零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA) 和安全訪問(wèn)服務(wù)邊緣 ( SASE ) 已經(jīng)存在了很長(zhǎng)時(shí)間，足以證明它們不僅僅是一種曇花一現(xiàn)的趨勢(shì)。在過(guò)去五年中，這兩者都證明了自己的價(jià)值，并且仍然像最初炒作時(shí)一樣具有相關(guān)性和受歡迎程度。

雖然這些框架通常都很容易理解，但關(guān)于如何比較它們以及哪個(gè)更優(yōu)越的反復(fù)爭(zhēng)論表明，人們對(duì)它們各自的作用和相互關(guān)系存在更深的誤解。這種比較本身是有缺陷的?，F(xiàn)在是時(shí)候改變視角，將 ZTNA 和 SASE 視為互補(bǔ)而非競(jìng)爭(zhēng)模型，從而更廣泛地了解 ZTNA - UZTNA。

ZTNA 與 SASE 之間的區(qū)別

ZTNA 是一種安全框架，挑戰(zhàn)了傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全方法。ZTNA 不會(huì)信任安全網(wǎng)絡(luò)邊界內(nèi)的所有內(nèi)容，而是假設(shè)所有用戶和設(shè)備都是潛在威脅。它僅在嚴(yán)格驗(yàn)證身份和設(shè)備健康狀況后才授予對(duì)特定資源的訪問(wèn)權(quán)限。它專注于精細(xì)的訪問(wèn)控制和持續(xù)身份驗(yàn)證。

另一方面，SASE 是一種融合網(wǎng)絡(luò)和安全架構(gòu)。將SD-WAN等網(wǎng)絡(luò)功能與 ZTNA、下一代防火墻 (NGFW)、云訪問(wèn)安全代理 (CASB) 和數(shù)據(jù)丟失防護(hù) (DLP) 等安全服務(wù)整合在一個(gè)基于云的平臺(tái)中。與 ZTNA 一樣，SASE 也摒棄傳統(tǒng)的網(wǎng)絡(luò)和安全邊界。無(wú)論用戶身在何處，都能提供對(duì)應(yīng)用程序和數(shù)據(jù)的安全、一致訪問(wèn)。

SASE 整合的網(wǎng)絡(luò)和安全方法為 IT 領(lǐng)導(dǎo)者帶來(lái)兩大好處。由于所有SASE引擎都豐富了同一個(gè)數(shù)據(jù)湖，管理員和安全解決方案可以更清楚地了解網(wǎng)絡(luò)上發(fā)生的事情，并能夠?qū)⑺芯W(wǎng)絡(luò)數(shù)據(jù)與安全事件關(guān)聯(lián)起來(lái)。允許 SASE提供高質(zhì)量、情境化的數(shù)據(jù)，以實(shí)現(xiàn)更全面的威脅預(yù)防和檢測(cè)。此外，最純粹的 SASE應(yīng)該通過(guò)單一平臺(tái)進(jìn)行管理，所有功能的外觀和感覺(jué)都相同，從而簡(jiǎn)化網(wǎng)絡(luò)和安全操作。

本質(zhì)上，ZTNA 以訪問(wèn)控制為中心，而 SASE 則涵蓋更廣泛的網(wǎng)絡(luò)和安全功能。雖然 ZTNA可以獨(dú)立部署，但也是SASE架構(gòu)不可或缺的組成部分。

SASE 如何填補(bǔ) ZTNA 的空白

簡(jiǎn)而言之，零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA) 完全專注于以最小的風(fēng)險(xiǎn)為遠(yuǎn)程用戶提供對(duì)正確資源的訪問(wèn)。但是，本身并不能解決混合工作模式，即員工可能在組織內(nèi)部訪問(wèn)公司資源。通用零信任網(wǎng)絡(luò)訪問(wèn) (UZTNA) 擴(kuò)展了零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA) 的原則，為辦公室內(nèi)外的用戶啟用一套零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA) 策略。雖然保證了統(tǒng)一的訪問(wèn)管理方法，但零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA) 的最新發(fā)展在防止授權(quán)實(shí)體（例如惡意內(nèi)部人員、疏忽員工、惡意軟件設(shè)備或受感染的 SaaS 應(yīng)用程序）帶來(lái)的威脅方面存在不足?？梢苑乐箼M向移動(dòng)并在發(fā)生違規(guī)時(shí)限制損害，但無(wú)法保護(hù)受感染的資產(chǎn)。

SASE包括UZTNA，但也解決了實(shí)體獲得訪問(wèn)權(quán)限后保護(hù)網(wǎng)絡(luò)和資源的問(wèn)題。例如，如果有權(quán)訪問(wèn)敏感個(gè)人身份信息和受保護(hù)健康信息 (PHI) 的授權(quán)員工或應(yīng)用程序?qū)⑵湫孤兜綈阂夥?wù)器，UZTNA 將失敗。但是，SASE中的NGFW、CASB和DLP等工具可以識(shí)別傳出流量中的敏感和機(jī)密信息，并應(yīng)用必要的策略來(lái)阻止違規(guī)行為。

為了使ZTNA實(shí)施動(dòng)態(tài)訪問(wèn)控制，必須根據(jù)不斷變化的環(huán)境和情況不斷評(píng)估訪問(wèn)權(quán)限。SASE 憑借對(duì)網(wǎng)絡(luò)和安全功能的整體概述，為ZTNA提供實(shí)時(shí)環(huán)境感知、豐富的網(wǎng)絡(luò)洞察以及實(shí)施持續(xù)身份驗(yàn)證所需的最新威脅情報(bào)。這使得 ZTNA 能夠在授權(quán)實(shí)體表現(xiàn)出異常行為時(shí)立即撤銷訪問(wèn)權(quán)限。

除了安全性之外，SASE 還通過(guò)其全球網(wǎng)絡(luò)主干網(wǎng)進(jìn)一步優(yōu)化流量路由、提高應(yīng)用程序性能、實(shí)現(xiàn)故障轉(zhuǎn)移并確保高可用性。借助 SASE、ZTNA 的嚴(yán)格控制不會(huì)以犧牲網(wǎng)絡(luò)和應(yīng)用程序性能為代價(jià)。

探索ZTNA/UZTNA與SASE的協(xié)同作用

了解SASE和ZTNA的滯后性以及它們?nèi)绾蜗嗷パa(bǔ)充非常重要。這可以幫助組織對(duì)其網(wǎng)絡(luò)和安全策略做出明智的決策。通用ZTNA和 SASE對(duì)于強(qiáng)大的安全態(tài)勢(shì)都至關(guān)重要，但它們結(jié)合起來(lái)效果會(huì)更好。例如，UZTNA可以將敏感客戶數(shù)據(jù)的訪問(wèn)權(quán)限限制為僅限合適的個(gè)人，而SASE可以保護(hù)這些個(gè)人免受惡意軟件和其他類型攻擊的侵害。對(duì)于希望應(yīng)對(duì)安全訪問(wèn)挑戰(zhàn)的組織來(lái)說(shuō)，獨(dú)立的 ZTNA 和 UZTNA 可以無(wú)縫融入現(xiàn)有的 IT 基礎(chǔ)架構(gòu)中。另一方面，SASE 提供了一種解決安全訪問(wèn)問(wèn)題的方法，可以減少設(shè)備蔓延、最大限度地減少功能膨脹并降低運(yùn)營(yíng)成本和復(fù)雜性。無(wú)論如何，ZTNA 框架和 SASE 最好被視為互補(bǔ)的盟友，而不是競(jìng)爭(zhēng)資產(chǎn)。