什么是零信任边缘？

零信任边缘是一种安全解决方案，它使用零信任访问原则将互联网流量连接到远程站点，主要是利用基于云的安全和网络服务。零信任边缘 (ZTE) 提供了更安全的互联网入口，因为几乎可以从任何地方访问中兴网络，使用零信任网络访问 ( ZTNA ) 跨越互联网，在用户和设备连接时对其进行身份验证。

Gartner 注意到网络和网络安全越来越紧密地交织在一起，引入了安全访问服务边缘 ( SASE ) 概念，其中部分包括云安全和云网络 服务的融合。SASE 解决方案旨在保护云、数据中心和分支机构网络边缘，并跨不同连接提供安全的 SD-WAN 结构。最近，Forrester 在他们的报告“介绍安全和网络服务的零信任边缘模型”中记录了 SASE 的新模型，该模型定义了零信任边缘 (ZTE)，更加强调“零信任”组件。

为什么零信任边缘很重要？

尽管企业网络边界几十年来一直在衰退，但当全球新冠疫情让员工急于在家中设置远程办公室时，网络边界完全消失了。在家工作 (WFH) 的员工已成为新常态，企业不断寻找与客户互动的新渠道——包括 Web 和移动应用程序。

由于这个不断扩大的用户和设备领域必须连接到企业资源才能执行其工作职能或处理业务，因此安全专业人员越来越多地采用零信任网络方法来安全地支持他们的远程工作人员。

出于这个原因，大多数组织的最初中兴通讯用例将是保护远程工作人员，同时消除对虚拟专用网络 (VPN) 的需求，因为 WFH 人群带来的大量新连接通常会使这些网络负担过重。

三个主要驱动因素推动了网络和安全的进一步整合：

• 安全专业人员要求确定网络上允许的流量满足其严格的安全信任级别，并对流量进行监控和分析，以确保符合政策
• 网络专业人员需要采用中兴通讯策略并从安全角度执行网络，而不是安全团队覆盖公司网络。
• 需要为每个客户端和端点提供安全的 Internet 访问入口，以及阻止或绕过 可能存在于网络路由上的任何位置的恶意软件的能力

零信任边缘有什么好处？

尽管许多组织已经通过使用软件定义的广域网 (SD-WAN) 对其网络进行了虚拟化，但这种方法并不能满足许多​​新的安全要求。通过以这种方式将云安全和网络结合在一起，中兴通讯提供了一些关键优势，包括：

• 降低风险。由于安全性已融入网络结构，并且每个连接都经过检查和保护，因此 IT 专业人员无需担心用户从何处连接、正在使用哪些应用程序或正在使用何种类型的加密（如果有）。每个连接和事务每次都经过身份验证。
• 节省成本。由于中兴通讯通常作为自动化的云交付服务交付，因此中兴通讯网络本质上是可扩展的。因为它们是互联网结构的一部分，所以它们支持组织的数字化转型，而不考虑遗留架构。
• 增强的用户体验。由于入口匝道在全球范围内可用，网络性能和吞吐量得到了改善，从而减少了对回程的需求并降低了延迟。

零信任边缘如何工作？

尽管中兴通讯模型被设计为云托管或边缘托管的安全堆栈，但许多领域的带宽限制要求堆栈的某些元素驻留在本地基础设施上。目前，组织可以利用三种中兴通讯方法

1. 基于供应商运营或第三方网络的云交付服务，具有数个到数百个具有中兴通讯功能的入网点 (POP)。这种方法采用软件即服务 (SaaS) 的角度。
2. 中兴通讯作为 WAN 连接服务的一部分，运营商提供中兴通讯功能以及外包安全性。Comcast Enterprise 和 Akami 提供 ZTE 功能，许多 SD-WAN 提供商正在与专注于 ZTE 的安全供应商合作完成产品。虽然会有很多选择，但本地产品将缺乏基于云的系统的敏捷性，SD-WAN/ZTE 组合将需要为每项服务配置策略，缺乏整体单一的玻璃解决方案。
3. 本土方法，仅适用于有能力构建自己的中兴通讯产品的大型敏捷企业，这些企业利用云服务提供商提供 POP 和云托管防火墙以及驻留在公共云中的其他安全服务。尽管最终是灵活的，但这种方法需要不断监控不断发展的安全组件、云服务以及创建和管理此类产品的 IT 技能。

预计中兴通讯将在基于云的情况下发挥最大价值，因为解决方案应建立在两个关键的云承载原则之上：

• 基于云的网络和安全管理，为整个企业的用户提供一组策略，并为网络、防火墙和其他 SD-WAN 功能提供管理工具。这将减少错误、提高效率并有助于为多个系统设置类似的策略。
• 连接网络和安全的监控、管理和分析工具。中兴通讯的这一标志可以更好地利用链路，帮助发现可能导致安全问题的网络异常，并将整个网络（包括对等城域网）带入监控泡沫。收集和分析的大量数据需要基于云的存储和处理解决方案，以实现所需的分析。

完全部署后，组织可以集中管理、监控和分析驻留在中兴通讯解决方案中的一组安全和网络服务，无论它们是云承载还是托管在远程位置。

零信任边缘有哪些挑战？

零信任边缘模型具有变革性，不会破坏传统上使用安全和网络的方式。始终处于不断发展的状态，网络安全功能已迅速转移到零信任边缘。公司正因远程工作人员安全问题而被拉入零信任边缘，但要实现该模型的全部承诺，还面临着重大挑战，包括：

• 旧版应用程序和服务。支持身份联合的现代 Web 应用程序更容易在 ZTE 中配置，但那些基于非 Web 协议的应用程序，尤其是用于远程访问的 RDP/VDI 和用于语音的 SIP/VoIP 将不会那么容易集成，因为没有标准化的它们将在中兴通讯环境中使用。
• 传统网络设备。一旦计算机和应用程序加入中兴通讯，IT 必须考虑无数的操作技术 (OT) 和物联网 (IoT) 设备，任何组织中都可能有成千上万的设备。
• 容量。尽管中兴通讯可以解决远程工作人员的战术访问问题，但他们还没有能力取代当今提供数据中心访问的大容量网络和安全服务。组织可以选择在迁移到中兴通讯保护某些企业资产之前进行云迁移。

零信任边缘和 SASE 有什么区别？

中兴通讯被 Forrester 定义为对原始 SASE 模型的改进，更加关注该模型的“零信任”组件。由于互联网的设计不考虑安全性，因此它催生了恶意软件和不断变化的攻击面。中兴通讯采取的方法是忽略数十年来用于尝试安全连接的安全补丁和创可贴，并假设最坏的情况并因此使用中兴通讯对每个连接进行身份验证，即使端点唯一的互联网连接是通过隧道连接到另一个端点，从而使用户远离公共互联网上的“城镇的不良地区”。