以下文章轉(zhuǎn)載自數(shù)說安全

　　后疫情時代，移動/遠程辦公逐漸成為常態(tài)，企業(yè)內(nèi)外部協(xié)作增多，用戶使用的終端設(shè)備日益多樣化，終端設(shè)備的安全風(fēng)險不斷提升，這導(dǎo)致企業(yè)對遠程接入的安全需求也逐漸升級。與此同時，云計算技術(shù)以及混合云架構(gòu)的廣泛采用，逐步瓦解傳統(tǒng)的辦公網(wǎng)絡(luò)邊界，給原本通過傳統(tǒng)VPN技術(shù)實現(xiàn)遠程安全接入的方案帶來了較大的挑戰(zhàn)，主要體現(xiàn)在以下三個方面：

　　作為一種全新的安全理念，零信任架構(gòu)從理念提出到應(yīng)用落地，已歷經(jīng)十年時間。傳統(tǒng)VPN的安全模型是建立在靜態(tài)邊界安全模型基礎(chǔ)之上的，基本假設(shè)是“通過認證接入內(nèi)網(wǎng)即是安全的”。與此相對照，零信任架構(gòu)的基本假設(shè)是：一是網(wǎng)絡(luò)時時刻刻都處于危險之中；二是始終存在著來自外部或內(nèi)部的威脅，與網(wǎng)絡(luò)位置無關(guān)。

　　基于以上兩項假設(shè)，零信任架構(gòu)的訪問控制措施也更加嚴格：任何訪問（設(shè)備、用戶、網(wǎng)絡(luò)流量）都應(yīng)當(dāng)經(jīng)過認證與授權(quán)，無論來自內(nèi)網(wǎng)還是外網(wǎng)；安全策略應(yīng)當(dāng)是動態(tài)調(diào)整的，這種策略調(diào)整是以保障訪問安全性為目標，基于盡可能多的信息源做判斷決策。

　　此外，Gartner也預(yù)測到2023年，60%的企業(yè)將逐步淘汰大部分VPN，轉(zhuǎn)而使用零信任網(wǎng)絡(luò)訪問業(yè)務(wù)。

　　近年來，國內(nèi)企業(yè)逐步加大對“零信任架構(gòu)”的研究和布局。深信服憑借自身在遠程辦公領(lǐng)域的積累與創(chuàng)新，融合零信任思想，推出了基于“以身份為中心，可信訪問、智能權(quán)限、極簡運維”理念的輕量級零信任架構(gòu)遠程辦公解決方案——零信任“VPN”。

　　

　　作為國內(nèi)最早推出針對遠程辦公場景的零信任安全解決方案之一，零信任“VPN”對于用戶有怎樣特別的價值呢？

　　一是，提供更輕量級、更容易落地的方案。

　　零信任走進企業(yè)是一種趨勢，但零信任整體架構(gòu)部署落地的龐大工程讓許多企業(yè)望而卻步。而深信服零信任“VPN”可為企業(yè)提供一個更輕量級、更容易落地的遠程辦公安全方案。

　　二是，基于長期在遠程辦公領(lǐng)域的積淀，更可靠、體驗更好。

　　針對遠程辦公場景，如果沒有遠程辦公領(lǐng)域的積累和沉淀，單純照搬零信任的復(fù)雜體系來建設(shè)，不注重遠程辦公特定的體驗優(yōu)化、運維簡化需求，容易水土不服，適得其反。

　　深信服在遠程辦公解決方案及VPN技術(shù)領(lǐng)域有近20年的技術(shù)積累和經(jīng)驗沉淀，將其充分應(yīng)用在零信任方案上，緊貼企業(yè)用戶日益復(fù)雜的遠程辦公需求，通過極致的用戶訪問體驗、極簡的運維特性，為企業(yè)提供更安全、更可靠、體驗更好的遠程辦公方案。

