?譯者 | 李睿

審校 | 孫淑娟

除了零信任之外，使用SASE等適當(dāng)?shù)墓ぞ呖梢詭椭Ｗo(hù)企業(yè)的IT基礎(chǔ)設(shè)施免受第三方訪問(wèn)帶來(lái)的威脅。  

什么是SASE？  

安全訪問(wèn)服務(wù)邊緣(SASE)是一種網(wǎng)絡(luò)安全架構(gòu)，可以幫助企業(yè)將系統(tǒng)、端點(diǎn)和用戶從全球任何位置安全地連接到服務(wù)和應(yīng)用程序。這是一項(xiàng)可以從云端訪問(wèn)并集中管理的服務(wù)。  

SASE是一個(gè)框架，而不是一種特定的技術(shù)。它通過(guò)結(jié)合多種云原生安全技術(shù)來(lái)工作，其中包括：  

• 安全Web網(wǎng)關(guān)(SWG)  
• 云訪問(wèn)安全代理(CASB)  
• 零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）  
• 防火墻即服務(wù)（FWaaS）  
• 廣域網(wǎng)（WAN）  

但不要將SASE與安全服務(wù)邊緣(SSE)混淆，SSE是SASE的一個(gè)子集，主要關(guān)注的是SASE云平臺(tái)所需的安全服務(wù)。  

SASE解決了哪些問(wèn)題？  

越來(lái)越多的企業(yè)開(kāi)展遠(yuǎn)程工作，并正在采用混合工作方法，希望將其員工順利轉(zhuǎn)換為全職或兼職遠(yuǎn)程工作。如今，企業(yè)每天通常使用數(shù)十個(gè)SaaS應(yīng)用程序，并且授予對(duì)管理和運(yùn)營(yíng)資源（例如文件共享系統(tǒng)）的遠(yuǎn)程訪問(wèn)權(quán)限。  

傳統(tǒng)的遠(yuǎn)程訪問(wèn)方法使用虛擬專用網(wǎng)絡(luò)通過(guò)加密通道將用戶連接通過(guò)隧道連接到單個(gè)位置。這使得集中應(yīng)用和執(zhí)行權(quán)限的策略成為可能。  

然而，這種方法會(huì)造成網(wǎng)絡(luò)瓶頸，影響用戶體驗(yàn)。企業(yè)必須投資于能夠管理和檢查流量的技術(shù)，即使如此，虛擬網(wǎng)絡(luò)也不能提供精細(xì)的網(wǎng)絡(luò)訪問(wèn)控制，允許用戶不受限制地訪問(wèn)整個(gè)網(wǎng)絡(luò)。

其解決方案的一部分是引入安全Web網(wǎng)關(guān)(SWG)和防火墻即服務(wù)(FWaaS)提供商。這些基于云計(jì)算的服務(wù)在分布式當(dāng)前點(diǎn)(PoP)部署檢查引擎，并與SaaS提供商合作，使用云訪問(wèn)服務(wù)代理(CASB)保護(hù)他們的云環(huán)境。但這仍然不能解決連接到企業(yè)網(wǎng)絡(luò)的問(wèn)題。除了基于云計(jì)算的資源之外，企業(yè)仍然擁有本地網(wǎng)絡(luò)，這一遠(yuǎn)程訪問(wèn)難題尚未解決。

SASE解決了這個(gè)缺失的部分。它的設(shè)計(jì)考慮了最終用戶，并采用了零信任方法。SASE允許用戶連接到任何資源，無(wú)論是在云平臺(tái)中還是在內(nèi)部部署設(shè)施。它首先驗(yàn)證他們的身份，并檢查用戶的設(shè)備是否具有最低限度的安全性。受信任的用戶只能連接到他們想要訪問(wèn)的特定資源，而不能連接其他任何資源。這通常通過(guò)依賴微分段的零信任網(wǎng)絡(luò)訪問(wèn)技術(shù)(ZTNA)來(lái)實(shí)現(xiàn)。  

與集中安全檢查的傳統(tǒng)網(wǎng)絡(luò)解決方案不同，SASE方法將這些檢查分布在不同的區(qū)域，以提高網(wǎng)絡(luò)資源的效率。這有助于降低將這些組件作為單獨(dú)的單點(diǎn)解決方案進(jìn)行管理的復(fù)雜性。SASE提供了一組集中的基于云的工具，可提高可見(jiàn)性和控制力。這些工具可以在云平臺(tái)中完全編排，并在網(wǎng)絡(luò)邊緣立即實(shí)施策略。

通過(guò)零信任和SASE最大限度地降低第三方風(fēng)險(xiǎn)

第三方風(fēng)險(xiǎn)管理涉及解決源自企業(yè)外部可信來(lái)源的安全風(fēng)險(xiǎn)。這個(gè)定義很寬泛，但有一些值得注意的第三方風(fēng)險(xiǎn)來(lái)源：

