[调研]零信任火热 VPN仍存

零信任计划或许已纳入当今大多数企业的安全路线图，但现有的远程访问架构依然非常依赖虚拟专用网（VPN）技术。

最近公布的数据显示，大约90%的企业某种程度上仍利用VPN为用户提供安全远程访问。同时，广大IT和安全从业人员中，只有不到三分之一的人表示，为取代VPN，公司计划或者已经开始铺开零信任网络访问（ZTNA）。

以上数据出自Sapio Research进行的一项调查研究，调研范围覆盖1025名IT人员，主要集中在410名同时了解VPN和ZTNA的受访者身上。研究显示，该群体中，97%的受访者报告称采用零信任模式是其首要工作。而同时了解VPN与ZTNA的受访者中，超过半数表示已经着手铺开零信任解决方案。

2019年，Gartner开始力推ZTNA这个术语，用以概况描述一系列产品和服务，这类产品和服务能够以基于身份和上下文的因素组合，围绕应用或应用程序集创建逻辑访问边界。当时，Gartner预计，到2023年，大约60%的企业将开始淘汰VPN，转而使用ZTNA。

最近，在对2022年零信任策略的分析中，Gartner副总裁、杰出分析师Neil MacDonald称：“VPN不过是从根儿上就四处漏风的网络安全模型的创可贴，总有一天要被替代。我们得翻转这个模型，不是连接之后再担心身份验证问题，而是先进行身份验证，然后再连接。许多零信任网络原则就是由此而生。”

VPN的问题所在

德勤零信任产品主管Andrew Rafla解释称，VPN技术最大的问题之一，在于其“允许对企业进行网络级访问”。

相比之下，ZTNA则将远程用户的访问权限限制在其所需的特定应用和资产上，别的地方免谈。Rafla表示，ZTNA只是零信任架构的一个重要组成部分，零信任架构还应该包括集中式联合身份存储、特权访问管理控制、数据保护、网络分隔、设备安全，以及遥测与数据分析。

“通用网络安全基础也不容忽视；为了实现零信任模型的真正好处，组织应该切实掌握其IT资产管理、配置与漏洞管理，以及数据分类。”Rafla说道。

鉴于真正抓住零信任实现良机需要做到以上诸多要求，不难想象，许多组织可能会对此感到不知所措。调查中，超过三分之二的VPN用户报告称，实现ZTNA策略工程浩大。

对依赖VPN的组织而言，从VPN转向ZTNA最大的限制在于费用/预算，62%的受访者都提到了这一点。其中约13%认为零信任令人困惑，甚至不知道该如何着手。

但有意思的是，采用了ZTNA的受访者给出的实现时间表却不像固守VPN的受访者想象的那么可怕。研究显示，ZTNA的平均部署时间约为11.5个月。这一经验或许值得汲取，因为组织能够且应该分阶段铺开零信任各个部件，而用于远程访问的ZTNA可以作为零信任旅程切实可行的第一步。

Sapio Research调研报告：

https://www.banyansecurity.io/blog/banyan-security-research-it-and-security-attitudes-regarding-secure-remote-access/

---

参考阅读

VPN会被零信任取代吗？

网格VPN：向零信任网络再迈进一步

零信任之路：SDP2.0基本架构及关键技术

原文始发于微信公众号（数世咨询）：[调研]零信任火热 VPN仍存