CDN加速

新闻速递 > 正文

时代风口上的零信任,如何从底层逻辑上革传统VPN的命?

2021-03-03

来源:菠萝财经

互联网技术的最终“宿命”,都是被新时代的后来者淘汰。

由IBM小型机、Oracle数据库、EMC存储设备组成的“IOE”黄金组合,已然逐渐被淘汰;由Microsoft Windows操作系统与Intel CPU所组成的个人计算机,也日益式微;同样难以逃脱这一宿命的还有VPN。

VPN一般是指建立在公用网络上的虚拟专用网络,通过整合服务器、硬件、软件等,VPN网关可以对数据包的加密和数据包目标地址的转换实现远程访问。最常见的例子就是早年间,绝大部分外企员工都可以通过当年还颇为神奇的VPN,实现对本土分公司、国外总部的便捷访问,从而实现移动办公。

然而,时过境迁,彼时神奇的VPN,此时已经面临着被取代的残酷命运。纵使调研机构Statista对2020年全球VPN市场规模的估计,达到了271亿美元,技术变革的趋势,终究是不可阻挡的。

革命者,正是当下在网络架构中最为火爆、最为流行的零信任。

四大原因,
使得VPN传统的边界信任模型适应不了时代

VPN这一技术解决方案,本质上是一种网络边界信任模型。在此基础上,企业根据传统的边界线划分出内网和外网,然后外网用户再通过VPN访问企业内网。然而这种模型如今正面临着至少四大方面的挑战。

第一,是安全性不够高。
VPN解决方案认为的一个理所当然的前提是,外网是要防护的,而内网却是安全的。只可惜,如今云服务、边缘终端、便携设备、移动办公等等,已经让内外网的边界逐渐模糊,甚至分不清楚了。

在这种背景下,边界都划不清,何谈后续的防护?而且,即使是内网,也经常存在各种非法、间谍的情况,并不意味着内网就一定安全。所以,通过内外网区分安不安全的粗糙颗粒管控模式,已经远远不适应当下网络架构对安全的需求。

第二,是承载性不够强。

疫情黑天鹅的突然降临,在家办公、远程办公的崛起,自由职业的风行,在线教育的普及……诸如此类的林林总总,使得远程访问越发成为了一种刚需。然而,VPN它既然是一种虚拟专用网络,而且还是建立在公用网络上的虚拟专用网络,就必然面临着通道承载量的问题。

第三,是访问体验不够好。

此前采取VPN远程访问模式的公司和机构,大都有自己的数据中心。用户但凡要远程访问,首先要登录数据中心的VPN集中器,再通过集中器建立相对应的访问。在单纯的数据中心时代还好,但是到了云计算时代,各种部署环境、应用环境就变得异常复杂起来,于是VPN的访问模式,在速率性、易用性、便捷性、灵活性等各个层面,就都满足不了需求了。

第四,是部署速度不够快。

就像谷歌云安全总经理Sunil Patti说的,“借助BeyondCorp(谷歌的零信任远程安全访问解决方案),我们可以在几天之内帮助客户完成部署工作,而部署传统VPN解决方案则可能要花费数月的时间。”

三大原则带来全新底层逻辑,
零信任成为VPN的革命者时日不远

“零信任”,最早是在2010年的时候由Forrester Research的分析师John Kindervag提出来的。零信任本身既不是一种技术,也不是一个产品,而是一种安全理念——“永不信任,始终验证”。

根据美国国家标准与技术研究院(NIST)在《零信任架构标准》中的定义:“零信任(Zero Trust,ZT)提供了一系列概念和思想,旨在面对被视为受损的网络时,减少在信息系统和服务中执行准确的、权限最小的按请求访问的决策时的不确定性。”

虽然如今零信任有了众多的原则,然而最重要的还是John Kindervag最初在提出“零信任”理念时,提到的三个原则:一是不应该区分网络位置;二是所有的访问控制都应该是最小权限且严格限制的;三是所有的访问都应当被记录和跟踪。

这三大原则很大程度上,从根源上决定了,为什么零信任会成为VPN的革命者。不妨以VPN的最大短板“安全”和“体验”为例,进行一番说明。

首先,“不应区分网络位置”这一原则,打破了传统VPN的观念错误。

这点很好理解,决定网络安不安全的,不在于网络所处的“位置”,而是使用网络的“人”,由此防护的重点就从“位置”转向了“人”。

在这一前提下,不信任内部或外部的任何人员/设备/应用/等,在授权前对任何试图接入企业系统的人员/设备/应用/等进行验证。由此,就从根本上改变了安全防护的模式。

其次,“所有的访问控制都应该是最小权限且严格限制的”这一原则,保证了数字资产、数字业务最小程度地暴露给网络。

零信任的企业业务应用系统默认关闭所有端口,拒绝内外部一切访问,只对合法客户端的IP定向动态开放端口,由此就可以直接避免任何非法的扫描和攻击。不仅如此,这种开放还是“最小化”、“够用即可”的,由此就极大地缩小了被攻击的攻击面。很显然,攻击面暴露得越小,面临的危险就越低,这也就意味着安全性越高。