　　三是，具備前沿的核心技術(shù)優(yōu)勢，可持續(xù)成長以應(yīng)對日益復(fù)雜的安全需求。

　　深信服零信任“VPN”基于“以身份為中心，可信訪問、智能權(quán)限、極簡運維”的理念，實現(xiàn)了遠程辦公場景下的身份可信、環(huán)境可信、行為可信，同時安全能力持續(xù)成長，幫助用戶應(yīng)對未來遠程辦公的復(fù)雜需求。

　　1、身份可信：網(wǎng)絡(luò)隱身與自適應(yīng)認證，確保身份可信

　　零信任“VPN”通過新一代SPA單包授權(quán)機制，最大程度縮小暴露面，只有特定攜帶安全票據(jù)的客戶端才能訪問請求連接，實現(xiàn)網(wǎng)絡(luò)隱身。在認證環(huán)節(jié)中，零信任“VPN”可以基于地理位置、網(wǎng)絡(luò)環(huán)境等因素的變化自動調(diào)整認證強度，平衡安全與體驗。

　　2、環(huán)境可信：終端環(huán)境安全性進行持續(xù)檢測，全訪問周期環(huán)境安全

　　在用戶登錄時、登錄后訪問業(yè)務(wù)期間進行實時檢測，當(dāng)發(fā)現(xiàn)終端安全狀態(tài)不能滿足安全要求時，限制終端對系統(tǒng)的訪問。與此同時，還可以針對不同業(yè)務(wù)系統(tǒng)調(diào)整終端安全狀態(tài)的要求，如訪問官網(wǎng)等非敏感業(yè)務(wù)終端不需要安裝殺毒軟件，而訪問ERP、財務(wù)等敏感系統(tǒng)時，要求終端必須安裝EDR軟件并且更新到最新版本。

　　3、行為可信：動態(tài)訪問控制，行為可控，保護業(yè)務(wù)

　　零信任“VPN”利用“信任引擎”來實現(xiàn)動態(tài)權(quán)限控制，當(dāng)發(fā)現(xiàn)終端環(huán)境、身份、行為存在風(fēng)險時，通過收縮用戶的訪問權(quán)限，降低被攻擊入侵的風(fēng)險。

　　4、安全能力持續(xù)成長，以應(yīng)對日益復(fù)雜的業(yè)務(wù)、數(shù)據(jù)保護需求

　　零信任“VPN”可以通過API接口與態(tài)勢感知、下一代防火墻、終端檢測與響應(yīng)等多種設(shè)備進行安全聯(lián)動，并保持安全能力持續(xù)成長，更準確地識別異常行為和未知威脅；同時，通過結(jié)合沙箱能力，更好地滿足遠程辦公場景下的數(shù)據(jù)防泄密需求。

　　從90年代SUN提出“網(wǎng)絡(luò)就是計算機”開始，計算范式從傳統(tǒng)計算到云計算的遷移用了將近三十年時間。云計算的發(fā)展和普及帶動了安全防御理念和產(chǎn)品的推陳出新，而新的安全理念和產(chǎn)品成為市場主流也需要一個漫長的培育和發(fā)展過程。深信服零信任“VPN”產(chǎn)品在江蘇銀行的部署和使用過程中，取得了預(yù)期中的良好效果。除銀行客戶外，深信服還成功交付了運營商、互聯(lián)網(wǎng)企業(yè)、大型制造業(yè)、教育、政府科研、企事業(yè)單位等各行各業(yè)遠程安全辦公的零信任方案，并獲得用戶的一致認可。

　　深信服秉持一貫的理念，為用戶提供更簡單、更安全、更有價值的零信任安全方案和產(chǎn)品，助力客戶網(wǎng)絡(luò)安全體系向零信任架構(gòu)遷移，幫助客戶實現(xiàn)流量身份化、權(quán)限智能化、訪問控制動態(tài)化、運維管理極簡化的新一代網(wǎng)絡(luò)安全架構(gòu)。來源：深信服科技