传统的VPN已被更智能，更安全的网络安全方法所取代，该方法将每个人都视为同样不受信任。

数十年来一直为远程工作者提供进入企业网络的安全隧道的古老VPN，随着企业迁移到更灵活，更精细的安全框架（称为零信任）而面临灭绝，该框架更适合当今的数字业务世界。

VPN是基于网络外围概念的安全策略的一部分。受信任的员工在内部，不受信任的员工在外部。但是，该模型不再适用于现代业务环境，在该环境中，移动员工可以从各种内部或外部位置访问网络，并且公司资产不位于企业数据中心的墙壁内，而是位于多云环境中。

Gartner预测，到2023年，将有60％的企业淘汰大多数VPN，以支持零信任网络访问，这可以采取网关或代理的形式，在允许基于角色的上下文感知之前对设备和用户进行身份验证访问。

与安全性周边方法相关联的缺陷很多。它没有解决内部攻击。对于承包商，第三方和供应链合作伙伴而言，它做得不好。如果攻击者窃取某人的VPN凭据，则攻击者可以访问网络并自由漫游。另外，随着时间的流逝，VPN已变得复杂且难以管理。“ VPN带来很多痛苦，”爱荷华州埃姆斯市企业软件公司Workiva的高级安全架构师Matt Sullivan说。“坦率地说，它们笨拙，过时，要管理的东西很多，而且有些危险，它们有些危险。”

在更根本的层面上，任何关注当今企业安全状态的人都知道，我们现在所做的一切都无法正常工作。Forrester首席分析师Chase Cunningham说：“基于边界的安全模型已经彻底失败了。” “并不是因为缺乏努力或缺乏投资，而是因为它是建立在纸牌屋上的。如果一件事情失败了，那么一切都会成为受害者。我与之交谈的每个人都相信这一点。”

坎宁安（Cunningham）在Forrester承担了零信任的责任，现在位于帕洛阿尔托网络（Palo Alto Networks）的分析师乔恩·金德瓦格（Jon Kindervag）于2009年开发了零信任安全框架。这个想法很简单：不信任任何人。验证每个人。实施严格的访问控制和身份管理策略，以限制员工访问其工作所需的资源，仅此而已。

451 Group的首席分析师加勒特·贝克尔（Garrett Bekker）表示，零信任不是产品或技术。这是对安全性的另一种思考方式。“人们仍然在围绕着这意味着什么。客户感到困惑，而供应商对于零信任的含义却不一致。但是我相信它有可能从根本上改变安全的方式。”

安全厂商拥抱零信任

尽管事实上零信任框架已经存在了十年，并且引起了相当大的兴趣，但直到最近一年左右，企业采用才开始兴起。根据451集团最近的一项调查，只有大约13％的企业甚至开始了零信任之路。关键原因之一是供应商步伐缓慢。

零信任的成功典范可以追溯到2014年，当时Google宣布了其BeyondCorp计划。谷歌投入了大量的时间和金钱来建立自己的零信任度实施方案，但是企业却无法效仿，因为他们不是谷歌。

但是，零信任正在日益受到关注。“技术终于赶上了愿景，”坎宁安说。“五到七年前，我们还没有能够实现这类方法的功能。我们开始看到有可能。”

如今，供应商从各个角度零信任。例如，针对现在称为零信任扩展生态系统（ZTX）的最新Forrester Wave包括下一代防火墙供应商Palo Alto Networks，托管服务提供商Akamai Technologies，身份管理供应商Okta，安全软件领导者Symantec，微细分专家Illumio和特权访问管理供应商Centrify。

顺带一提，思科，微软和VMware都提供零信任产品。根据Forrester Wave的调查，思科和微软被评为表现出色的企业，而VMware则是竞争者。

因此，投入了数百万美元用于建立和加强其外围防御的企业如何突然换档并采用一种模型，将所有人（无论是在公司总部内部工作的高管还是在星巴克工作的承包商）都视为同样不信任？

如何开始使用零信任安全模型

第一个也是最明显的建议是从小处着手，或者像坎宁安所说的那样，“尝试煮一小撮水而不是整个海洋。”他补充说：“对我来说，第一件事就是照顾卖家和第三方”，找到一种将它们与网络其余部分隔离的方法。

