什么是零信任边缘(ZTE)?
零信任边缘(ZTE)是一种云驱动的架构,它集成了网络和安全,并使用零信任来验证和监控网络交互。
企业越来越多地采用零信任网络安全原则,将越来越多的用户和设备安全地连接到资源上,这是中兴通讯的主要驱动力。对于许多组织来说,中兴通讯的一个主要应用是保障远程工作人员的安全,减少对虚拟专用网络(VPN)的依赖。
零信任边缘为何重要?
中兴通讯之所以重要,是因为它为组织的物理站点和远程工作人员提供了一个更安全的网关,让他们可以接入互联网,访问组织的应用程序和数据。
三个关键因素推动了中兴通讯内在网络与安全的深度融合:
- 网络流量必须遵守严格的安全信任级别,并符合既定政策。
- 组织必须采用中兴通讯的政策,以安全为中心开展网络建设,而不是让安全小组覆盖企业网络。
- 所有客户端和端点都必须拥有安全的互联网接入,能够在网络路径的任何一点上消除或绕过潜在的恶意软件威胁。
以混合工作场所和广泛应用访问为特征的数字化加速,扩大了攻击面,加剧了企业面对高级威胁的脆弱性。点产品和隐式访问所有应用程序的传统网络架构已不再适用。
中兴模式通过形成新的周边环境来应对这一挑战。它融合了所有点的安全和网络,根据对用户身份和上下文的持续验证,授予对应用程序的明确访问权限。这证明了中兴通讯在现代数字生态系统中的关键作用,在日益互联、威胁频发的环境中充当了有效的防御盾牌。
零信任边缘如何工作?
零信任边缘采用细致入微的认证和验证;实质上,它将每一笔网络交易都视为潜在风险。
说到中兴的机制,它起源于将中兴的元素置于云或边缘托管的安全堆栈中,考虑到带宽限制,可能有必要为某些组件提供本地基础设施。
中兴通讯依靠两个关键的云驱动原则:
基于云的网络和安全管理:
确保整个企业的政策统一,减少错误,提高效率。将网络和安全无缝连接的分析工具:
可提高链路利用率,及早发现网络异常,并进行全面的网络监控。
由于需要存储和处理大量数据才能进行有效分析,这就需要基于云的解决方案。
部署后,中兴通讯允许组织集中管理、监控和分析一系列安全和网络服务,无论是托管在云上还是远程。最终目标是在不影响网络功能的情况下提供严格的安全保障。
中兴通讯实施
组织实施中兴通讯有三种主要途径:
基于云的中兴通讯服务
基于云的 ZTE 服务使用多个具有固有 ZTE 功能的存在点 (POP)。这种方法与软件即服务(SaaS)交付模式如出一辙。中兴通讯作为广域网(WAN)的延伸
一种土生土长的方法是将中兴通讯作为广域网(WAN)连接服务的延伸。
运营商提供中兴通讯功能和外包安全服务。虽然本地部署的解决方案有多种选择,但它们可能缺乏云系统的灵活性。此外, SD-WAN 和中兴通讯的组合要求对每种服务进行单独的策略配置,因此单一的整体解决方案并不可行。本土中兴通讯
规模更大、更灵活的组织可以选择开发自己的中兴通讯产品。这种方法需要为 POP 和云托管防火墙等安全服务提供公共云服务。尽管具有固有的灵活性,但国产中兴通讯要求对不断发展的安全组件和云服务进行持续监控。管理和维护产品所需的充足 IT 专业人才也至关重要。
零信任边缘的优势
强化风险缓解
中兴通讯的一个主要优势在于能够大幅减少网络漏洞。网络安全深入到网络的每一个层面,每一笔交易都要经过严格的身份验证,从而大大降低了潜在的威胁。无论用户从何处连接或使用何种应用程序,中兴通讯都能提供始终如一的高级别安全性。
通过对所有连接源执行一致、协调的安全策略,中兴通讯还能保障混合工作场所的安全。无论员工是通过非托管网络还是办公室进行连接,中兴通讯都采用相同的审查标准。
中兴通讯还实现了无处不在的 零信任网络接入(ZTNA) 。它从隐式信任转变为基于身份和上下文的显式访问,从而实现持续验证。这确保了对网络访问的有效控制,增强了整体网络安全。
中兴通讯提高事件响应能力。通过促进团队协作,中兴通讯增强了事件响应能力,简化了故障排除,为安全管理提供了更加积极主动的方法。成本效益
