/ 中存储网

ESG高级分析师:应该考虑放弃VPN,启用SASE和ZTNA

2022-09-16 01:10:09 来源:中存储

ESG高级分析师 John Grady 在 Palo Alto Networks 的 SASE Con??verge 活动中表示,如果组织希望提高弹性、敏捷性和灵活性,他们应该考虑放弃VPN 。

Grady 补充说,VPN 在当前的混合工作和网络威胁环境中提出了挑战。ESG 研究发现,用于访问应用程序的设备中约有 35% 是“自带设备”(BYOD),访问内部资源的用户中约有 35% 是第三方来源,这使情况更加复杂。 

他指出,VPN 通常是组织支持远程访问的方式。“在这种用户较少且资源集中的模型中,它在一定程度上起作用,但这种方法存在一些重大问题。”

VPN 陷阱

“最明显”的问题是 VPN 提供的安全级别。Grady 指出,由于 VPN 在互联网上可见,因此攻击者很容易访问它们。再加上 VPN 提供商经常披露漏洞这一事实,这意味着攻击者不必“特别努力”地寻找网络入口点。 

部署为硬件设备的 VPN 需要进行容量规划并对可以通过网络网关连接的用户数量设置上限,这也限制了可扩展性。 

使用 VPN 也会降低用户体验,因为“只是必须连接到 VPN 的行为可能是侵入性的,”Grady 说。他指出,VPN 通常需要代理,这使得在有大量第三方用户的情况下提供访问变得困难。此外,流量被回传到一个可能对性能产生影响的集中位置,在访问基于云的应用程序时尤其如此。 

“出于这个原因,一些SaaS应用程序实际上建议您不要通过 VPN 连接,”他补充道。 

在 IT 方面,VPN 通常在孤岛中运行。尽管如此,Grady 表示,为了增强安全性和更轻松的管理而趋向融合和整合的行业趋势无法通过 VPN 轻松实现。 

“VPN 通常没有任何固有的威胁预防或其他安全功能,因此很难实现任何这些目标,”他说。“从解决方案的角度来看,与购买 VPN 设备相关的资本支出以及回程模型本身,成本也会发挥作用。”

尽管如此,ESG 研究表明,只有 7% 的组织表示他们在替代 VPN 的道路上取得了重大进展,而 13% 的组织正在积极扩大零信任网络访问 (ZTNA) 的使用以替代 VPN。 

“现实情况是,这是一个非常大的项目,通常不会一下子完成。开始时更多的是关于 VPN 增强,着眼于未来的替代,”Grady 说,并补充道,“即使这对许多组织来说可能也不现实。”

为什么选择 ZTNA? 

Grady 表示,ZTNA 的一个主要吸引力在于该技术通常是云交付的。这意味着发往云应用程序的流量不必回传到企业数据中心,而是通过最有效的路径进行路由。 

ZTNA 还支持比 VPN 更强大的安全模型,将应用程序隐藏在公众视野之外,这意味着只有具有特定权限的人才能访问它们。这种最低权限方法与上下文访问相结合,其中包括检查正在使用的设备的运行状况并评估发出请求的地点和时间。  

Grady 说,ZTNA 工具通常同时提供代理和无代理部署模型,这些模型支持 VPN “努力解决”的一些第三方访问用例。其中包括为合作伙伴和承包商提供访问权限、支持并购活动以及使 BYOD 场景“至少从访问权限的角度来看更容易让安全团队管理”。

ZTNA实现SASE

ESG高级分析师:应该考虑放弃VPN,启用SASE和ZTNA

Grady 解释说,虽然趋势性的安全访问服务边缘 (SASE)和零信任框架是分开的,但它们是互补的并且日益相互关联。

“你需要了解和计划 ZTNA 如何支持更广泛的计划,特别是我的意思是 SASE 和零信任,”他说。 

ESG 发现,正在实施广泛的零信任计划的组织中有 61% 已开始实施 SASE。“这基本上意味着当你开始做一个时,你更有可能做另一个,”格雷迪指出。“这意味着你需要考虑和协调不同的项目以及在整个组织中与许多利益相关者和角色合作。”

该小组还发现 ZTNA 位居榜首,58% 的受访者将其选为已开始实施 SASE 项目的组织中最常见的起点。 

Grady 表示,大多数 ZTNA 项目在开始时应该相当专注,但在完成时仍要考虑到短期和长期的观点。虽然组织可能会出于特定目的而追求 SASE,例如保护基于云的应用程序,但如果他们只关注专门用于一种用途的工具,他们可能难以将事情扩展到其他用例。 

最终,SASE 和 ZTNA 的采用都是需要深思熟虑的规划和监督的过程。

“相对于组织(尤其是在企业层面)能够以多快的速度推出新产品,SASE 有时可能会被超卖,因为这是一个整体上的重大举措,”格雷迪说,并补充说,以正确的方式开始 SASE 之旅ZTNA 工具是“几乎每个组织都应该考虑的”。