[调研]零信任火热 VPN仍存
零信任计划或许已纳入当今大多数企业的安全路线图,但现有的远程访问架构依然非常依赖虚拟专用网(VPN)技术。
最近公布的数据显示,大约90%的企业某种程度上仍利用VPN为用户提供安全远程访问。同时,广大IT和安全从业人员中,只有不到三分之一的人表示,为取代VPN,公司计划或者已经开始铺开零信任网络访问(ZTNA)。
以上数据出自Sapio Research进行的一项调查研究,调研范围覆盖1025名IT人员,主要集中在410名同时了解VPN和ZTNA的受访者身上。研究显示,该群体中,97%的受访者报告称采用零信任模式是其首要工作。而同时了解VPN与ZTNA的受访者中,超过半数表示已经着手铺开零信任解决方案。
2019年,Gartner开始力推ZTNA这个术语,用以概况描述一系列产品和服务,这类产品和服务能够以基于身份和上下文的因素组合,围绕应用或应用程序集创建逻辑访问边界。当时,Gartner预计,到2023年,大约60%的企业将开始淘汰VPN,转而使用ZTNA。
最近,在对2022年零信任策略的分析中,Gartner副总裁、杰出分析师Neil MacDonald称:“VPN不过是从根儿上就四处漏风的网络安全模型的创可贴,总有一天要被替代。我们得翻转这个模型,不是连接之后再担心身份验证问题,而是先进行身份验证,然后再连接。许多零信任网络原则就是由此而生。”
VPN的问题所在
德勤零信任产品主管Andrew Rafla解释称,VPN技术最大的问题之一,在于其“允许对企业进行网络级访问”。
相比之下,ZTNA则将远程用户的访问权限限制在其所需的特定应用和资产上,别的地方免谈。Rafla表示,ZTNA只是零信任架构的一个重要组成部分,零信任架构还应该包括集中式联合身份存储、特权访问管理控制、数据保护、网络分隔、设备安全,以及遥测与数据分析。
“通用网络安全基础也不容忽视;为了实现零信任模型的真正好处,组织应该切实掌握其IT资产管理、配置与漏洞管理,以及数据分类。”Rafla说道。
鉴于真正抓住零信任实现良机需要做到以上诸多要求,不难想象,许多组织可能会对此感到不知所措。调查中,超过三分之二的VPN用户报告称,实现ZTNA策略工程浩大。
对依赖VPN的组织而言,从VPN转向ZTNA最大的限制在于费用/预算,62%的受访者都提到了这一点。其中约13%认为零信任令人困惑,甚至不知道该如何着手。
但有意思的是,采用了ZTNA的受访者给出的实现时间表却不像固守VPN的受访者想象的那么可怕。研究显示,ZTNA的平均部署时间约为11.5个月。这一经验或许值得汲取,因为组织能够且应该分阶段铺开零信任各个部件,而用于远程访问的ZTNA可以作为零信任旅程切实可行的第一步。
Sapio Research调研报告:
https://www.banyansecurity.io/blog/banyan-security-research-it-and-security-attitudes-regarding-secure-remote-access/
参考阅读