零信任邊緣是一種安全解決方案，它使用零信任訪問原則將互聯(lián)網(wǎng)流量連接到遠(yuǎn)程站點，主要是利用基于云的安全和網(wǎng)絡(luò)服務(wù)。零信任邊緣 (ZTE) 提供了更安全的互聯(lián)網(wǎng)入口，因為幾乎可以從任何地方訪問中興網(wǎng)絡(luò)，使用零信任網(wǎng)絡(luò)訪問 ( ZTNA ) 跨越互聯(lián)網(wǎng)，在用戶和設(shè)備連接時對其進行身份驗證。

Gartner 注意到網(wǎng)絡(luò)和網(wǎng)絡(luò)安全越來越緊密地交織在一起，引入了安全訪問服務(wù)邊緣 ( SASE ) 概念，其中部分包括云安全和云網(wǎng)絡(luò) 服務(wù)的融合。SASE 解決方案旨在保護云、數(shù)據(jù)中心和分支機構(gòu)網(wǎng)絡(luò)邊緣，并跨不同連接提供安全的 SD-WAN 結(jié)構(gòu)。最近，F(xiàn)orrester 在他們的報告“介紹安全和網(wǎng)絡(luò)服務(wù)的零信任邊緣模型”中記錄了 SASE 的新模型，該模型定義了零信任邊緣 (ZTE)，更加強調(diào)“零信任”組件。

為什么零信任邊緣很重要？

盡管企業(yè)網(wǎng)絡(luò)邊界幾十年來一直在衰退，但當(dāng)全球新冠疫情讓員工急于在家中設(shè)置遠(yuǎn)程辦公室時，網(wǎng)絡(luò)邊界完全消失了。在家工作 (WFH) 的員工已成為新常態(tài)，企業(yè)不斷尋找與客戶互動的新渠道——包括 Web 和移動應(yīng)用程序。

由于這個不斷擴大的用戶和設(shè)備領(lǐng)域必須連接到企業(yè)資源才能執(zhí)行其工作職能或處理業(yè)務(wù)，因此安全專業(yè)人員越來越多地采用零信任網(wǎng)絡(luò)方法來安全地支持他們的遠(yuǎn)程工作人員。

出于這個原因，大多數(shù)組織的最初中興通訊用例將是保護遠(yuǎn)程工作人員，同時消除對虛擬專用網(wǎng)絡(luò) (VPN) 的需求，因為 WFH 人群帶來的大量新連接通常會使這些網(wǎng)絡(luò)負(fù)擔(dān)過重。

三個主要驅(qū)動因素推動了網(wǎng)絡(luò)和安全的進一步整合：

• 安全專業(yè)人員要求確定網(wǎng)絡(luò)上允許的流量滿足其嚴(yán)格的安全信任級別，并對流量進行監(jiān)控和分析，以確保符合政策
• 網(wǎng)絡(luò)專業(yè)人員需要采用中興通訊策略并從安全角度執(zhí)行網(wǎng)絡(luò)，而不是安全團隊覆蓋公司網(wǎng)絡(luò)。
• 需要為每個客戶端和端點提供安全的 Internet 訪問入口，以及阻止或繞過 可能存在于網(wǎng)絡(luò)路由上的任何位置的惡意軟件的能力

零信任邊緣有什么好處？

盡管許多組織已經(jīng)通過使用軟件定義的廣域網(wǎng) (SD-WAN) 對其網(wǎng)絡(luò)進行了虛擬化，但這種方法并不能滿足許多??新的安全要求。通過以這種方式將云安全和網(wǎng)絡(luò)結(jié)合在一起，中興通訊提供了一些關(guān)鍵優(yōu)勢，包括：

• 降低風(fēng)險。由于安全性已融入網(wǎng)絡(luò)結(jié)構(gòu)，并且每個連接都經(jīng)過檢查和保護，因此 IT 專業(yè)人員無需擔(dān)心用戶從何處連接、正在使用哪些應(yīng)用程序或正在使用何種類型的加密（如果有）。每個連接和事務(wù)每次都經(jīng)過身份驗證。
• 節(jié)省成本。由于中興通訊通常作為自動化的云交付服務(wù)交付，因此中興通訊網(wǎng)絡(luò)本質(zhì)上是可擴展的。因為它們是互聯(lián)網(wǎng)結(jié)構(gòu)的一部分，所以它們支持組織的數(shù)字化轉(zhuǎn)型，而不考慮遺留架構(gòu)。
• 增強的用戶體驗。由于入口匝道在全球范圍內(nèi)可用，網(wǎng)絡(luò)性能和吞吐量得到了改善，從而減少了對回程的需求并降低了延遲。

零信任邊緣如何工作？

盡管中興通訊模型被設(shè)計為云托管或邊緣托管的安全堆棧，但許多領(lǐng)域的帶寬限制要求堆棧的某些元素駐留在本地基礎(chǔ)設(shè)施上。目前，組織可以利用三種中興通訊方法