Gartner分析师尼尔·麦克唐纳（Neil MacDonald）表示同意。他确定了三种新兴的零信任用例：针对供应链合作伙伴的新移动应用程序，云迁移方案和针对软件开发人员的访问控制。

他的DevOps和IT运营团队的访问控制正是Sullivan在Workiva实施的，Workiva是一家IT基础架构完全基于云的公司。Sullivan一直在寻找一种更有效的方法，使他的团队可以通过云访问特定的开发和暂存实例。他放弃了传统的VPN，转而使用ScaleFT的零信任访问控制，该公司最近被Okta收购。

Sullivan说，现在，当新员工拿起笔记本电脑时，该设备需要得到管理员的明确授权。为了访问网络，员工连接到应用适当的身份和访问管理策略的中央网关。

Sullivan说：“将零信任作为一个概念已经过时了。” “这显然是正确的方法，但是在企业级解决方案问世之前，我们花了近十年的时间抱怨和抱怨。”

以网络为中心或以身份为中心的零信任

Bekker说，供应商的格局正在围绕两个阵营合并：有一个以网络为中心的小组，其工作重点更多地放在网络分段和应用感知防火墙上，还有一个以身份为中心的阵营，它们倾向于网络访问控制和身份管理。

FNTS的CISO Robert LaMagna-Reiter采取了以网络为中心的路线，这是一家位于内布拉斯加州奥马哈的托管服务提供商，他使用来自Palo Alto的零信任安全堆栈对基础架构进行了大修。LaMagna-Reiter表示，几年前，他获得了独特的机会，从根本上入手，建立了公司云服务平台的下一个迭代版本，以便可以扩展到多云世界。

LaMagna-Reiter说：“零信任使我们能够更精细地执行人们每天的工作。” 他将零信任计划的成功归功于广泛的前期基础工作，该工作是充分了解员工角色，确定员工完成工作所需的资产和应用程序以及监视员工在网络上的行为的基础。

他从非关键支持应用程序的有限部署开始，然后逐步发展，并从公司的业务主管那里获得支持。他说：“我们向人们展示，这不是技术决定，而是商业策略。”

Entegrus是加拿大安大略省的一家能源分销公司，同样致力于实现零信任，但其方法以网络访问控制为中心。戴维·库伦（Dave Cullen）知道，由于维护和维修人员，仪表技术员和现场服务代表的流动人员遍布广泛的地理区域，每个区域都携带多个设备，因此，他的攻击面很广，需要加以保护。

Entegrus的信息系统经理Cullen表示：“我们有业务要求开始重建我们的网络。” 网络大修的必要性使库伦有机会开始零信任路径。他决定与PulseSecure合作，以部署其基于零信任的远程访问和网络访问控制工具。Cullen表示，产品无缝配对至关重要，这样Cullen可以在员工连接到网络时应用策略。

“我们将它慢慢引入，”库伦说，他采用了一种分阶段的方法，需要在实验室环境中进行试点项目并进行调整，然后再进行现场部署。首要任务是确保零信任基础架构对员工而言是无缝的。

“对我的零信任更多地是关于智能业务流程和数据流以及业务需求。这不仅仅是使用防火墙和网络分段。实际上，更多的是动态响应不断变化的环境。” Cullen补充说。

Forrester的坎宁安（Cunningham）承认，过渡到零信任会带来一定程度的痛苦。但是他以这种方式描述了这些选择：“您是现在宁愿遭受一点痛苦并使其正确，还是长期遭受痛苦并结束下一个大型故障通知？”

零信任：为未知的，永无止境的旅程做准备

对于考虑零信任的任何人，这里有两个关键要点。首先，没有零信任部署路线图，没有行业标准，也没有厂商联盟，至少目前还没有。您必须自己思考摸索。

“没有单一的策略。有100种挠痒的方法。它能以最少的阻力为您提供最大的控制权和最大的可视性，”坎宁安说。

第二，旅程永远不会结束。LaMagna-Reiter指出：“永远不会有完成的状态。没有明确的成功定义。” 零信任是一个持续不断的过程，可帮助公司应对不断变化的业务状况。

閱讀更多 包工頭突圍 的文章

關鍵字: 网络安全 微软 VMware