零信任 – 需要问的问题

拥有“零信任策略”很像拥有“云策略”；如果没有你想要实现的目标和你当前所处的环境，它就毫无意义。 由于你必须相信某些东西，因此甚至名字也可能产生误导。 零信任的基本定义是“不根据网络位置信任用户或设备”，但如果这么简单，我们早就实现它了。 作为 F5 的全球解决方案架构师，我有机会研究许多访问架构，虽然许多架构都有抱负，但很少有架构实现了他们的零信任目标。

似乎可以找到更好的定义，即重新确定信任边界以包括身份、设备和应用，而不是网络边界。 这当然不是一个新想法，我已经看到很多客户朝这个方向迈进了一大步，但是现在它正获得更大的关注，因为供应商解决了核心挑战，使其真正适用于没有自己的开发人员队伍来构建定制解决方案的环境。 更加令人困惑的是，有多种模型可供选择，如代理、微隧道、微分段、无代理，以及相互竞争的术语和相关概念，如微分段和软件定义边界（SDP）。 对于如此模糊且有如此多选择的事情，您如何定义成功？您从哪里开始评估解决方案？ 您首先需要知道您的目标和要求是什么。 因此，我想从以下一些问题开始...

您想要保护哪种类型的应用？

代理往往擅长处理 Web应用，提供 SSO 功能、良好的用户体验以及相对容易的部署和管理。 您是否也希望为服务器访问提供零信任？ 一些解决方案提供 SSH 和 RDP 代理。 对于所有这三种协议，也有可直接集成到应用代码或服务器身份验证模块中的无代理解决方案，但请注意，这意味着您无法在流量到达服务器/应用之前阻止它，因此您承担的更多风险。

如果您的应用目标包含更多内容，则您可能需要扩展到基于隧道的解决方案。 并非所有的隧道解决方案都是一样的。 有些利用传统的 VPN，将您的连接限制在单个网关。 微隧道往往是一种更好的方法，它允许您建立到不同端点的许多隧道，以帮助您满足应用程序所在的任何位置的访问需求。

需要实施什么类型的保护？

这是一个很好的机会，可以确保每个应用都采用多因素保护、某种形式的撞库攻击和暴力破解保护、机器人保护、流量可见性以及数据丢失防护和入侵防护系统等安全服务的集成，以及用于您的 Web 应用的 Web 应用防火墙。 通过实施一致的访问模型，您还可以创建一个一致的位置来插入所有这些服务。 注意端到端保密解决方案。 这听起来很有吸引力，直到你意识到这意味着你必须绕过所有的安全服务。 零信任绝不会降低您的安全态势。 在网关处终止隧道，然后通过可视性和安全设备路由流量是一个很好的策略。

您需要单点登录（SSO）吗？

隧道解决方案通常无法将身份传递给应用，有时依赖于具有其他无缝身份验证的环境。 您可能需要代理或直接代码集成来提供您正在寻找的 SSO。 实现这一点可能是与许多利益相关者取得成功的关键。 正确部署的解决方案可以在保证安全性的同时增强用户体验。

你的分析策略是什么？

您应该对此抱有很高的期望。 在整个组织内部署一致的访问策略框架时，一个关键的好处是了解谁在何时从什么设备访问什么资源。 应该将此数据收集与来自其他安全工具的数据一起利用和分析，以识别和减轻威胁。 这是一个通过在每个步骤（包括可见性、威胁识别和缓解）增强杀伤链来解决组织内部风险的机会。 该领域的供应商尚未提供完整的软件包，因此请务必寻找将第三方分析集成到解决方案中以增强它的方法。 寻找除了自己的解决方案之外还注重合作伙伴集成的供应商（而不是试图在单一平台上提供所有内容）是一个很好的策略。

您应该期待什么类型的用户体验？

代理往往会为 Web应用提供卓越的用户体验，因为它们不需要对用户在浏览器中的行为进行任何更改，并且客户端所需的组件也更少。 然而，其他解决方案可能需要隧道客户端。 可以合理地预期，最终用户完全或几乎完全不知道这些隧道。 与微隧道相比，传统 VPN 往往具有负面的用户体验，并且具有如上所述的其他限制。

您需要支持哪些平台？

有些解决方案为台式机提供了出色的平台，但没有为移动设备提供了出色的平台。 务必评估解决方案并确定它是否能够根据需要满足主要桌面操作系统、移动设备和原生移动应用程序的用户需求，并且具有一致的用户体验和功能集。

下一步

定义您的目标，这可能应该包括改善用户体验、改善安全服务集成、一切事物之前的多因素以及开始的分析集成策略。 这将有助于确定哪些供应商和架构值得您花时间进行更深入的评估。 接下来，重点关注具有良好合作策略的供应商。 没有哪个供应商能够提供您所期望的该架构的所有功能，您需要一个可以构建的平台。 从长远来看，你会更快乐，相信我！