?譯者 | 李睿

審校 | 孫淑娟

除了零信任之外，使用SASE等適當?shù)墓ぞ呖梢詭椭Ｗo企業(yè)的IT基礎設施免受第三方訪問帶來的威脅。  

什么是SASE？  

安全訪問服務邊緣(SASE)是一種網(wǎng)絡安全架構，可以幫助企業(yè)將系統(tǒng)、端點和用戶從全球任何位置安全地連接到服務和應用程序。這是一項可以從云端訪問并集中管理的服務。  

SASE是一個框架，而不是一種特定的技術。它通過結合多種云原生安全技術來工作，其中包括：  

• 安全Web網(wǎng)關(SWG)  
• 云訪問安全代理(CASB)  
• 零信任網(wǎng)絡訪問（ZTNA）  
• 防火墻即服務（FWaaS）  
• 廣域網(wǎng)（WAN）  

但不要將SASE與安全服務邊緣(SSE)混淆，SSE是SASE的一個子集，主要關注的是SASE云平臺所需的安全服務。  

SASE解決了哪些問題？  

越來越多的企業(yè)開展遠程工作，并正在采用混合工作方法，希望將其員工順利轉換為全職或兼職遠程工作。如今，企業(yè)每天通常使用數(shù)十個SaaS應用程序，并且授予對管理和運營資源（例如文件共享系統(tǒng)）的遠程訪問權限。  

傳統(tǒng)的遠程訪問方法使用虛擬專用網(wǎng)絡通過加密通道將用戶連接通過隧道連接到單個位置。這使得集中應用和執(zhí)行權限的策略成為可能。  

然而，這種方法會造成網(wǎng)絡瓶頸，影響用戶體驗。企業(yè)必須投資于能夠管理和檢查流量的技術，即使如此，虛擬網(wǎng)絡也不能提供精細的網(wǎng)絡訪問控制，允許用戶不受限制地訪問整個網(wǎng)絡。

其解決方案的一部分是引入安全Web網(wǎng)關(SWG)和防火墻即服務(FWaaS)提供商。這些基于云計算的服務在分布式當前點(PoP)部署檢查引擎，并與SaaS提供商合作，使用云訪問服務代理(CASB)保護他們的云環(huán)境。但這仍然不能解決連接到企業(yè)網(wǎng)絡的問題。除了基于云計算的資源之外，企業(yè)仍然擁有本地網(wǎng)絡，這一遠程訪問難題尚未解決。

SASE解決了這個缺失的部分。它的設計考慮了最終用戶，并采用了零信任方法。SASE允許用戶連接到任何資源，無論是在云平臺中還是在內(nèi)部部署設施。它首先驗證他們的身份，并檢查用戶的設備是否具有最低限度的安全性。受信任的用戶只能連接到他們想要訪問的特定資源，而不能連接其他任何資源。這通常通過依賴微分段的零信任網(wǎng)絡訪問技術(ZTNA)來實現(xiàn)。  

與集中安全檢查的傳統(tǒng)網(wǎng)絡解決方案不同，SASE方法將這些檢查分布在不同的區(qū)域，以提高網(wǎng)絡資源的效率。這有助于降低將這些組件作為單獨的單點解決方案進行管理的復雜性。SASE提供了一組集中的基于云的工具，可提高可見性和控制力。這些工具可以在云平臺中完全編排，并在網(wǎng)絡邊緣立即實施策略。

通過零信任和SASE最大限度地降低第三方風險

第三方風險管理涉及解決源自企業(yè)外部可信來源的安全風險。這個定義很寬泛，但有一些值得注意的第三方風險來源：

• 第三方應用程序——所有企業(yè)都使用第三方開發(fā)的應用程序。企業(yè)通常信任這些應用程序，因為它們來自信譽良好的開發(fā)人員或受信任的軟件公司。但是，第三方軟件通常包含漏洞，如果開發(fā)人員的系統(tǒng)受到威脅，受信任的應用程序可能會成為惡意行為者的攻擊向量。  
• 受信任的外部用戶——許多企業(yè)允許外部合作伙伴或供應商訪問其受保護的系統(tǒng)和環(huán)境。但是，受損的第三方用戶帳戶可以作為網(wǎng)絡攻擊的平臺，允許惡意行為者獲得對內(nèi)部網(wǎng)絡的授權訪問。  
• 開源代碼——大多數(shù)企業(yè)使用包含第三方軟件組件和依賴項的應用程序。開源庫和代碼通常包含允許網(wǎng)絡攻擊者利用應用程序的后門。如果企業(yè)缺乏對其開源依賴項的可見性，那么未知的漏洞可能會帶來攻擊機會。  

在每種情況下，企業(yè)都隱含地信任第三方以確保安全。如果網(wǎng)絡攻擊者利用這種信任，它可能會破壞企業(yè)的安全。企業(yè)對過時的安全策略的依賴可能會導致第三方風險的許多惡劣影響。  

例如，許多企業(yè)使用傳統(tǒng)的安全邊界模型來保護他們的網(wǎng)絡免受外部攻擊。這種方法涉及在網(wǎng)絡邊界部署安全機制，以在滲透受保護的網(wǎng)絡和系統(tǒng)之前識別和阻止威脅。  

基于邊界的安全模型假設安全威脅來自網(wǎng)絡外部，然而這并不總是正確的。通過只關注外部威脅，企業(yè)通常會忽略已經(jīng)滲透到其網(wǎng)絡中的威脅。第三方應用程序和用戶通常會為保護外部接入點的安全解決方案帶來額外的安全挑戰(zhàn)和潛在盲點。  

管理第三方風險需要了解即使是受信任的系統(tǒng)或?qū)嶓w也可能對企業(yè)構成風險。簡而言之，企業(yè)不得完全信任任何人或任何事物。這一假設構成了零信任的基礎，這是一種將安全事件的可能性和潛在損害降至最低的安全方法。  

采用零信任安全策略相對簡單，盡管有時執(zhí)行它可能更具挑戰(zhàn)性。實施零信任需要在整個企業(yè)的整個基礎設施中實施一致的訪問控制。  

企業(yè)應在網(wǎng)絡級別強制實施零信任，以確保東西向流量和南北向流量的安全。安全訪問服務邊緣(SASE)提供兩種功能：  

• 東西向流量——SASE建立了企業(yè)WAN，將完整的安全堆棧集成到每個接入點(PoP)。它支持SASE PoP進行東西流量檢查，并應用基于零信任模型的訪問控制。
• 南北向流量——SASE建立軟件定義邊界(SDP)或零信任網(wǎng)絡訪問(ZTNA)，對源自外部用戶的對內(nèi)部資源或應用程序的所有請求實施基于零信任的訪問控制。它限制對企業(yè)應用程序的外部訪問，以防止利用隱藏的漏洞。  

結論  

第三方風險管理通常是一項復雜的工作。零信任安全實施是最小化第三方風險的一個關鍵方面。除了零信任之外，使用SASE等適當?shù)墓ぞ呖梢詭椭Ｗo企業(yè)的IT基礎設施免受第三方訪問帶來的威脅。  

原文標題：??Is SASE the Solution for Third-Party Risk????，作者：Gilad David Maayan?