阅读时间:8分钟
引言
“永远不要信任,总是要验证。”
如今几乎每个人都理解并同意这一零信任(Zero Trust)的基本原则。那么,是什么让人们犹豫不决呢?我们听到的最大抱怨是:他们不知道从何开始。安全工具和网络基础设施往往已经存在多年,而涉及日常工作依赖的应用程序的模糊实施过程可能让人感到畏惧。
虽然没有普遍的答案,但我们的多个客户一致认为,从传统VPN转向云原生的零信任网络访问(ZTNA)解决方案,如Cloudflare Access,是一个很好的起点——为他们的业务提供了一个可行且有意义的升级。
ZTNA的崛起
根据GartnerⓇ的预测,“到2025年,至少70%的新远程访问部署将主要由ZTNA提供,而不是VPN服务,这一比例在2021年底还不到10%。”通过优先考虑ZTNA项目,IT和安全高管可以更好地保护他们的业务免受勒索软件等攻击,同时改善员工的日常工作流程。安全性与用户体验之间的权衡已不再是现代组织的唯一选择;如果选择ZTNA,组织能够真正改善这两方面。
为什么没人喜欢VPN
VPN所提供的网络级访问和默认信任创造了可避免的安全漏洞,允许攻击者在网络中横向移动。攻击者可能通过一个不太敏感的入口进入网络,窃取凭证后再横向移动,寻找更关键的商业信息进行利用。在攻击上升的背景下,这种威胁是非常真实的,防范的路径也是触手可及的。
与此同时,VPN的性能仿佛停留在90年代……而且并不是以一种怀旧的方式。员工们遭受着缓慢和不可靠的连接,这些连接显然并未为当今的远程访问规模而设计。在“伟大的重组”和当前招聘环境下,基于传统技术为团队提供低效的体验并没有良好的投资回报率。而且,当IT/安全从业者面临许多其他工作机会时,他们可能不愿意忍受过时技术栈带来的手动、可避免的任务。从安全性和可用性两个角度来看,向VPN替代品的转变是值得追求的。
将最小权限访问设为默认
与其认证用户并提供对整个企业网络的访问,不如通过ZTNA实现或“软件定义边界”,根据资源授权访问,有效消除了横向移动的潜力。每次访问尝试都会根据身份、设备状态、地理位置和其他上下文信息进行评估。用户会随着上下文的变化不断被重新评估,所有事件都会被记录,以帮助改善对各种应用程序的可见性。
正如Udaan的联合创始人Amod Malviya所言:“VPN令人沮丧,导致员工和支持他们的IT人员浪费无数时间。此外,传统VPN可能会使人们产生虚假的安全感。使用Cloudflare Access,我们拥有一个更可靠、直观、安全的解决方案,基于每个用户、每个访问进行操作。我把它称为身份验证2.0,甚至3.0。”
组建ZTNA项目计划
VPN在组织基础设施中根深蒂固,完全替代一个VPN可能需要相当长的时间,具体取决于用户和应用程序的总数。然而,进行渐进式的进展仍然具有显著的商业价值。您可以按自己的节奏逐步迁移离开VPN,让ZTNA与您的VPN共存一段时间,但至少要开始这一过程。
考虑哪些应用程序最适合ZTNA试点,例如那些有已知投诉或与之相关的IT支持票据的应用程序。否则,您可以考虑那些使用频繁或特别关键或高风险用户访问的内部应用程序。如果您有即将进行的硬件升级或VPN的许可续订计划,那么与相应基础设施相关的应用程序也可能是现代化试点的合适选择。
执行试点应用的过渡计划
第一步:将内部应用连接到Cloudflare的网络
Zero Trust仪表板会引导您通过几个简单的步骤设置我们的应用连接器,无需虚拟机。在几分钟内,您可以为应用程序流量创建隧道,并根据公共主机名或您的私有网络路由进行路由。仪表板将提供一串命令,供您复制并粘贴到命令行中,以便进行初始路由配置。从那时起,Cloudflare将自动管理您的配置。
第二步:集成身份和端点保护
Cloudflare Access充当您现有安全工具的聚合层。支持超过十种身份提供者(IdP),如Okta、Microsoft Azure AD、Ping Identity或OneLogin,您可以链接多个同时的IdP或从一个IdP分离租户。这对于正在进行合并或收购的公司,或正在进行合规性更新(例如,整合单独的FedRAMP租户)特别有用。
在ZTNA实施中,这一链接使两个工具能够发挥各自的优势。身份提供者存储用户信息并执行身份验证检查,而Cloudflare Access则控制更广泛的零信任规则,最终决定对各种资源的访问权限。
结论
通过Cloudflare Access,组织能够有效地转变其网络安全策略,从而提高安全性和用户体验。无论是对现有VPN的替代,还是对新兴技术的适应,ZTNA都为企业提供了一个安全而灵活的解决方案。现在就开始您的ZTNA旅程,体验更高效的工作流程和更强的安全防护。
如需了解更多信息和开始使用Cloudflare Access,请访问Cloudflare官网。
