零信任=VPN？只能做远程办公？深信服零信任坦诚解答您的疑问-深信服

新闻中心

新闻中心 > 零信任=VPN？只能做远程办公？深信服零信任坦诚解答您的疑问

零信任=VPN？只能做远程办公？深信服零信任坦诚解答您的疑问

2023-06-14 16:48:32

“从来不是远程办公淘汰了现场办公，而是高效代替了低效。”各行各业数字化转型，追求的必然是更高效的工作方式，由此催热了“零信任”的概念。

各安全厂商百家争鸣，演进了多条技术路线（SDP、IAM、MSG 等），以期用零信任架构，护航用户远程办公的安全接入。

然而，大部分用户仍旧认为零信任的落地难度和演进方向都是不明确的：

● 对于还在观望的用户来说，停留于一个固有观念：“零信任只能解决远程办公的安全问题”，零信任不就是“更安全一点”的VPN吗？

● 对于已经初步入局的用户，同样也存在疑惑：落地远程办公场景后，下一步要怎么办？

面对您的疑问，深信服零信任决定来一次全面解读。

深信服的「零信任观点」

管控风险，重构访问控制体系

观点一：关于零信任与VPN的能力界定

零信任≠VPN，零信任聚焦的是“主体到客体的访问控制和数据保护”，主要解决业务安全访问的问题，接入能力只是零信任的子集。

过去我们通过不同类型的安全设备来进行访问控制，包括防火墙、交换机、路由器、SSL VPN 等。

经过多年的发展，传统的访问控制机制开始暴露出诸多弊端，主要有两个方面:

1.在传统身份认证机制下，先授权网络连接和访问，再进行身份认证，导致业务对外暴露。

2.基于 IP/MAC/VLAN 设置 ACL，难以与真实用户进行关联；身份与权限对应静态且粗放，难以做到细粒度权限管控。

当我们进一步剖析，上述问题的本质都是“主体到客体的访问控制存在着安全风险”。

在南北向访问中，过去通过 SSL VPN 实现远程安全接入，但SSL VPN 在安全性/大并发等方面的能力，越来越难以满足数字化转型趋势下的用户需求。

而零信任聚焦业务安全接入，从身份、终端、连接、权限、数据和行为等不同维度，帮助用户安全访问业务，构筑了基于端到端多维度信任评估的访问控制链条。

区别于以传统的 IP/MAC/VLAN 等方式判定网络边界，零信任基于身份构建更细粒度的网络边界，让业务的访问方式和信任判定方式更加完善和全面。

理解了这一点，我们就能达成一个共识：零信任所聚焦的建设范围实际上是用户的整个办公网络，而不仅仅是远程接入场景。

举个例子来说，SSL VPN 和零信任，好比是计算器和计算机，二者都做数据运算，但计算器只能做加减乘除，而计算机有着更多的扩展空间，不论是能力扩展，还是场景扩展，都会存在差异，且随着后续的发展，差异也会越来越大。

观点二：关于零信任建设场景选择

零信任不止于远程办公，远程办公是初尝零信任适合切入的场景，后续可以逐步扩展分支、内网、特权访问等场景。

引入一套新的技术架构，势必犹如平地一声雷，给原有的网络架构带来冲击。

站在助力用户领先一步落地的视角，过去我们提出“以零信任替换 VPN”，从远程办公场景切入，既是考虑到用户需求的紧迫性、对业务影响范围较小，也考虑了实际落地难度。这也已经成为当前业界的共识。

然而，远程办公零信任落地后，我们还在思考：用户可能还存在着哪些问题？这些问题可以通过零信任架构解决么？

安全防护不完整，内网暴露面依然存在

在整体网络架构中，远程办公只是一个相对独立的场景，用户的业务访问方式没有发生质的改变，依旧是先连接、后认证。一旦攻击者突破边界，整个内网将完全暴露。无论是攻防演练所暴露出的问题，还是真实世界中发生的网络安全事件，都在不断警示着我们：大部分安全事件的源头都来自于内部。

接入体验不一致，用户访问体验割裂

大部分用户很重视从外到内的安全接入，但内部业务访问逻辑却相对简单，且接入方式复杂多样，包括网络准入、云桌面 VDI、PC 等，不仅需要来回切换，还引入了多套身份体系，增加了安全风险。同时，伴随着企业数字化转型，业务部署方式发生变化，多机房、混合云的环境使得传统的 SSL VPN 难以满足用户随时随地的接入访问需求。