數(shù)字化是一把雙刃劍。企業(yè)面臨的最大安全挑戰(zhàn)之一是在其不斷擴(kuò)大的網(wǎng)絡(luò)邊緣提供一致的保護(hù)。每一個(gè)新的優(yōu)勢(shì)都擴(kuò)大了潛在的攻擊面，網(wǎng)絡(luò)犯罪分子很快就會(huì)將這些新的攻擊載體作為攻擊目標(biāo)。在過(guò)去兩年中，人們看到襲擊事件急劇增加，尤其是勒索軟件。其中很多都是通過(guò)網(wǎng)絡(luò)邊緣不太安全的接入點(diǎn)發(fā)生的。

保護(hù)不斷擴(kuò)展的網(wǎng)絡(luò)邊緣所面臨的部分挑戰(zhàn)在于，網(wǎng)絡(luò)的擴(kuò)展速度超出了傳統(tǒng)安全的適應(yīng)能力。大多數(shù)現(xiàn)有的安全策略都是圍繞隔離點(diǎn)產(chǎn)品構(gòu)建的，這些產(chǎn)品旨在保護(hù)可預(yù)測(cè)的靜態(tài)網(wǎng)絡(luò)環(huán)境——這意味著當(dāng)它們保護(hù)的網(wǎng)絡(luò)處于不斷變化的狀態(tài)時(shí)，它們很難保持一致的安全性。網(wǎng)絡(luò)犯罪分子滲透網(wǎng)絡(luò)所需要的只是突破安全不足的邊緣，然后利用網(wǎng)絡(luò)中的隱含信任尋找要竊取的數(shù)據(jù)和要破壞的系統(tǒng)。

需要的是一種自適應(yīng)邊緣安全策略，無(wú)論在何處或何時(shí)部署新邊緣，即使底層基礎(chǔ)設(shè)施或連接元素發(fā)生變化，也能提供一致的可見(jiàn)性和控制。零信任邊緣融合了網(wǎng)絡(luò)和安全性，以創(chuàng)建一個(gè)集成的保護(hù)框架，可以確保在每個(gè)邊緣進(jìn)行一致的策略部署和實(shí)施。這包括授予對(duì)應(yīng)用程序的明確的、按會(huì)話訪問(wèn)的權(quán)限，并結(jié)合對(duì)用戶身份和場(chǎng)景的持續(xù)驗(yàn)證，無(wú)論網(wǎng)絡(luò)擴(kuò)展和發(fā)展的速度如何。

與大多數(shù)安全策略一樣，實(shí)施零信任邊緣說(shuō)起來(lái)容易做起來(lái)難。但對(duì)于那些希望在不影響安全性的情況下?lián)肀?shù)字加速的企業(yè)來(lái)說(shuō)，零信任邊緣策略至關(guān)重要。為了簡(jiǎn)化確保企業(yè)提供一致保護(hù)，并消除網(wǎng)絡(luò)邊緣的薄弱環(huán)節(jié)的過(guò)程，需要遵循以下五個(gè)步驟。

步驟1.收集身份驗(yàn)證工具

收集建立零信任邊緣所需的零信任訪問(wèn)身份驗(yàn)證工具。其中包括零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)、安全SD-WAN、下一代防火墻(NGFW)和包含入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)的安全Web網(wǎng)關(guān)(SWG)、沙箱、云訪問(wèn)安全代理(CASB)和網(wǎng)絡(luò)訪問(wèn)控制(NAC)。這些工具允許任何用戶或設(shè)備，無(wú)論位置如何，在訪問(wèn)任何連接的資源(無(wú)論是在內(nèi)部部署還是在云中)之前，都可以進(jìn)行適當(dāng)?shù)纳矸蒡?yàn)證和檢查。

這里的關(guān)鍵是互操作性。使用這些工具應(yīng)該提供網(wǎng)絡(luò)范圍的可見(jiàn)性以及端到端的一致監(jiān)控和執(zhí)行，即使對(duì)于需要跨越多個(gè)環(huán)境的應(yīng)用程序和工作流也是如此。這些工具應(yīng)該通過(guò)單一供應(yīng)商進(jìn)行整合，或者通過(guò)使用開(kāi)放標(biāo)準(zhǔn)和API的通用框架進(jìn)行集成，最好是在一個(gè)單一的、普遍可部署的平臺(tái)上，以確保無(wú)縫通信、協(xié)調(diào)和執(zhí)行。