由于其基于云和自动化的特性,中兴通讯网络可提供经济、可扩展的安全解决方案。作为互联网的固有组成部分,它们可以毫不费力地适应数字化转型,不受传统架构的限制。这样可以节省大量成本,确保组织只需为其使用的资源付费。优化用户体验
中兴通讯通过提高网络性能和吞吐量来增强用户体验。它专注于提供优化路径和全面的数字体验,大大加快了应用性能。统一网络安全基础设施
中兴通讯采用将多种网络安全工具浓缩为一个统一的解决方案,简化了对网络安全威胁的监控、分析和响应。合并后,网络安全基础设施更易于管理,效率更高,消除了潜在的兼容性问题。
中兴通讯的全面能力减少了对多个安全供应商的需求,提供了单一供应商或有限数量供应商的选择。但是,组织必须确保供应商能够有效地将解决方案集成到现有的网络基础设施中。消除数据回传
传统的 虚拟专用网络(VPN) 设置通常通过企业网络回程传输远程用户的流量。这一过程会导致带宽严重拥塞。不过,中兴通讯采用云上通道进行全球连接和安全检查,从而省去了数据回传,提升了性能。
中兴通讯面临的挑战
传统网络设备、应用和服务
运营技术(OT)和物联网(IoT)设备的融入会使向中兴框架的过渡变得更加复杂。这些设备在一个组织内可能有数千台之多,而且可能与传统网络设备绑定。将这些设备过渡到中兴通讯网络可能是一个复杂的过程,需要对基础设施进行大修。
与传统硬件兼容是过渡到中兴通讯的另一个重大障碍。关键基础设施组件可能依赖于过时的硬件,而这些组件的现代化可能是一项艰巨的任务。此外,一些传统硬件可能不支持中兴通讯的要求,因此有必要重新评估并可能更换操作技术和 IoT 设备。
将传统应用程序和服务集成到中兴通讯 Application Framework 中也是一项重大挑战。特别成问题的是基于非网络协议的应用程序,如用于远程访问的远程桌面协议(RDP)或虚拟桌面基础设施(VDI),以及用于语音服务的会话初始协议(SIP)或 IP 语音(VoIP)。这些应用缺乏使用中兴通讯的标准化程序,使其集成变得更加复杂。容量限制
能力限制是中兴通讯实施的难点。虽然中兴通讯可以解决远程工作人员的访问问题,但目前还缺乏取代提供数据中心访问的大容量网络和安全服务的能力。因此,在将某些企业资产过渡到中兴保护之前,组织可能需要进行云迁移。
在实施中兴通讯之前,企业必须认真评估网络容量。如果接近容量极限,可能需要确定额外的变通方法或进行重大升级。在某些情况下,可能需要先迁移到基于云的基础设施,然后再实施中兴通讯,这可能会给过渡过程增加更多的复杂性。破坏传统网络安全
作为一种全新的变革方式,中兴通讯颠覆了传统的网络安全实践。在组织适应模式转变的过程中,这种干扰可能会带来挑战,尤其是网络安全的传统实践方式与此有着本质的不同。因此,过渡过程可能很复杂,需要进行大量的规划和调整。
零信任边缘和 SASE 有什么区别?
安全接入服务边缘(SASE)和零信任边缘(ZTE)有着共同的原则和目标,如网络功能的合并和云交付的安全。然而,它们的重点和方法各不相同。
SASE 将软件定义广域网 (SD-WAN) 和一系列网络安全服务融合为一个统一的云服务。它可以实现安全、高效的网络访问,满足日益增长的远程和分布式工作人员的需求。
ZTE 被定义为原始 SASE 模型的进化版,它将重点放在 "零信任 "部分,旨在建立一种严格的、超越访问控制的 "零信任即服务"(Zero-Trust-as-a-Service)。中兴通讯采用零信任方法,假设最坏的情况,对每个连接进行验证,无论其性质或来源如何。
SASE 以基于云的模式提供网络服务和安全的融合,而中兴通讯则采取了更严格的立场,专注于身份验证,在整个网络基础设施中坚持零信任原则。
零信任边缘常见问题
零信任网络访问(ZTNA)是一类根据定义的访问控制策略对应用程序和服务进行安全远程访问的技术。它采用相同的零信任原则,但作为中兴通讯的一个组成部分。
