賬戶入侵威脅和性能瓶頸促使公司企業實現新的網絡安全模型。

多年來，虛擬專用網 (VPN) 和防火墻的組合，是公司企業尋求安全互聯網連接的模型之選。而該模型也歷經時間檢驗，堪稱成功典型。

然而，邊界安全幾近消亡的時代，加速了兩個趨勢：

首先，利用用戶瀏覽習慣獲取企業內網立足點的攻擊復雜性不斷增長。一旦進入，攻擊者可巡游企業內網，查找可以入侵或盜取的資產。

其次，應用從內部部署到托管于云端的轉變。

通常，遠程員工的流量通過 VPN 回傳至企業數據中心或分公司，然后通過另一 VPN 連接從合適的互聯網路徑重新路由至云端 IT 服務。此類回傳很慢，且會增加額外的成本、復雜性和故障點。

為解決這些威脅，克服性能瓶頸，公司企業試圖找尋或多或少具備以下五個元素的 VPN 替代品：

No.1：分布式網絡安全

構建 VPN 安全模型的第一步，是去除集中式防火墻及相關流量回傳的需求。該新方式將單個工作站和移動設備連接至基于云的防火墻服務。這些連接需在后臺以始終在線的方式維護，無需終端用戶任何互動。

這種架構要求服務提供商具備健壯的網絡，保障終端用戶無論身在何處都能體驗優良網絡性能。同時，該架構還應使安全經理能夠訪問自己慣于在傳統防火墻中看到的那種日志、儀表板和安全控制。

No.2：應用訪問代理

復雜代理是該新安全架構的基本元素。這些代理需經恰當設計，賦予企業用戶通過 Web 瀏覽器輕松訪問內部應用的能力。用戶應能無需經歷繁瑣 VPN 客戶端連接建立過程，僅簡單輸入 URL 便可達成內部應用訪問目的。

同時，這些代理還能保護應用不受互聯網威脅侵擾，讓 IT 部門完全掌握誰在什么時候從什么地方使用哪些服務的信息——所有一切都基于企業策略、設備和用戶身份及設備配置。該架構使 IT 在提供可靠服務的同時還能集中管理應用。

其核心是代理需要 HTTPS 網關驗證用戶身份，保護應用。理想情況下，該網關基于設備及其用戶的唯一身份，為每個工作站和移動設備自動提供加密客戶端證書。

No.3：用戶和設備身份驗證

想平滑安全運行云托管的應用，作為支撐的網絡安全架構應采用多因子身份驗證 (MFA) 授予或拒絕用戶對應用的訪問權。同時，應監視并審計終端設備及其行為，包括系統狀態和配置信息。設備狀態及行為可見性可用于確定風險和是批準還是拒絕設備訪問權。

最后，須防止非托管設備、自帶設備和物聯網機器連接這些應用。

No.4：零信任

企業網絡不會徹底消失，它們面臨的威脅也不會。出于這個原因，需要清除內部網絡的信任，防止威脅橫向擴散。實現零信任需要動態網絡分隔，并且隨用戶和主機互動實時在每個終端上實施防火墻策略。理想狀態下，策略應圍繞用戶和設備身份，以及傳統 IP 地址、端口和協議做出調整更新。

現實世界中，零信任分隔意味著不同團隊的兩位不同用戶可接入同一局域網，而擁有對不同資源的訪問權。此類分隔極大增強了安全人員響應潛在威脅的速度和準確性。

No.5：持續監視及報告

如今，企業網絡安全項目的功能偏向于滿足合規要求。但同時，這些項目越來越分散，增加了 IT 部門有效監視安全控制的難度。

后 VPN 安全架構可很大程度上緩解，甚至全然消除此類監視難題，方法就是持續收集每個網絡防火墻和終端設備上所用安全控制的數據。另外，該情報可用于證明 NIST、PCI、HIPAA、CIS 等監管和安全框架合規情況。

盡管廣泛采用且有效，傳統防火墻和 VPN 很難跟上企業網絡架構、用戶訪問模式和混合現場/云端托管資源的發展。將傳統防火墻和 VPN 的諸多安全控制、策略實施和聯網元素置于云端的分布式方法，便作為很有吸引力的替代方法興起了。

文章來源公眾號安全牛