零信任网络访问的兴起
势在必行的 VPN 替代方案
企业 VPN 的缺陷
全球疫情大流行加速了我们工作方式的巨大转变,对更快、更安全、更可靠地访问内部企业应用程序和数据产生了更高的需求。2020 年 5 月对美国雇主的一项调查显示,由于新冠疫情的直接影响,53% 的全职员工目前在家工作。这个比例相当于 2019 年的 7 倍。大流行过后,预计 22% 的员工将继续远程工作。全球远程工作爆炸式增长暴露了虚拟专用网络 (VPN) 的缺陷。企业 VPN 速度缓慢,在移动设备上表现欠佳,而且容易受到攻击。
VPN 允许用户通过将 VPN 客户端(安装在用户计算机或设备上的软件)链接到位于 VPN 网关后面(对于基于云的 VPN,则是云端)的网络访问服务器(专用服务器或安装在共享服务器上的软件)来访问内部网络。VPN 通过建立加密连接来保护资产并管理用户对内部网络的访问。所有连接到 VPN 的设备都设置有加密密钥,这些密钥用于对它们与网络访问服务器之间发送的所有信息进行编码和解码。此过程会为网络连接增加少量延迟,从而减慢网络流量。
总的来说,VPN 的性能实际上非常令人恼火,往往会影响工作效率和用户体验。员工需要使用一组单独的凭据来登录设备,这可能会中断工作流程。连接到应用程序的速度很慢,降低了效率,并且在 VPN 关闭时,工作会突然停止。如果 VPN 远离用户和用户尝试访问的服务器,用户会遭遇性能下降和延迟。例如,如果旧金山的用户试图访问同一城市服务器上的网站,但 VPN 服务在日本,那么用户的请求必须经过半个地球再返回,然后才能连接到本地服务器。对于基于云的 VPN 的情况,网络访问服务器位于与公司内部网络不同的数据中心。这个额外的步骤会给用户和网络之间的每个请求带来额外的延迟。
移动设备的激增带来了另一个挑战,必须管理的设备数量庞大,包括访问网络的员工个人设备。对于出差的员工,网络访问有时会受到移动 VPN 客户端以及设备与家庭办公室之间距离的影响。即使建立了安全连接,体验也可能缓慢且不可靠。最终,企业及其员工会遭受延迟、登录复杂性和生产力下降的困扰。
VPN 并不适合在当今全球分散的工作环境中所要求的精细化级别上管理用户的安全访问,并会带来重大的安全漏洞。虽然攻击者无法从外部看到或拦截 VPN 流量,但如果他们能够越过 VPN 网关并破坏一组帐户凭据或一个设备,他们就可能危及整个公司网络,造成严重的数据泄露。由于攻击者利用疫情大流行,如今这个问题变得更加严重。
今天,许多业务应用程序托管在云中或作为软件即服务 (SaaS) 交付,使它们与 VPN 不兼容。此类应用程序通常使用自己的安全工具和协议来提供安全访问。但 IT 团队不能完全控制这些工具和协议,这会为了解谁在访问应用程序造成障碍。
零信任访问
VPN 并不适用于为当前全球分布式员工队伍进行高效部署,并管理如此精细化的安全用户访问。Zero Trust 安全是一种更具吸引力的替代方案,并且要求对试图访问专用网络上的资源的每个人和设备进行严格的身份验证,无论其位于网络边界之内还是之外。没有单一特定技术与 Zero Trust 架构相关联;它是一种整合了多种不同原理和技术的整体网络安全方法。若要利用 Zero Trust 网络访问 (ZTNA) 显著降低安全风险,则需要不让应用暴露在开放的互联网网络中并实施一种安全机制(理想情况下,在高性能全球网络中)验证每个请求。
Cloudflare Access 在与云无关且真正全球性的大规模网络上交付 ZTNA,该网络覆盖 125 个国家/地区的 330 个城市,用位于内部资源前面的身份感知保护层替代企业 VPN,检查员工的单一登录(SSO)凭据而非 VPN 客户端。访问内部应用程序的员工被接入距离他/她们最近的数据中心,而非通过网络 VPN 设备路由流量。身份验证在网络边缘进行——距离连接到互联网的任何人或任何东西都只有 50 毫秒——加速了身份验证和安全访问。
邻近的 Cloudflare 数据中心让 Access 能够实现快速的用户身份验证,且无需使用 VPN;同时采用最快速、最安全的身份验证机制保护内部应用和网络。网络延迟的不利影响得以消除。管理用户控件的繁琐流程变得轻松。实现全球范围内的安全、可扩展的远程访问。并且企业无需再将内部应用和资源放在专用网络上。反而可以安全地将它们部署到任何地方,包括本地、混合或多云环境。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
阅读本文后,您将能够了解:
传统 VPN 技术的陷阱
Zero Trust 如何改变了安全标准
实施全球云网络的优势