• 第三方應(yīng)用程序——所有企業(yè)都使用第三方開(kāi)發(fā)的應(yīng)用程序。企業(yè)通常信任這些應(yīng)用程序，因?yàn)樗鼈儊?lái)自信譽(yù)良好的開(kāi)發(fā)人員或受信任的軟件公司。但是，第三方軟件通常包含漏洞，如果開(kāi)發(fā)人員的系統(tǒng)受到威脅，受信任的應(yīng)用程序可能會(huì)成為惡意行為者的攻擊向量。  
• 受信任的外部用戶——許多企業(yè)允許外部合作伙伴或供應(yīng)商訪問(wèn)其受保護(hù)的系統(tǒng)和環(huán)境。但是，受損的第三方用戶帳戶可以作為網(wǎng)絡(luò)攻擊的平臺(tái)，允許惡意行為者獲得對(duì)內(nèi)部網(wǎng)絡(luò)的授權(quán)訪問(wèn)。  
• 開(kāi)源代碼——大多數(shù)企業(yè)使用包含第三方軟件組件和依賴項(xiàng)的應(yīng)用程序。開(kāi)源庫(kù)和代碼通常包含允許網(wǎng)絡(luò)攻擊者利用應(yīng)用程序的后門。如果企業(yè)缺乏對(duì)其開(kāi)源依賴項(xiàng)的可見(jiàn)性，那么未知的漏洞可能會(huì)帶來(lái)攻擊機(jī)會(huì)。  

在每種情況下，企業(yè)都隱含地信任第三方以確保安全。如果網(wǎng)絡(luò)攻擊者利用這種信任，它可能會(huì)破壞企業(yè)的安全。企業(yè)對(duì)過(guò)時(shí)的安全策略的依賴可能會(huì)導(dǎo)致第三方風(fēng)險(xiǎn)的許多惡劣影響。  

例如，許多企業(yè)使用傳統(tǒng)的安全邊界模型來(lái)保護(hù)他們的網(wǎng)絡(luò)免受外部攻擊。這種方法涉及在網(wǎng)絡(luò)邊界部署安全機(jī)制，以在滲透受保護(hù)的網(wǎng)絡(luò)和系統(tǒng)之前識(shí)別和阻止威脅。  

基于邊界的安全模型假設(shè)安全威脅來(lái)自網(wǎng)絡(luò)外部，然而這并不總是正確的。通過(guò)只關(guān)注外部威脅，企業(yè)通常會(huì)忽略已經(jīng)滲透到其網(wǎng)絡(luò)中的威脅。第三方應(yīng)用程序和用戶通常會(huì)為保護(hù)外部接入點(diǎn)的安全解決方案帶來(lái)額外的安全挑戰(zhàn)和潛在盲點(diǎn)。  

管理第三方風(fēng)險(xiǎn)需要了解即使是受信任的系統(tǒng)或?qū)嶓w也可能對(duì)企業(yè)構(gòu)成風(fēng)險(xiǎn)。簡(jiǎn)而言之，企業(yè)不得完全信任任何人或任何事物。這一假設(shè)構(gòu)成了零信任的基礎(chǔ)，這是一種將安全事件的可能性和潛在損害降至最低的安全方法。  

采用零信任安全策略相對(duì)簡(jiǎn)單，盡管有時(shí)執(zhí)行它可能更具挑戰(zhàn)性。實(shí)施零信任需要在整個(gè)企業(yè)的整個(gè)基礎(chǔ)設(shè)施中實(shí)施一致的訪問(wèn)控制。  

企業(yè)應(yīng)在網(wǎng)絡(luò)級(jí)別強(qiáng)制實(shí)施零信任，以確保東西向流量和南北向流量的安全。安全訪問(wèn)服務(wù)邊緣(SASE)提供兩種功能：  

• 東西向流量——SASE建立了企業(yè)WAN，將完整的安全堆棧集成到每個(gè)接入點(diǎn)(PoP)。它支持SASE PoP進(jìn)行東西流量檢查，并應(yīng)用基于零信任模型的訪問(wèn)控制。
• 南北向流量——SASE建立軟件定義邊界(SDP)或零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)，對(duì)源自外部用戶的對(duì)內(nèi)部資源或應(yīng)用程序的所有請(qǐng)求實(shí)施基于零信任的訪問(wèn)控制。它限制對(duì)企業(yè)應(yīng)用程序的外部訪問(wèn)，以防止利用隱藏的漏洞。  

結(jié)論  

第三方風(fēng)險(xiǎn)管理通常是一項(xiàng)復(fù)雜的工作。零信任安全實(shí)施是最小化第三方風(fēng)險(xiǎn)的一個(gè)關(guān)鍵方面。除了零信任之外，使用SASE等適當(dāng)?shù)墓ぞ呖梢詭椭Ｗo(hù)企業(yè)的IT基礎(chǔ)設(shè)施免受第三方訪問(wèn)帶來(lái)的威脅。  

原文標(biāo)題：??Is SASE the Solution for Third-Party Risk????，作者：Gilad David Maayan?