零信任內(nèi)網(wǎng)安全訪問(wèn)

攻擊者大量利用弱口令、口令爆破等慣用伎倆，在登錄過(guò)程中突破企業(yè)邊界、在傳輸過(guò)程中截獲或偽造登錄憑證。大型組織甚至國(guó)家發(fā)起的APT高級(jí)攻擊，還可以繞過(guò)或攻破企業(yè)網(wǎng)絡(luò)防護(hù)邊界在企業(yè)內(nèi)部進(jìn)行橫向訪問(wèn)。  

在非授權(quán)訪問(wèn)、員工無(wú)意犯錯(cuò)等情況下，“合法用戶(hù)”非法訪問(wèn)特定的業(yè)務(wù)和數(shù)據(jù)資源后，造成企業(yè)內(nèi)部數(shù)據(jù)泄漏，甚至可能發(fā)生內(nèi)部員工“獲取”管理員權(quán)限，導(dǎo)致更大范圍、更高級(jí)別的企業(yè)信息安全災(zāi)難性事故。

傳統(tǒng)的安全架構(gòu)以“縱深防御+邊界防御”為主，企業(yè)在成長(zhǎng)過(guò)程中，安全邊界逐步被打破，并徹底走向模糊化，基于邊界的安全防護(hù)體系逐漸失效，已經(jīng)難以適應(yīng)企業(yè)快速成長(zhǎng)，難以應(yīng)對(duì)業(yè)務(wù)的快速變化。

通常企業(yè)有一個(gè)總部和一個(gè)或多個(gè)位置分散的分支機(jī)構(gòu)，這些機(jī)構(gòu)沒(méi)有由企業(yè)自有的物理網(wǎng)絡(luò)連接，員工可通過(guò)內(nèi)網(wǎng)訪問(wèn)企業(yè)內(nèi)部應(yīng)用，其應(yīng)用系統(tǒng)會(huì)暴露于各種安全威脅下，易受到各種形式的攻擊，包括暴力破解、DDoS、XSS和任何TLS漏洞。

員工在出差過(guò)程中，經(jīng)常通過(guò)不同的環(huán)境或設(shè)備遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)網(wǎng)進(jìn)行公文處理、郵件收發(fā)或資料上傳下載，因不安全的環(huán)境和設(shè)備非常容易導(dǎo)致惡意軟件通過(guò)內(nèi)網(wǎng)進(jìn)行傳播，帶來(lái)巨大的安全風(fēng)險(xiǎn)。

企業(yè)內(nèi)部運(yùn)維人員在非工作時(shí)間，為快速支持和解決業(yè)務(wù)的應(yīng)急問(wèn)題，需要通過(guò)遠(yuǎn)程訪問(wèn)后臺(tái)服務(wù)器的端口和訪問(wèn)權(quán)限進(jìn)行管理，而粗放式的端口授權(quán)和訪問(wèn)機(jī)制，導(dǎo)致攻擊者可快速掃描其服務(wù)器漏洞，增加了被攻擊風(fēng)險(xiǎn)。

一部分企業(yè)為方便應(yīng)用系統(tǒng)被全球用戶(hù)或分支機(jī)構(gòu)訪問(wèn)，采取直接通過(guò)NAT方式映射至互聯(lián)網(wǎng)，并開(kāi)通其訪問(wèn)端口和訪問(wèn)路徑，其安全隱患一是應(yīng)用系統(tǒng)無(wú)法應(yīng)對(duì)各種攻擊和病毒入侵，二是攻擊者使用DDoS等攻擊手段導(dǎo)致業(yè)務(wù)癱瘓。

基于零信任資源門(mén)戶(hù)部署方式，對(duì)用戶(hù)的自有設(shè)備實(shí)現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問(wèn)，其中門(mén)戶(hù)網(wǎng)關(guān)可以是單個(gè)資源或資源集，并且不需要在客戶(hù)端設(shè)備安裝代理軟件。

基于零信任設(shè)備代理/網(wǎng)關(guān)部署方式，對(duì)用戶(hù)的非自有設(shè)備實(shí)現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問(wèn)，其中每個(gè)資源都具備一個(gè)網(wǎng)關(guān)，并且在客戶(hù)端設(shè)備安裝代理軟件。

