什么是“城堡与护城河”网络安全模型？

什么是“城堡与护城河”网络模型？

“城堡与护城河”是一种网络安全模型，其中网络外的任何人都无法访问内部数据，但网络内的每个人都可以。将组织的网络想象成城堡，将网络边界想象成护城河。一旦吊桥被降低且有人穿过它，他们就可以在城堡场地内自由行动。同样，一旦用户连接到此模型中的网络，他们就能够访问该网络中的所有应用程序和数据。

使用这种模式的组织会投入大量资源来保卫他们的网络边界，就像一座城堡可能会在吊桥附近放置最多的警卫一样。他们部署了防火墙、入侵检测系统 (IDS)、入侵防御系统 (IPS) 和其他可阻止大多数外部攻击的安全产品——但在阻止内部攻击、内部威胁和数据泄露方面并不那么有效。

“城堡与护城河”不一定是故意选择的策略。该术语用于将传统网络架构与零信任架构进行对比。

“城堡与护城河”方法有什么问题？

如今，“城堡与护城河”的方法已经过时了。对于大多数的公司，数据都分布在多个云供应商之间，而不是留在本地网络边界后方。更进一步的类比：如果女王和她的宫廷分散在乡村周围，那么将所有资源用于保卫城堡是没有意义的。

如今，一些组织继续将其数据保存在本地网络中，而另一些组织则通过中央企业网络路由所有互联网绑定流量，以控制对云供应商的访问。但是城堡与护城河模型的这些使用仍然存在固有的安全缺陷。

最大的安全漏洞是，如果攻击者获得了网络访问权限（即当如果他们穿过了“护城河”），他们也可以访问其中的任何数据和系统。他们可以通过窃取用户凭证、利用安全漏洞、引入恶意软件感染或进行社会工程攻击等方法来入侵网络。防火墙和其他入侵防御工具可能会阻止其中一些攻击，但如果有攻击者进入，则会产生高昂成本。

城堡与护城河模型和零信任安全有什么不同？

零信任安全是允许用户如何以及何时访问系统和数据的一种理念。与城堡与护城河模型不同，零信任安全假设网络内外都存在安全风险。默认情况下，网络内部的任何内容都不受信任——因此得名“零信任”。

Zero Trust 安全要求对网络上的每个用户和设备进行严格验证，然后才允许他们/它们访问数据和应用程序。

在城堡和护城河模型中如何管理访问控制？

使用城堡与护城河模型时，组织控制访问的一种方式是虚拟专用网络 (VPN)。VPN 在已连接的用户（通常是远程工作用户）和 VPN 服务器之间建立加密连接。对于某些级别的访问，用户必须连接到至少一个 VPN。连接后，他们可以访问所需的资源。

由于同一公司内的不同用户通常需要不同的访问权限，因此 IT 团队设置了多个 VPN。每个 VPN 都可以被视为自己的“城堡”，提供不同级别的访问。

这种方法有几个缺点：

• 易受攻击性：VPN 充当其保护的应用程序和数据的单点故障。攻击者只需要一个遭入侵的帐户或设备就可以穿越所谓的护城河并获得对受 VPN 保护的数据的访问权限。
• 性能较慢：VPN 对所有流量进行加密，这可能会给网络增加少量的延迟，具体取决于使用的加密类型（比较 IPsec 与 SSL）。对于远程员工，VPN 将所有流量路由通过 VPN 服务器，而服务器可能离员工很远，从而进一步减慢了网络流量速度。
• 可扩展性：如果 VPN 的使用量超过了 VPN 服务器处理流量的能力，则必须升级服务器——这是一个劳动密集型的过程。
• 维护：VPN 需要大量时间和资源来维护。IT 团队必须在每位远程员工的计算机上安装正确的 VPN 客户端，确保员工使该软件保持最新，并定期升级或更换 VPN 硬件。

访问控制在零信任架构中是如何运作的？

零信任架构有一些基本原则：

• 最低权限访问：用户只获得最低限度的访问权
• 微分段：网络被分解成更小的安全区域
• 多因素身份验证 (MFA)：用户必须提供一个以上的因素来验证身份（例如，密码加上拥有令牌）
• 设备监控：每个连接到网络的设备都被仔细跟踪

这些原则在什么是零信任网络？中进行了进一步细分。

从“城堡与护城河”到零信任：“SASE”

意识到“城堡与护城河”模型的缺点，许多组织开始采用 Zero Trust 架构。虽然最初这样的举措相当复杂，但如今许多供应商提供了可以快速启动的简化版 Zero Trust 解决方案。Cloudflare Zero Trust 就是这样一个安全解决方案。

但是，相比采用单独的访问管理解决方案，许多组织更希望将零信任安全内置到网络中，而不是在其之上增加一层。全球研究和咨询公司 Gartner 将这种趋势称为“安全访问服务边缘”(SASE)。Cloudflare One 是一个内置零信任安全网络的示例。