SASE与零信任，到底有什么关系？

安全行业正在飞速发展，我们面临的威胁格局不断改变，企事业单位大规模数字化转型也不断深入发展。零信任作为新一代网络安全理念还饱受热议，但转眼间SASE也加入了赛道。各安全厂商纷纷阐述各自对SASE理解，推广相关产品和方案。在炒作和热议下，很多企业组织已经开始了零信任和SASE之旅，但建设之路似乎并不清晰。接下来，企业组织应该如何走好零信任和SASE建设之路？当威胁发生，我们如何能确保做好了充足的防护和应对准备？

在回答上述问题前，先来了解零信任与SASE分别是什么，它们之间有什么异同。

01 背景

自Gartner于2019年8月提出安全访问服务边缘（Secure Access Service Edge, SASE）至今，几乎所有大型安全厂商都发布了SASE安全架构或者解决方案或产品等服务。看了Gartner针对SASE的研究和调查，很多企业和组织可能会认为部署SASE就可以同时拥有零信任。然而，事实并非如此，部署零信任和SASE，企业需要采取各种不同的措施，才能正确地落地。

零信任101

零信任是一种安全理念，它强调不应该默认信任企业网络边界内外的任何事物，必须在授予访问权限之前进行身份验证。同时，信任也不应该基于特定连接、特定对象或者网络位置等某单一条件被授予给访问者。零信任要求用户（包括设备、数据、服务等）证明其应该被授予访问权限，并且仅授予其必要的、必需的访问权限。例如，若某员工不是财务部门人员，那么其账户不能访问财务数据。

为了防止账户冒用、泄漏等风险发生，企业员工还会使用无密码方式，如生物识别或安全密钥等方式登陆企业账户。相较于简单的用户名与密码登陆方式，这些方式使攻击者更难盗用账户。

SASE 101

与其他安全架构相似，SASE的目标也是为了保护用户、应用以及数据等。然而，如今用户、企业应用、数据等资产不仅存在于数据中心，还可能在云上、SaaS应用中，移动设备中。所以，SASE将安全能力转移到云端。

根据Gartner的定义，SASE是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。其中，实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。它可以提供多种网络与安全能力，包括软件定义广域网（SD-WAN）, Web安全网关（SWG）, 云访问安全代理（CASB）, 零信任网络访问（ZTNA）以及防火墙即服务（FWaaS）等核心能力。

SASE 将网络接入和安全能力融合，统一在云端管理和交付，将安全执行点部署在离用户更近的边缘节点，克服了分散集成和地理位置约束解决方案的成本及复杂性，从而实现安全能力的服务化和企业安全服务的托管。

02 零信任和SASE有包含关系吗？

Gartner将零信任网络访问 (ZTNA) 作为SASE的核心组件之一，这可能是让大众误解SASE是包含零信任的原因。实际上，零信任架构不等于零信任网络访问或ZTNA。

零信任网络访问（ZTNA）可以主要理解是传统VPN解决方案的一种替代方案，目的是为了提供更安全的远程访问。但这并不意味着部署了ZTNA，整体企业IT环境中就全面实现了零信任架构。因此，零信任不是SASE的组成部分。零信任是一种安全理念，而不是单一的产品。

那么SASE 是零信任的一部分吗？答案是，有可能的。因为SASE可以帮助企业针对某些IT资产践行零信任原则，虽然这也并不意味着整体环境中全面部署了零信任。

无论两者之间是否存在包含关系，SASE和零信任都有相同的共同目标——保护业务、基于身份与上下文的策略分配。

03 零信任和SASE有什么共同之处？

ZTNA被视为SASE核心要素之一，强调基于最小权限原则提供对服务的访问，它同时遵守一下几个零信任原则：

• 所有网络连接都应当经过身份验证，并且基于动态策略授予访问权限；
• 所有通信都是安全的，无论网络位置如何；
• 安全控制必须在最靠近资产的地方实施。

不同于像传统VPN远程访问解决方案，ZTNA 在应用层（第 7 层）保护对服务的访问。ZTNA向用户提供授权方式，并且通过身份验证的用户只能访问已批准的资产。

04 零信任和SASE有什么区别？

如前所述，零信任是一种安全理念，它并未聚焦在某些特定安全技术或者产品，而 SASE明确描述了几种网络和安全技术。

在零信任架构下，无论是部署杀毒软件、防火墙、IPS 还是新一代NDR 解决方案，零信任原则都应适用于系统的各个方面：人员、流程和技术等。

SASE则明确描述了几种网络和安全技术。此外，它还探讨了云服务厂商应该如何部署这些服务，以及企业应该如何使用这些服务。

05 零信任和SASE如何协同工作以保护现代基础设施？

SASE 将安全性迁移至云端，更接近工作负载、应用程序、用户和数据，但它依然依赖于“预防-检测-纠正”的网络安全方法，它还是会使企业资源暴露在危险之中。

例如，攻击者可以运用社会工程研究进行网络钓鱼活动，通过恶意广告侵害可靠的网站，或使用虚假登录表单获取更多渗透机会。最后，即使检测到威胁存在，攻击者也可以通过简单的代码改变使其几乎无法被检测到。结果，网络安全团队不断修补系统中的漏洞，并希望漏洞不会导致灾难性破坏。

零信任和SASE解决方案应当结合起来，因为它们能够帮助企业将最小权限访问方法与云安全保护架构很好地结合在一起。

06 总结

零信任是一种思维方式，它专注于根据需要进行的身份验证和数据访问授权，而SASE指的是部署在边缘的云交付平台，可为任何地方的数据提供广泛的保护。SASE不能被视作部署零信任的快车道，而应将SASE与零信任结合，采用零信任原则更好地保护基于云的服务以及本地服务。

无论架构、技术、概念如何改变，网络安全的核心依旧是要明确需要保护的资产，了解它们的价值和分类，以及谁需要访问、谁能获取权限访问权限。企业始终需要进行风险评估了解安全态势，做好安全意识培训，制定风险应急响应计划。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。