零信任邊緣是一種安全解決方案，它使用零信任訪問原則將互聯網流量連接到遠程站點，主要是利用基于云的安全和網絡服務。零信任邊緣 (ZTE) 提供了更安全的互聯網入口，因為幾乎可以從任何地方訪問中興網絡，使用零信任網絡訪問 ( ZTNA ) 跨越互聯網，在用戶和設備連接時對其進行身份驗證。

Gartner 注意到網絡和網絡安全越來越緊密地交織在一起，引入了安全訪問服務邊緣 ( SASE ) 概念，其中部分包括云安全和云網絡 服務的融合。SASE 解決方案旨在保護云、數據中心和分支機構網絡邊緣，并跨不同連接提供安全的 SD-WAN 結構。最近，Forrester 在他們的報告“介紹安全和網絡服務的零信任邊緣模型”中記錄了 SASE 的新模型，該模型定義了零信任邊緣 (ZTE)，更加強調“零信任”組件。

為什么零信任邊緣很重要？

盡管企業網絡邊界幾十年來一直在衰退，但當全球新冠疫情讓員工急于在家中設置遠程辦公室時，網絡邊界完全消失了。在家工作 (WFH) 的員工已成為新常態，企業不斷尋找與客戶互動的新渠道——包括 Web 和移動應用程序。

由于這個不斷擴大的用戶和設備領域必須連接到企業資源才能執行其工作職能或處理業務，因此安全專業人員越來越多地采用零信任網絡方法來安全地支持他們的遠程工作人員。

出于這個原因，大多數組織的最初中興通訊用例將是保護遠程工作人員，同時消除對虛擬專用網絡 (VPN) 的需求，因為 WFH 人群帶來的大量新連接通常會使這些網絡負擔過重。

三個主要驅動因素推動了網絡和安全的進一步整合：

• 安全專業人員要求確定網絡上允許的流量滿足其嚴格的安全信任級別，并對流量進行監控和分析，以確保符合政策
• 網絡專業人員需要采用中興通訊策略并從安全角度執行網絡，而不是安全團隊覆蓋公司網絡。
• 需要為每個客戶端和端點提供安全的 Internet 訪問入口，以及阻止或繞過 可能存在于網絡路由上的任何位置的惡意軟件的能力

零信任邊緣有什么好處？

盡管許多組織已經通過使用軟件定義的廣域網 (SD-WAN) 對其網絡進行了虛擬化，但這種方法并不能滿足許多??新的安全要求。通過以這種方式將云安全和網絡結合在一起，中興通訊提供了一些關鍵優勢，包括：

• 降低風險。由于安全性已融入網絡結構，并且每個連接都經過檢查和保護，因此 IT 專業人員無需擔心用戶從何處連接、正在使用哪些應用程序或正在使用何種類型的加密（如果有）。每個連接和事務每次都經過身份驗證。
• 節省成本。由于中興通訊通常作為自動化的云交付服務交付，因此中興通訊網絡本質上是可擴展的。因為它們是互聯網結構的一部分，所以它們支持組織的數字化轉型，而不考慮遺留架構。
• 增強的用戶體驗。由于入口匝道在全球范圍內可用，網絡性能和吞吐量得到了改善，從而減少了對回程的需求并降低了延遲。

零信任邊緣如何工作？

盡管中興通訊模型被設計為云托管或邊緣托管的安全堆棧，但許多領域的帶寬限制要求堆棧的某些元素駐留在本地基礎設施上。目前，組織可以利用三種中興通訊方法

1. 基于供應商運營或第三方網絡的云交付服務，具有數個到數百個具有中興通訊功能的入網點 (POP)。這種方法采用軟件即服務 (SaaS) 的角度。
2. 中興通訊作為 WAN 連接服務的一部分，運營商提供中興通訊功能以及外包安全性。Comcast Enterprise 和 Akami 提供 ZTE 功能，許多 SD-WAN 提供商正在與專注于 ZTE 的安全供應商合作完成產品。雖然會有很多選擇，但本地產品將缺乏基于云的系統的敏捷性，SD-WAN/ZTE 組合將需要為每項服務配置策略，缺乏整體單一的玻璃解決方案。
3. 本土方法，僅適用于有能力構建自己的中興通訊產品的大型敏捷企業，這些企業利用云服務提供商提供 POP 和云托管防火墻以及駐留在公共云中的其他安全服務。盡管最終是靈活的，但這種方法需要不斷監控不斷發展的安全組件、云服務以及創建和管理此類產品的 IT 技能。

預計中興通訊將在基于云的情況下發揮最大價值，因為解決方案應建立在兩個關鍵的云承載原則之上：

• 基于云的網絡和安全管理，為整個企業的用戶提供一組策略，并為網絡、防火墻和其他 SD-WAN 功能提供管理工具。這將減少錯誤、提高效率并有助于為多個系統設置類似的策略。
• 連接網絡和安全的監控、管理和分析工具。中興通訊的這一標志可以更好地利用鏈路，幫助發現可能導致安全問題的網絡異常，并將整個網絡（包括對等城域網）帶入監控泡沫。收集和分析的大量數據需要基于云的存儲和處理解決方案，以實現所需的分析。

完全部署后，組織可以集中管理、監控和分析駐留在中興通訊解決方案中的一組安全和網絡服務，無論它們是云承載還是托管在遠程位置。

零信任邊緣有哪些挑戰？

零信任邊緣模型具有變革性，不會破壞傳統上使用安全和網絡的方式。始終處于不斷發展的狀態，網絡安全功能已迅速轉移到零信任邊緣。公司正因遠程工作人員安全問題而被拉入零信任邊緣，但要實現該模型的全部承諾，還面臨著重大挑戰，包括：

• 舊版應用程序和服務。支持身份聯合的現代 Web 應用程序更容易在 ZTE 中配置，但那些基于非 Web 協議的應用程序，尤其是用于遠程訪問的 RDP/VDI 和用于語音的 SIP/VoIP 將不會那么容易集成，因為沒有標準化的它們將在中興通訊環境中使用。
• 傳統網絡設備。一旦計算機和應用程序加入中興通訊，IT 必須考慮無數的操作技術 (OT) 和物聯網 (IoT) 設備，任何組織中都可能有成千上萬的設備。
• 容量。盡管中興通訊可以解決遠程工作人員的戰術訪問問題，但他們還沒有能力取代當今提供數據中心訪問的大容量網絡和安全服務。組織可以選擇在遷移到中興通訊保護某些企業資產之前進行云遷移。

零信任邊緣和 SASE 有什么區別？

中興通訊被 Forrester 定義為對原始 SASE 模型的改進，更加關注該模型的“零信任”組件。由于互聯網的設計不考慮安全性，因此它催生了惡意軟件和不斷變化的攻擊面。中興通訊采取的方法是忽略數十年來用于嘗試安全連接的安全補丁和創可貼，并假設最壞的情況并因此使用中興通訊對每個連接進行身份驗證，即使端點唯一的互聯網連接是通過隧道連接到另一個端點，從而使用戶遠離公共互聯網上的“城鎮的不良地區”。