当安全世界转到零信任但是,VPN等久经考验的真实技术似乎都半途而退了。是的,许多组织只是简单地认为VPN凭据就足以访问企业资源,事实上,这种边界观点导致了零信任哲学,即不允许用户或设备在没有身份验证和授权的情况下访问。
但是,需要在VPN和Zero Trust之间进行选择的想法忽略了这样一个事实,即产品和技术的实现方式最终将决定组织的保护级别。“VPN或零信任”是一个错误的选择。随着家庭成为目前员工的工作场所,企业正在迅速实施一系列软件和硬件VPN连接解决方案,以支持在家工作连接。但是,考虑到零信任,他们正在用关键的零信任组件增强VPN的安全性,以确保组织受到保护。
虽然对零信任(包括NIST)有几种不同的定义,但基本原则是,没有身份验证和被分配应用层访问权限,用户或设备就不能获得网络访问。因此,大多数零信任实现将提供:
- 一种用于收集和验证用户或设备凭据的方法,使用从802.1x到多因素身份验证的各种技术。通常,身份验证过程涉及使用Radius等协议与Active Directory等企业身份系统进行接口。
- 第二个关键组件是Trust broker——本质上是一个策略管理器,它将接受经过验证的凭据,并根据预先确定的公司策略分配IT访问权限。如果Trust Broker是为企业环境设计的,那么基于角色的访问策略独立于访问类型(例如有线、无线、远程),这意味着当员工获得VPN访问时,将自动应用适当的访问策略。
- 下一个是执行。实施可以在各种网络位置进行,但最理想的位置是在VPN终止点。一些组织将为此目的安装一个单独的防火墙,但可扩展的VPN终端以及路由和其他功能可以很容易地提供必要的策略强制,一旦流量在公司网络内部,就可以限制访问。
- 最后,还有适应性信任。信任不是永久的条件,用户或端点在初次访问后发生的情况将决定在持续的基础上提供何种级别的信任。这意味着来自整个安全生态系统的状态必须由信任代理和相应的实施点发送和处理。
由于组织在一夜之间建立了数千个新的远程连接,因此没有必要为了方便而牺牲安全。VPN是一个基本的零信任元素。通过将其与零接触设置、云管理、无缝的基于身份的访问控制和头端策略执行相结合,员工将在一个零信任的环境中操作,无论他们如何连接或在哪里连接。
了解更多关于阿鲁巴岛VPN服务。