使用SDP網(wǎng)關(guān)，針對(duì)運(yùn)維管理人員及企業(yè)內(nèi)部用戶(hù)，通過(guò)遠(yuǎn)程訪問(wèn)或直接訪問(wèn)形式，首先進(jìn)行SPA單包認(rèn)證，只有用戶(hù)身份、訪問(wèn)權(quán)限和設(shè)備通過(guò)驗(yàn)證且可信，則建立相應(yīng)的TCP連接，同時(shí)開(kāi)放服務(wù)器運(yùn)維端口及應(yīng)用系統(tǒng)訪問(wèn)端口等權(quán)限。

通過(guò)新一代防火墻NGFW技術(shù),實(shí)現(xiàn)針對(duì)企業(yè)內(nèi)部以應(yīng)用維度進(jìn)行網(wǎng)絡(luò)隔離，主要包括兩種實(shí)現(xiàn)模式：

• 第三方防火墻微隔離：通過(guò)第三方防火墻供應(yīng)商提供的虛擬防火墻進(jìn)行隔離，其特點(diǎn)包括具備豐富的安全能力、支持自動(dòng)化編排和豐富的分析報(bào)告；

• 基于代理模式微隔離：通過(guò)使用將代理軟件部署至主機(jī)或虛擬機(jī)中，實(shí)現(xiàn)動(dòng)態(tài)方式控制代理主機(jī)間的通信和安全，其特點(diǎn)包括適用各種線下線下平臺(tái)、支持自動(dòng)化編排和安全策略的快速遷移。

通過(guò)對(duì)企業(yè)多身份源的統(tǒng)一、可信終端管控以及不同網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的安全管控，促進(jìn)企業(yè)對(duì)內(nèi)部、外部、客戶(hù)、消費(fèi)者、合作伙伴等不同群體和對(duì)象的管理。同時(shí)基于主體、客體和環(huán)境等層面的角色動(dòng)態(tài)管理和最小權(quán)限管控，滿(mǎn)足安全治理要求。通過(guò)AI風(fēng)險(xiǎn)分析與監(jiān)測(cè)，動(dòng)態(tài)感知安全邊界的變化，更多的用戶(hù)通過(guò)手機(jī)、Pad等不同可信終端進(jìn)行業(yè)務(wù)訪問(wèn)，進(jìn)一步擴(kuò)大安全管理邊界?；诳尚旁O(shè)備的準(zhǔn)入和身份鑒別，保障設(shè)備可信接入和安全環(huán)境的合規(guī)訪問(wèn)。

通過(guò)實(shí)施“從不信任并始終驗(yàn)證”，不同類(lèi)型用戶(hù)只能按照預(yù)先確定的信任級(jí)別，訪問(wèn)預(yù)先申請(qǐng)的企業(yè)資源，未預(yù)先申請(qǐng)的企業(yè)資源將無(wú)法被訪問(wèn)，阻止企業(yè)內(nèi)部“漫游”情況。

在實(shí)施“按需受控訪問(wèn)”的基礎(chǔ)上，有效整合資源保護(hù)相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù)，保護(hù)應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲(chǔ)，并優(yōu)先保護(hù)高價(jià)值資源。

用戶(hù)通過(guò)訪問(wèn)認(rèn)證之前，資源對(duì)用戶(hù)隱身；即便在用戶(hù)通過(guò)訪問(wèn)認(rèn)證和授權(quán)，成功進(jìn)入網(wǎng)絡(luò)以后，零信任架構(gòu)也將阻止用戶(hù)漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了外部（互聯(lián)網(wǎng)可發(fā)現(xiàn)）和內(nèi)部（內(nèi)部威脅）攻擊面。

零信任架構(gòu)終結(jié)了安全防護(hù)手段各自為政的現(xiàn)狀，在零信任架構(gòu)實(shí)施時(shí)，可以通過(guò)與現(xiàn)有工具的集成，大幅度降低零信任潛在建設(shè)成本。