網絡安全架構的最佳實踐如今正在經歷巨大的轉變。業界人士不再將邊界保護作為網絡架構的主要焦點，而這一趨勢似乎已經開始了。因為零信任網絡訪問和安全訪問服務邊緣這兩個流行術語已經進入到網絡安全專業人員的意識中。

簡而言之，傳統網絡安全方法如今已無法解決目前面臨的安全問題。而虛擬化、云計算和遠程工作并不一定能防御內部面臨的風險。

零信任網絡訪問（ZTNA）和安全訪問服務邊緣就是這樣的安全方法，它們在組織尋求更好地保護其日益分散的遠程員工免受攻擊時變得越來越流行。

以下了解每種架構方法，以及它們如何協同工作以增強組織的網絡安全狀況。

什么是零信任網絡訪問？

零信任是這兩種安全方法比較成熟的一種。它由Forrester Research公司于2010年首先提出，將長期的最低特權（POLP）安全原理應用于網絡訪問。這樣做的方式與以往架構中對信任的假設不同。

具體來說，零信任網絡訪問的核心工作原理是，任何用戶或設備都不應被授予只基于網絡上的位置來訪問資源的權限。基于IP地址或其他基于網絡的標準授予應用程序訪問權限的時代一去不復返了。

取而代之的是，在當今的運營環境中，用戶和敏感數據都可能位于任何地方：在企業辦公室、在家中、在云中或在路上。零信任模型以強大的身份驗證和授權技術取代了以網絡為中心的訪問控制方法，該技術使管理員能夠應用精細的訪問控制。這些控件允許用戶根據他們在組織中的特定角色來訪問特定的應用程序，還有助于保護網絡免受來自網絡外部的傳入風險以及網絡內部的風險（例如內部威脅）的侵害，無論是惡意的還是疏忽的。

零信任網絡安全方法可以簡化網絡要求，而且具有靈活性。零信任網絡訪問使用戶（無論其網絡位置如何）都能夠訪問服務（無論其網絡位置如何），同時嚴格執行最小特權原則。

什么是安全訪問服務邊緣（SASE）？

安全訪問服務邊緣是一種基于零信任網絡訪問模型的網絡和網絡安全更新方法，旨在提供一個完全集成的網絡。Gartner公司在2019年推出的這種云計算架構模型將多個云計算網絡和云安全功能結合在一起，并將它們作為單個云計算服務提供。

安全訪問服務邊緣結合了軟件定義WAN和其他網絡服務和功能，其中包括：

零信任網絡訪問

云訪問安全代理

防火墻即服務

安全的網絡網關

SaaS

安全訪問服務邊緣的目標是融合這些服務和技術，以構建基于云計算的感知和安全網絡。

安全訪問服務邊緣模型特別適合那些大量使用云服務或正在遷移到云平臺的組織。這其中包括分布式組織，例如具有分支機構位置和分散最終用戶的組織，以及具有物聯網和邊緣部署的組織。

不是ZTNA vs.SASE，而是ZTNA和SASE并重

將安全訪問服務邊緣視為比零信任網絡訪問（ZTNA）更高級的設計理念。它們不是孤立的或競爭的網絡安全模型;與其相反，零信任網絡訪問是安全訪問服務邊緣架構的一部分。

但是需要注意的是，盡管零信任實施可能是網絡架構師的中短期目標，但安全訪問服務邊緣卻是長期目標。很多組織可以決定購買安全訪問服務邊緣服務，然后逐步將其網絡和網絡安全堆棧朝安全訪問服務邊緣模型發展。隨著設計人員開始更換過時的安全技術并更好地集成其他的安全技術，這將需要一些時間。需要注意的是，轉移到安全訪問服務邊緣模型需要并啟用確保網絡安全的零信任方法。

當今網絡安全專業人員的目標是，零信任和安全訪問服務邊緣都是密切關注并融入前瞻性架構決策的趨勢。組織應計劃在短期內采用零信任原則，以更好地保護遠程員工訪問基于云計算的服務和內部部署服務。與此同時，他們應該從創建支持安全訪問服務邊緣的環境的角度來查看新的網絡項目。
責編AJX