题为《“零信任”时代,VPN必将被SDP取代》的文章,引发了较大争议,有人认为SDP(零信任的一种实现框架)无法取代VPN,也有人认为零信任才是最终答案。但是,新冠疫情已经将VPN与SDP/零信任的对决大大提前,因为VPN在全球性的大规模远程办公巨变中,资源消耗和“卡顿”问题被成倍放大。 Sullivan认为,相比VPN,零信任网络安全架构具备以下三大优点: 1. 不存在网络桥接,不会劫持用户流量。 2. VPN设备的一大问题,在于需要匹配专有软件/操作系统配置——这类配置正是阻碍自动修复程序的元凶,而零信任架构可以选择的OpenSSH安全记录要好得多,自2003年以来,OpenSSH从未因默认配置中的漏洞而遭遇未经授权的远程访问。细粒度的应用与流量监控和微分段,使得攻击者即使成功侵入网络入口点位置,其实也没有什么后续空间可以利用。 3. 与VPN一旦用户登录就获得完全授信不同,零信任的主机保护解决方案会对每个应用程序进行严密监控,记录应用的所有活动并执行流量过滤。如此一来,即使攻击者成功侵入私有云VPC网络入口点位置,其实也没有什么后续空间可以利用。 但是对于零信任取代VPN,安全牛的读者们看法不一,有人认为Sullivan对VPN桥接和流量劫持的说法不准确,指出: IPSec支持IP载荷直接传输的非桥接模式。该协议是经过大量安全研究者分析过的,其他协议不说实现,本身协议安不安全就是个问题。而且协议问题的发现需要时间。 也有读者支持Sullivan的观点,认为: 现有的VPN方案确实都垃圾,IPsec (基于strongSwan) 算好的了,但IPsec本身的复杂度让配置变得麻烦,而且不同客户端的支持也有管理成本。OpenVPN性能比较差。而商业的要特定的客户端…… 尤其是当部分数据和应用程序在本地部署,而另外一些在云中时(混合云模式),安全问题将变得尤为复杂——从员工到承包商和合作伙伴的每一方都使用来自多个位置的各种设备来访问这些应用程序。同时,各国政府和行业法规正在提高保护重要数据的标准和要求,零信任度可以帮助企业更好地合规。 对于企业来说,目前部署零信任比较大的顾虑无疑是方法和技术的成熟度以及成本问题,没有人想做小白鼠,也没有人去贸然尝试尚处于“临床测试”阶段的“方子”。目前市场上已经有大量经过生产环境验证的零信任应用方案/供应商和技术框架(包括谷歌和微软等大型企业用例)。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号