再次,“所有的访问都应当被记录和跟踪”这一原则,使得全程访问都在管控之下。

零信任对外部的访问,不是一次性验证的,而是持续性验证的,而且还会根据验证、监控的结果,对访问进行信任评估和权限调整。这就一方面全流程、全节点地保证了网络和数据的安全性;另一方面,也提高了用户访问的灵活性、敏捷性、易用性、够用性、以及可溯源性、可扩展性。

不难看出,相较于传统VPN,零信任有着诸多的天然优势。传统VPN已经远远落后于时代的大浪潮,就像美国爱荷华州软件公司Workiva的高级安全架构师Matt Sullivan说的那样,“它们笨重、过时,很多东西要管理,坦率地说,它们有点危险。”

当下,在IT业界尤其是架构师、信息官、安全官的队伍中,持和Matt Sullivan类似观点者正日益增多。难怪知名咨询机构Gartner预测,到2023年,60%的企业将逐步淘汰大部分VPN,转向支持零信任网络访问。

而诸如Matt Sullivan这样真正的行业践行者的调转方向,也使得零信任充满了巨大的想象空间。市场研究公司Markets and Markets预计,到2024年,全球零信任安全的市场规模将达到386.3亿美元,年均复合增长率为19.9%。

零信任3种技术落地方式各有特点,
SASE模式不再是空中楼阁

零信任广袤的星辰大海,也吸引了国外包括Google、Cisco、Akamai、Zscaler等诸多厂商的围猎,以及国内包括奇安信、网宿科技、深信服等数十家企业的角逐。

值得一提的是,国内外各大厂商,不管其特点和优势在哪里,实现零信任真正落地主要有3种核心技术方式,其一是SDP(SoftwareDefined Perimeter),也即软件定义边界;其二是IAM(Enhanced Identity Governance),也即增强的身份管理,其三是MSG(Micro-Segmentation),也即微隔离。

SDP是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP 的体系结构由SDP主机和SDP控制器两大部分组成。SDP有三个非常鲜明的特点:一是,只有验证后才可以访问企业应用基础架构;二是,用应用程序所有者控制的逻辑组件取代物理设备;三是,在需要时部署安全边界,从而将服务与不安全的网络充分隔离。

除了SDP,IAM、MSG实际上和SDP并没有本质的不同,因为它们在底层逻辑上,都是从零信任出发的。

在行业的具体实践中,SDP技术模式是厂商选取最多的模式。如今国外包括Okta、Verizon等选取的都是SDP模式;而在国内,网宿科技最近推出的新一代零信任远程访问接入产品SecureLink,采取的也是SDP技术模式。

网宿推出的SecureLink,一方面在底层遵循了Zero Trust安全框架体系和SDP标准规范;另一方面又整合了网宿科技多年来构建沉淀的全球分布式智能网络和全链路传输加速能力,因此就能够很好地满足企业客户的内网访问、远程办公、安全接入等各种需求,从而开启了传统VPN的颠覆之路。

比SecureLink更早出发的BeyondCorp,经过多年的迭代升级,如今已融入大部分谷歌员工的日常工作,让每位谷歌员工都可以在不借助VPN的情况下,通过不受信任的网络顺利开展工作。不仅如此,在BeyondCorp基础上,成功开发出来的基于身份识别的访问代理IAP,也已经成为谷歌云平台上新增加的商业服务。TMT行业,中外企业的发展路径往往是有迹可循的,由此不难预测,集大成的SecureLink将很有可能会成为网宿科技营收增长的又一极。

实际上,中国厂商的群雄逐鹿,BeyondCorp的日益风靡,SecureLink的成功问世等,让更安全、更高效的随时、随地、在任何终端或边缘连接和访问的这一愿景,完成了“梦想照进现实”的进化。于是,也造就了这样一种局面:零信任安全方兴未艾,零信任的高维高阶阶段——“SASE”,就已经被推向了前台。

按照Gartner的定义,SASE(Security Access Service Edge,安全访问服务边缘),指的是集下一代广域网、网络安全服务以及边缘计算于一体的云交付网络。Gartner的预计,到2024年,至少40%的企业将有明确的策略采用SASE,未来5-10年,SASE将会成为绝对的主流。

所以,一定意义上,无论是美国谷歌的BeyondCorp,还是中国网宿科技的SecureLink,都无疑是给整个行业打了一剂有力的强心剂。

写在最后

对于很多事物,有时候我们需要“因为看见,所以相信”;而有时候,又需要“因为相信,所以看见”。无论零信任也好,还是SASE也罢,或许我们需要的是后者——因为相信,所以看见。