在这篇文章中，我同意联邦政府和bash VPN的观点，以获得乐趣和利润

当我第一次读到联邦政府关于“零信任过渡”的备忘录时，我激动得跳了出来。备忘录中有很多很棒的东西（见我之前的博客帖子），但最让我兴奋的是备忘录在VPN上的立场。

你可能希望备忘录会说“VPN还不够”，因为它们真的不够。备忘录说：

如果在没有其他防御措施的情况下使用老式的周边VPN，则问题非常严重。只有一个外围VPN来保护你的资产，但没有其他防御，这类似于你的公司安全态势是围绕着给办公楼钥匙，而不是给个别办公室钥匙。一旦攻击者进入大楼，他们可以进入任何办公室，没有人能阻止他们做任何他们想做的事。

我们已经知道，这备忘录部分是对殖民地管道勒索事件2021的反应，其中一个不活跃的VPN帐户允许攻击者违反殖民地管道的整个基础设施。因此，我们预计周边VPN将被弃用。

因此，我希望接下来的备忘录会说“使用VPN划分网络”。这就像是给个人钥匙，而不是整栋楼的钥匙。这就是今天许多现代VPN的功能——它们使用策略或基于角色的访问控制（RBAC）来控制给定用户可以访问公司网络的哪个部分。但实际上备忘录上没有这么说。上面说：

所以，这听起来有点合理。你可以想象让用户登录到VPN背后的应用程序。因此，首先，您将VPN接入网络，然后使用另一组凭据登录到您的应用程序。

换句话说，它实际上建议不要使用VPN！企业应用程序必须足够安全，才能在没有VPN的情况下使用。这是谷歌在2013年发布的beyondcorp方法。备忘录后来更明确地阐明了自己的立场，称：

对于大多数机构来说，在不依赖虚拟专用网络（VPN）或其他网络隧道的情况下，以安全的方式访问互联网应用程序是一个重大转变，需要付出巨大努力才能实现。

考虑这一点的一种方式是VPN是一根拐杖。如果团队认为他们的应用程序“在VPN后面”，因此“对手无法访问”，那么他们就会懒得锁定应用程序，从而增加应用程序被破坏的风险。

换句话说，通过插入身份验证系统、MFA和RBAC（正如备忘录所建议的那样）来锁定单个应用程序更为困难，而且更容易将东西“固定在VPN后面”。备忘录鼓励人们改变思维方式，声明“从安全角度来看，每个应用程序都应该被视为可以通过互联网访问”。这是一种转变。政府甚至私营企业需要时间来适应这一点。

下面是您想要控制对特定应用程序的访问的另一个原因——这样做可以降低攻击者从网段中托管的一个目标横向移动到同一网段中另一个目标的风险。

我们知道，通过远程访问协议进行横向移动是攻击者的常见策略。例如，在2009年的Aurora行动中就发生了这种情况（攻击者在VPN后面使用泄露的管理员凭据从一个目标跳到另一个目标）。

（公平地说，我们还需要做其他事情来限制横向移动，比如关闭开放的端口并正确构建网络层，但不可否认的是，通过远程访问工具进行横向移动是攻击者喜欢使用的技术。）

分段VPN还提供了一般的访问控制——它们可以控制用户Alice可以访问哪些专用网络，但不能控制用户在该网络内时可以访问哪些目标、应用程序或角色。网络分割几乎总是以比创建访问集群的应用程序更大的粒度级别发生。您总是希望您的隔间包含一个应用程序。最好的方法是控制对应用程序的访问

让我们回到我的办公楼类比。即使Alice只被允许访问特定的一组办公室，但一旦她进入办公室，她就可以访问办公室里的任何设备、文件或材料。所以如果爱丽丝在人力资源部，你最好确保所有的人力资源文件都在爱丽丝的办公室里。（好吧，我正在努力进行这个物理类比，我已经有一段时间没有在真正的办公室了，但你明白我的意思了！）

我们可以做得比使用密钥办公室（即分段VPN）间接屏蔽访问更好。更好的方法是对Alice实施特定的组织角色和责任。如果她是人力资源人员，她可以访问人力资源信息。如果她是一名会计，她可以获得会计信息。

控制对应用程序上特定角色的访问并不是VPN的设计目标。

备忘录中提到，需要记录用户访问应用程序时的行为，并提到“提高机构对用户活动的了解，从而更好地检测异常行为”。

VPN不能很好地做到这一点。它们只跟踪用户访问的网段。换句话说，他们停在办公室的前门，但他们看不到办公室里发生的事情。（有很多工具可以部署和关联，以便通过VPN了解用户的行为。想象一下，我的VPN、NAC、CASB、NGFW和目录日志之间需要关联。但谁想这么做呢！）

如果用户对应用程序进行身份验证，代理机构可以准确跟踪谁登录了应用程序，他们扮演了什么角色，他们运行了什么命令或访问了什么资源。所有这些活动都与他们的用户身份有关，而不是与一个模棱两可的角色或IP地址有关。

所有这些都让我想起了2013年奥巴马总统在国情咨文中说“网络攻击”的那一刻。现在这么说很有趣，但那时候我震惊了，觉得我在博士学位上赌对了马。

因为BastionZero不是VPN。BastionZero允许您登录目标，而不是网络。它控制用户在这些目标上访问的角色。它会记录用户在这些目标上所做的一切。

BastionZero提供基础设施访问即服务。它可以在几秒钟内部署，自动发现目标，并自动与IdP集成。您可以编写策略来决定某人可以访问哪些目标以及使用哪些角色。该服务记录每个命令、运行它的人、角色和目标。

通过今天预订演示了解更多信息。