零信任網(wǎng)絡(luò)訪問 (ZTNA) 和安全訪問服務(wù)邊緣 ( SASE ) 已經(jīng)存在了很長時間，足以證明它們不僅僅是一種曇花一現(xiàn)的趨勢。在過去五年中，這兩者都證明了自己的價值，并且仍然像最初炒作時一樣具有相關(guān)性和受歡迎程度。

雖然這些框架通常都很容易理解，但關(guān)于如何比較它們以及哪個更優(yōu)越的反復(fù)爭論表明，人們對它們各自的作用和相互關(guān)系存在更深的誤解。這種比較本身是有缺陷的?，F(xiàn)在是時候改變視角，將 ZTNA 和 SASE 視為互補而非競爭模型，從而更廣泛地了解 ZTNA - UZTNA。

ZTNA 與 SASE 之間的區(qū)別

ZTNA 是一種安全框架，挑戰(zhàn)了傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全方法。ZTNA 不會信任安全網(wǎng)絡(luò)邊界內(nèi)的所有內(nèi)容，而是假設(shè)所有用戶和設(shè)備都是潛在威脅。它僅在嚴格驗證身份和設(shè)備健康狀況后才授予對特定資源的訪問權(quán)限。它專注于精細的訪問控制和持續(xù)身份驗證。

另一方面，SASE 是一種融合網(wǎng)絡(luò)和安全架構(gòu)。將SD-WAN等網(wǎng)絡(luò)功能與 ZTNA、下一代防火墻 (NGFW)、云訪問安全代理 (CASB) 和數(shù)據(jù)丟失防護 (DLP) 等安全服務(wù)整合在一個基于云的平臺中。與 ZTNA 一樣，SASE 也摒棄傳統(tǒng)的網(wǎng)絡(luò)和安全邊界。無論用戶身在何處，都能提供對應(yīng)用程序和數(shù)據(jù)的安全、一致訪問。

SASE 整合的網(wǎng)絡(luò)和安全方法為 IT 領(lǐng)導者帶來兩大好處。由于所有SASE引擎都豐富了同一個數(shù)據(jù)湖，管理員和安全解決方案可以更清楚地了解網(wǎng)絡(luò)上發(fā)生的事情，并能夠?qū)⑺芯W(wǎng)絡(luò)數(shù)據(jù)與安全事件關(guān)聯(lián)起來。允許 SASE提供高質(zhì)量、情境化的數(shù)據(jù)，以實現(xiàn)更全面的威脅預(yù)防和檢測。此外，最純粹的 SASE應(yīng)該通過單一平臺進行管理，所有功能的外觀和感覺都相同，從而簡化網(wǎng)絡(luò)和安全操作。

本質(zhì)上，ZTNA 以訪問控制為中心，而 SASE 則涵蓋更廣泛的網(wǎng)絡(luò)和安全功能。雖然 ZTNA可以獨立部署，但也是SASE架構(gòu)不可或缺的組成部分。

SASE 如何填補 ZTNA 的空白

簡而言之，零信任網(wǎng)絡(luò)訪問 (ZTNA) 完全專注于以最小的風險為遠程用戶提供對正確資源的訪問。但是，本身并不能解決混合工作模式，即員工可能在組織內(nèi)部訪問公司資源。通用零信任網(wǎng)絡(luò)訪問 (UZTNA) 擴展了零信任網(wǎng)絡(luò)訪問 (ZTNA) 的原則，為辦公室內(nèi)外的用戶啟用一套零信任網(wǎng)絡(luò)訪問 (ZTNA) 策略。雖然保證了統(tǒng)一的訪問管理方法，但零信任網(wǎng)絡(luò)訪問 (ZTNA) 的最新發(fā)展在防止授權(quán)實體（例如惡意內(nèi)部人員、疏忽員工、惡意軟件設(shè)備或受感染的 SaaS 應(yīng)用程序）帶來的威脅方面存在不足。可以防止橫向移動并在發(fā)生違規(guī)時限制損害，但無法保護受感染的資產(chǎn)。

SASE包括UZTNA，但也解決了實體獲得訪問權(quán)限后保護網(wǎng)絡(luò)和資源的問題。例如，如果有權(quán)訪問敏感個人身份信息和受保護健康信息 (PHI) 的授權(quán)員工或應(yīng)用程序?qū)⑵湫孤兜綈阂夥?wù)器，UZTNA 將失敗。但是，SASE中的NGFW、CASB和DLP等工具可以識別傳出流量中的敏感和機密信息，并應(yīng)用必要的策略來阻止違規(guī)行為。

為了使ZTNA實施動態(tài)訪問控制，必須根據(jù)不斷變化的環(huán)境和情況不斷評估訪問權(quán)限。SASE 憑借對網(wǎng)絡(luò)和安全功能的整體概述，為ZTNA提供實時環(huán)境感知、豐富的網(wǎng)絡(luò)洞察以及實施持續(xù)身份驗證所需的最新威脅情報。這使得 ZTNA 能夠在授權(quán)實體表現(xiàn)出異常行為時立即撤銷訪問權(quán)限。

除了安全性之外，SASE 還通過其全球網(wǎng)絡(luò)主干網(wǎng)進一步優(yōu)化流量路由、提高應(yīng)用程序性能、實現(xiàn)故障轉(zhuǎn)移并確保高可用性。借助 SASE、ZTNA 的嚴格控制不會以犧牲網(wǎng)絡(luò)和應(yīng)用程序性能為代價。

探索ZTNA/UZTNA與SASE的協(xié)同作用

了解SASE和ZTNA的滯后性以及它們?nèi)绾蜗嗷パa充非常重要。這可以幫助組織對其網(wǎng)絡(luò)和安全策略做出明智的決策。通用ZTNA和 SASE對于強大的安全態(tài)勢都至關(guān)重要，但它們結(jié)合起來效果會更好。例如，UZTNA可以將敏感客戶數(shù)據(jù)的訪問權(quán)限限制為僅限合適的個人，而SASE可以保護這些個人免受惡意軟件和其他類型攻擊的侵害。對于希望應(yīng)對安全訪問挑戰(zhàn)的組織來說，獨立的 ZTNA 和 UZTNA 可以無縫融入現(xiàn)有的 IT 基礎(chǔ)架構(gòu)中。另一方面，SASE 提供了一種解決安全訪問問題的方法，可以減少設(shè)備蔓延、最大限度地減少功能膨脹并降低運營成本和復(fù)雜性。無論如何，ZTNA 框架和 SASE 最好被視為互補的盟友，而不是競爭資產(chǎn)。