從零信任角度看VPN安全

說到VPN，大家應該都不陌生，在工信部整治VPN亂象之前，誰的手機里沒有一個翻墻軟件，畢竟要探索墻外世界的必要條件之一就是VPN，所以很多人理所當然的VPN當成翻墻的“梯子”，但VPN的使用場景遠不止翻墻瀏覽外網(wǎng)那么簡單。

2020年初，新冠疫情讓人措手不及，很多企業(yè)被迫開啟遠程辦公模式。一些工作僅需要網(wǎng)絡和office全家桶就能完成，可有些工作需要訪問企業(yè)系統(tǒng)內網(wǎng)來支撐工作的開展。

這種時候VPN就派上用場了。

只不過這里的VPN不是翻外墻，而是作為遠程辦公的解決辦法。

它可以通過特殊的加密通訊協(xié)議在兩個或多個企業(yè)內部網(wǎng)之間建立一條專有的通訊線路，以此實現(xiàn)遠程辦公。

不過盡管VPN能實現(xiàn)異地訪問內網(wǎng)的需求，但還是存在一定的風險。一些企業(yè)為了方便員工存取VPN，會在入職時替員工的流動設備設定好VPN聯(lián)機，而IT部門為了減少用戶查詢，也會直接把登入信息儲存，讓員工直接點擊即可連接到VPN。

而這里面其實有個安全隱患：企業(yè)無法保證VPN的掌控權一直在員工自己手中。假如員工設備遺失、密碼泄露、或者被攻擊者利用社工手段接觸到設備等問題都會導致企業(yè)內網(wǎng)被他人入侵。因為很多VPN只要通過賬號登錄這一關，就能輕松訪問內網(wǎng)資源。

像VPN這類傳統(tǒng)的邊界防護認為數(shù)據(jù)中心的內部是安全的，只要做好邊界防護，牢守城門，外部的攻擊就不能對內部的數(shù)據(jù)造成威脅。如果用戶一旦通過網(wǎng)關接入內網(wǎng)，其所有操作都被信任和接受，一些黑客正是利用這一點發(fā)起對企業(yè)內網(wǎng)的攻擊。

在安全防護的理念上，零信任則跟VPN不同，零信任沒有任何預設條件，無論用戶在哪，如果想要獲得內網(wǎng)某一資源，都需要進行身份驗證，即便用戶自己訪問內網(wǎng)也需要通過多因素認證，并且即便用戶通過了認證也不能隨便訪問內網(wǎng)資源。在基于角色/屬性授權后，用戶可訪問最小化授權的應用、使用最小授權的功能。而且在訪問應用過程中，安全風險會被持續(xù)評估，如果零信任系統(tǒng)發(fā)現(xiàn)終端環(huán)境、用戶行為存在風險，或用戶將進行敏感高危操作，則會觸發(fā)動態(tài)授權、二次認證等，進一步可進入審批環(huán)節(jié)，從而將風險降到最低。

簡單來說，企業(yè)大可不必再度擔心某些員工會利用VPN當跳板入侵企業(yè)內網(wǎng)刪除機密信息的事故了。

比起VPN這類傳統(tǒng)的邊界防護，零信任具備以下的優(yōu)點足以滿足企業(yè)的安全需求：