关于作者
Larry Lunetta是Aruba的无线局域网和安全解决方案营销副总裁,这是一家惠普企业公司。拉里还是亚利桑那州立大学(Arizona State University)企业家研究的客座讲师。
完整的生物
随着安全世界转向零信任作为保障企业安全的一种模式,VPN等久经考验的真正技术似乎被抛在了一边。是的,许多组织简单地认为VPN凭据足以访问公司资源,事实上,这种边界视图导致了零信任哲学,即不允许任何用户或设备在没有身份验证和授权的情况下访问。
但是,你需要在VPN和零信任之间做出选择的想法忽略了一个事实,即产品和技术的实现方式将最终决定一个组织的保护级别。“VPN还是零信任”是一个错误的选择。随着家庭作为目前的员工工作场所,各组织正在迅速实现一系列软件和硬件VPN连接解决方案,以支持在家连接工作。但是,着眼于零信任,他们正在使用关键的零信任组件来增强VPN的安全性,以确保组织受到保护。
虽然对零信任(包括NIST)有几个不同的定义,但基本原则是,任何用户或设备都不能在没有身份验证和被分配应用层访问权限的情况下获得网络访问。因此,大多数零信任实现将提供:
- 一种用于收集和验证用户或设备凭据的方法,使用从802.1x到多因素身份验证的各种技术。通常,身份验证过程涉及使用一个协议(如Radius)与企业身份系统(如Active Directory)进行接口。
- 第二个关键组件是Trust broker—实质上是一个策略管理器,它将获取经过验证的凭证,并根据预先确定的公司策略分配IT访问权限。如果Trust Broker是为企业环境设计的,那么基于角色的访问策略独立于访问类型(例如有线、无线、远程),这意味着当员工获得VPN访问时,将自动应用适当的访问策略。
- 下一个是执行。可以在各种网络位置执行强制操作,但最优的配置是在VPN终止点。一些组织将为此目的安装单独的防火墙,但可扩展的VPN终止以及路由和其他功能可以轻松地提供必要的策略实施,以便在流量进入公司网络后限制访问。
- 最后,还有适应性信任。信任并不是一个永久的条件,根据用户或端点在初始访问后发生的情况,将确定在持续的基础上提供何种级别的信任。这意味着来自整个安全生态系统的状态必须由Trust Broker和相应的实施点发送和处理。
由于企业需要在一夜之间建立数千个新的远程连接,因此没有必要为了方便而牺牲安全性。VPN是一个基本的零信任元素。通过将其与零接触设置、云管理、无缝基于身份的访问控制和前端策略执行相结合,员工将在零信任环境中操作,无论他们如何连接或在何处连接。
了解更多关于阿鲁巴岛VPN服务。