步驟2.添加安全控制

安全控制需要同時(shí)托管在內(nèi)部部署設(shè)施和云平臺(tái)中，這樣每個(gè)用戶都可以在任何設(shè)備上的任何位置進(jìn)行身份驗(yàn)證。雖然云平臺(tái)和基于云的網(wǎng)絡(luò)需要不同的工具，但它們?nèi)匀恍枰鳛橐粋€(gè)集成系統(tǒng)協(xié)同工作。這可確保用戶受到保護(hù)，無(wú)論是在內(nèi)部部署設(shè)施、家庭辦公室還是在他們之間旅行。除了協(xié)同工作之外，這些工具還需要支持與底層網(wǎng)絡(luò)的融合，以便保護(hù)能夠自動(dòng)適應(yīng)配置、連接或規(guī)模的變化。

步驟3.實(shí)施零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)

在每個(gè)邊緣和設(shè)備上實(shí)施零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)，以使所有用戶能夠安全地訪問(wèn)內(nèi)部部署和基于云的應(yīng)用程序。最終用戶設(shè)備上的零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)客戶端提供安全連接，并結(jié)合按會(huì)話身份驗(yàn)證和持續(xù)監(jiān)控來(lái)檢測(cè)和響應(yīng)異常行為。零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)解決方案也應(yīng)作為邊緣安全解決方案的一部分實(shí)施，因此身份驗(yàn)證和實(shí)時(shí)流量檢查可以成為安全訪問(wèn)和身份驗(yàn)證過(guò)程的無(wú)縫部分。由于用戶體驗(yàn)至關(guān)重要，下一代防火墻(NGFW)還應(yīng)該能夠以線速檢查加密流量，包括流式視頻。

步驟4.保護(hù)遠(yuǎn)程用戶

遠(yuǎn)程用戶應(yīng)被引導(dǎo)至基于云的安全性，例如防火墻即服務(wù)(FWaaS)和安全Web網(wǎng)關(guān)(SWG)，以便在訪問(wèn)SaaS應(yīng)用程序時(shí)提供安全的互聯(lián)網(wǎng)訪問(wèn)。遠(yuǎn)程用戶還可以使用云交付的零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)強(qiáng)制訪問(wèn)數(shù)據(jù)中心中的私有應(yīng)用程序。零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)和安全Web網(wǎng)關(guān)(SWG)可以與云訪問(wèn)安全代理(CASB)合作，為遠(yuǎn)程用戶監(jiān)控和執(zhí)行策略，無(wú)論他們是在家辦公還是在不同地點(diǎn)之間旅行。但是這些解決方案需要集成到更大的安全架構(gòu)中，以便可以集中部署和協(xié)調(diào)策略，并且可以共享和關(guān)聯(lián)網(wǎng)絡(luò)事件以保護(hù)所有邊緣。

步驟5.控制云應(yīng)用程序訪問(wèn)

安全SD-WAN是控制從本地位置(包括數(shù)據(jù)中心、園區(qū)環(huán)境、分支機(jī)構(gòu)和零售位置)訪問(wèn)基于云的應(yīng)用程序的基礎(chǔ)技術(shù)。與傳統(tǒng)SD-WAN不同，安全SD-WAN包括一整套企業(yè)級(jí)安全性，網(wǎng)絡(luò)和連接功能作為統(tǒng)一的解決方案運(yùn)行。本地安全對(duì)于網(wǎng)絡(luò)分段部署也很有用，以防止威脅橫向移動(dòng)。通過(guò)將SD-WAN與其他本地訪問(wèn)和安全工具部署在同一平臺(tái)上，企業(yè)可以建立和維護(hù)一致的安全和網(wǎng)絡(luò)策略，而無(wú)需管理多個(gè)控制臺(tái)或解決方案之間的問(wèn)題。

零信任邊緣

用于保護(hù)不斷擴(kuò)展的網(wǎng)絡(luò)邊緣的零信任邊緣方法有助于確保無(wú)處不在的安全和網(wǎng)絡(luò)的關(guān)鍵融合。借助零信任邊緣架構(gòu)，安全性可以無(wú)縫適應(yīng)底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的動(dòng)態(tài)變化，包括連接性，同時(shí)基于用戶身份和場(chǎng)景提供對(duì)應(yīng)用程序的訪問(wèn)。零信任邊緣擴(kuò)展了企業(yè)級(jí)安全性，并為遠(yuǎn)程工作人員提供了精細(xì)的訪問(wèn)控制，提供對(duì)他們所需的應(yīng)用程序和資源的安全訪問(wèn)，無(wú)論他們是在內(nèi)部部署設(shè)施還是通過(guò)云平臺(tái)訪問(wèn)資源。