2024年6月18日，美国网络安全和基础设施安全局（CISA）与联邦调查局（FBI）合作，并与新西兰政府通信安全局（GCSB）、新西兰计算机应急响应小组（CERT-NZ）和加拿大网络安全中心（CCCS）一起，联合发布了《网络访问安全的现代方法》指南，指导组织采用安全服务边缘（SSE）和安全访问服务边缘（SASE）等现代安全解决方案，提高网络活动可见性。指南文件还意图帮助组织更好地了解与传统远程访问和VPN相关的漏洞与威胁。

1. VPN漏洞频发

目前，美国CISA已发现22个已知被利用的与VPN相关的漏洞，促使其开始考虑用现代网络访问解决方案替换传统VPN解决方案。VPN系统中的漏洞如果被威胁行为者利用，可能会对组织产生重大影响，因为通过VPN漏洞，行为者能轻松访问大型企业网络，并访问组织网络内的所有服务。

2. 现代解决方案

（1）零信任

零信任旨在防止未经授权的数据和服务访问，并结合细粒度访问控制实施。零信任运作的前提是没有用户或资产应该被隐式信任，要求每个用户、设备和应用程序在交易过程中不断重新认证和重新授权。为了制定零信任战略和实施计划，组织应该采用CISA的零信任成熟度模型（ZTMM）。ZTMM在五个不同的支柱上呈现了实施的梯度。

（2）安全服务边缘

安全服务边缘是一系列云安全功能的集合，是全面的网络安全方法，将网络、安全实践和政策以及服务整合到单一平台。这种方法允许组织确保应用程序的安全性和数据访问的安全，无论用户使用的设备或位置如何。安全服务边缘安全功能包括零信任网络访问、云安全Web网关、云访问安全代理和防火墙即服务。

（3）安全访问服务边缘

安全服务边缘是将安全功能整合到单一的云服务中来运作，而安全访问服务边缘是一种云架构，将网络和安全作为服务能力结合起来，包括软件定义广域网、云访问安全代理、下一代防火墙等。

3. 最佳实践

安全服务边缘、安全访问服务边缘和硬件强制网络分割为组织提供了替代传统VPN的解决方案，并促进了零信任方法的实施。指南编写组织鼓励所有实体组织仔细评估其安全姿态，并在实施任何解决方案之前进行风险分析，以确保这些方法的适用性。

除了上述解决方案以外，指南编写组织强烈鼓励实体组织还可以采取以下的最佳实践方法：

（1）实施集中管理解决方案；

（2）实施网络分割；

（3）实施自动化机制响应某些安全事件；

（4）开发、维护、更新并定期演练信息技术（IT）和操作技术（OT）网络安全事件响应计划；

（5）定义一个明确的组织漏洞披露政策；

（6）定期备份所有必要的日常操作系统；

（7）强化身份和访问管理解决方案。

信息来源：

https://www.cisa.gov/resources-tools/resources/modern-approaches-network-access-security

https://mp.weixin.qq.com/s/z6M18rw2X4XZ5uyyqGQVYg

https://mp.weixin.qq.com/s/5-5el34gfuJSBMKyfLx4Ug