零信任和SASE這兩種安全模型到底是什么關系？在后新冠時代，面臨企業(yè)數(shù)字化轉型中不斷增長的網絡威脅攻擊面，企業(yè)應當選擇哪種安全模型/安全建設策略？

　　隨著IT環(huán)境的去中心化發(fā)展，企業(yè)面臨的零信任相關安全問題越來越多，而零信任框架與安全訪問服務邊緣（SASE）之間的關系也越來越緊密。許多安全團隊希望更好地了解零信任安全和SASE，以及二者之間的關系是互斥還是兼容？

　　簡短的答案是：二者高度互補。實際上，幾乎任何情況下，當安全團隊同時部署SASE和零信任方案時，二者會相輔相成，事半功倍。

　　01 后新冠時代的數(shù)字化安全轉型

　　回顧IT歷史，多年來企業(yè)一直依靠VPN為遠程員工提供進入內網的安全“隧道”。VPN技術基于傳統(tǒng)的、界限明晰的網絡邊界概念。那些被認為值得信賴的用戶可以在內網自由移動，而外部的所有內容均被拒絕訪問。

　　雖然在云計算時代，企業(yè)的安全邊界已經消融，但VPN卻展現(xiàn)了極強的生命力，依然是企業(yè)最為信賴的網絡安全產品之一。根據(jù)NetMotion 2021年的調查報告，云計算時代最流行的云安全產品是VPN和SWG（下圖）。

　　企業(yè)已經采用的云安全方案占比

　　但云VPN的繁榮也許只是回光返照，甚至在新冠疫情導致大規(guī)模遠程辦公之前，由于存在許多嚴重缺陷，VPN這種基于網絡邊界安全模型的安全技術的有效性已經有所下降。

　　顯然，基于邊界的安全方法不能解決內部攻擊的威脅，也不能解決非員工可能需要訪問內部資源的問題。也許最引人注目的是，如果網絡犯罪分子通過諸如VPN憑據(jù)濫用之類的方法獲得訪問權限，他們通?？梢栽趦染W資源之間橫向移動而不受任何限制。

　　新冠疫情極大地改變了現(xiàn)代企業(yè)的辦公場景，并推動IT團隊重新設計其基礎架構的訪問方式，以平衡安全性與生產力。零信任和SASE解決方案應當被一起采用，因為它們能夠幫助企業(yè)將最小權限訪問方法與云安全保護體系結構很好地結合在了一起。

　　02 后新冠時代的網絡安全策略

　　關于新冠疫苗有效性的爭議仍在持續(xù)，全球疫情控制前景依然難言樂觀，對于企業(yè)來說，新冠的“并發(fā)癥”——勞動力的去中心化和數(shù)字化轉型，已經成為客觀現(xiàn)實和趨勢。隨著遠程員工將更多應用程序推送到云中，公司環(huán)境變得越來越分散。企業(yè)正在尋求通過可實施零特權網絡訪問（ZTNA）、安全Web網關（SWG）和云訪問安全代理（CASB）等技術來實施最低特權訪問控制的策略，保護其不斷擴展的業(yè)務領域（下圖）。

　　但是，一次性方式部署上述技術時，企業(yè)可能需要在不同的儀表板之間手動復制策略，這不但需要時間和預算，也限制了整個IT生態(tài)系統(tǒng)的一致可見性和控制力。隨著更多有價值的安全解決方案部署進來，此問題變得更加復雜。

　　零信任是一種思維方式，它專注于根據(jù)需要進行的身份驗證和數(shù)據(jù)訪問授權，而SASE指的是部署在邊緣的云交付平臺，可為任何地方的數(shù)據(jù)提供廣泛的保護。因此，對于由互補解決方案組成的集成平臺，遵循零信任框架對SASE產品來說也至關重要。

　　03 通過簡化管理增強安全性

　　有時，遵循零信任安全性原則可能會無意間增加部署的端點產品的數(shù)量，并在跨用例的保護中產生意料之外的差異。SASE通過幫助組織維護和維持所有企業(yè)資源的通用安全控制來應對這一挑戰(zhàn)，通過幫助安全團隊消除不同工具和解決方案的盲點，從而確保一致性。SASE產品通常提供CASB、SWG和ZTNA功能來實現(xiàn)此目的。

　　安全團隊可以配置策略，以保護SaaS應用程序，控制對Web目標的訪問，識別影子IT，并通過單個儀表板從一個單獨的控制點保護本地應用程序的安全，以配置廣泛的策略。這不僅提供了一致、全面的保護，而且還簡化了管理，從而為企業(yè)節(jié)省了時間和金錢。

　　大多數(shù)公司必將走上零信任道路，而且不會有任何回頭路。通過將SASE與零信任結合起來，企業(yè)可以通過一個統(tǒng)一的平臺，建立并維護一種環(huán)境，可靠地強制執(zhí)行安全應用，為內部資產、人員與外部用戶、應用之間的交互打開安全之門。