1. 基于供應(yīng)商運營或第三方網(wǎng)絡(luò)的云交付服務(wù)，具有數(shù)個到數(shù)百個具有中興通訊功能的入網(wǎng)點 (POP)。這種方法采用軟件即服務(wù) (SaaS) 的角度。
2. 中興通訊作為 WAN 連接服務(wù)的一部分，運營商提供中興通訊功能以及外包安全性。Comcast Enterprise 和 Akami 提供 ZTE 功能，許多 SD-WAN 提供商正在與專注于 ZTE 的安全供應(yīng)商合作完成產(chǎn)品。雖然會有很多選擇，但本地產(chǎn)品將缺乏基于云的系統(tǒng)的敏捷性，SD-WAN/ZTE 組合將需要為每項服務(wù)配置策略，缺乏整體單一的玻璃解決方案。
3. 本土方法，僅適用于有能力構(gòu)建自己的中興通訊產(chǎn)品的大型敏捷企業(yè)，這些企業(yè)利用云服務(wù)提供商提供 POP 和云托管防火墻以及駐留在公共云中的其他安全服務(wù)。盡管最終是靈活的，但這種方法需要不斷監(jiān)控不斷發(fā)展的安全組件、云服務(wù)以及創(chuàng)建和管理此類產(chǎn)品的 IT 技能。

預(yù)計中興通訊將在基于云的情況下發(fā)揮最大價值，因為解決方案應(yīng)建立在兩個關(guān)鍵的云承載原則之上：

• 基于云的網(wǎng)絡(luò)和安全管理，為整個企業(yè)的用戶提供一組策略，并為網(wǎng)絡(luò)、防火墻和其他 SD-WAN 功能提供管理工具。這將減少錯誤、提高效率并有助于為多個系統(tǒng)設(shè)置類似的策略。
• 連接網(wǎng)絡(luò)和安全的監(jiān)控、管理和分析工具。中興通訊的這一標(biāo)志可以更好地利用鏈路，幫助發(fā)現(xiàn)可能導(dǎo)致安全問題的網(wǎng)絡(luò)異常，并將整個網(wǎng)絡(luò)（包括對等城域網(wǎng)）帶入監(jiān)控泡沫。收集和分析的大量數(shù)據(jù)需要基于云的存儲和處理解決方案，以實現(xiàn)所需的分析。

完全部署后，組織可以集中管理、監(jiān)控和分析駐留在中興通訊解決方案中的一組安全和網(wǎng)絡(luò)服務(wù)，無論它們是云承載還是托管在遠(yuǎn)程位置。

零信任邊緣有哪些挑戰(zhàn)？

零信任邊緣模型具有變革性，不會破壞傳統(tǒng)上使用安全和網(wǎng)絡(luò)的方式。始終處于不斷發(fā)展的狀態(tài)，網(wǎng)絡(luò)安全功能已迅速轉(zhuǎn)移到零信任邊緣。公司正因遠(yuǎn)程工作人員安全問題而被拉入零信任邊緣，但要實現(xiàn)該模型的全部承諾，還面臨著重大挑戰(zhàn)，包括：

• 舊版應(yīng)用程序和服務(wù)。支持身份聯(lián)合的現(xiàn)代 Web 應(yīng)用程序更容易在 ZTE 中配置，但那些基于非 Web 協(xié)議的應(yīng)用程序，尤其是用于遠(yuǎn)程訪問的 RDP/VDI 和用于語音的 SIP/VoIP 將不會那么容易集成，因為沒有標(biāo)準(zhǔn)化的它們將在中興通訊環(huán)境中使用。
• 傳統(tǒng)網(wǎng)絡(luò)設(shè)備。一旦計算機和應(yīng)用程序加入中興通訊，IT 必須考慮無數(shù)的操作技術(shù) (OT) 和物聯(lián)網(wǎng) (IoT) 設(shè)備，任何組織中都可能有成千上萬的設(shè)備。
• 容量。盡管中興通訊可以解決遠(yuǎn)程工作人員的戰(zhàn)術(shù)訪問問題，但他們還沒有能力取代當(dāng)今提供數(shù)據(jù)中心訪問的大容量網(wǎng)絡(luò)和安全服務(wù)。組織可以選擇在遷移到中興通訊保護某些企業(yè)資產(chǎn)之前進行云遷移。

零信任邊緣和 SASE 有什么區(qū)別？

中興通訊被 Forrester 定義為對原始 SASE 模型的改進，更加關(guān)注該模型的“零信任”組件。由于互聯(lián)網(wǎng)的設(shè)計不考慮安全性，因此它催生了惡意軟件和不斷變化的攻擊面。中興通訊采取的方法是忽略數(shù)十年來用于嘗試安全連接的安全補丁和創(chuàng)可貼，并假設(shè)最壞的情況并因此使用中興通訊對每個連接進行身份驗證，即使端點唯一的互聯(lián)網(wǎng)連接是通過隧道連接到另一個端點，從而使用戶遠(yuǎn)離公共互聯(lián)網(wǎng)上的“城鎮(zhèn)的不良地區(qū)”。