En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>遠(yuǎn)程辦公安全/VPN安全> 從零信任角度看VPN安全

從零信任角度看VPN安全

文章

2021-08-11瀏覽次數(shù):302

說到VPN,大家應(yīng)該都不陌生,在工信部整治VPN亂象之前,誰的手機里沒有一個翻墻軟件,畢竟要探索墻外世界的必要條件之一就是VPN,所以很多人理所當(dāng)然的VPN當(dāng)成翻墻的“梯子”,但VPN的使用場景遠(yuǎn)不止翻墻瀏覽外網(wǎng)那么簡單

2020年初,新冠疫情讓人措手不及,很多企業(yè)被迫開啟遠(yuǎn)程辦公模式。一些工作僅需要網(wǎng)絡(luò)和office全家桶就能完成,可有些工作需要訪問企業(yè)系統(tǒng)內(nèi)網(wǎng)來支撐工作的開展。

 

這種時候VPN就派上用場了。

 

只不過這里的VPN不是翻外墻,而是作為遠(yuǎn)程辦公的解決辦法。

 

它可以通過特殊的加密通訊協(xié)議在兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,以此實現(xiàn)遠(yuǎn)程辦公。

 

不過盡管VPN能實現(xiàn)異地訪問內(nèi)網(wǎng)的需求,但還是存在一定的風(fēng)險。一些企業(yè)為了方便員工存取VPN,會在入職時替員工的流動設(shè)備設(shè)定好VPN聯(lián)機,而IT部門為了減少用戶查詢,也會直接把登入信息儲存,讓員工直接點擊即可連接到VPN。

 

而這里面其實有個安全隱患企業(yè)無法保證VPN的掌控權(quán)一直在員工自己手中。假如員工設(shè)備遺失、密碼泄露、或者被攻擊者利用社工手段接觸到設(shè)備等問題都會導(dǎo)致企業(yè)內(nèi)網(wǎng)被他人入侵。因為很多VPN只要通過賬號登錄這一關(guān),就能輕松訪問內(nèi)網(wǎng)資源。

 

像VPN這類傳統(tǒng)的邊界防護認(rèn)為數(shù)據(jù)中心的內(nèi)部是安全的,只要做好邊界防護,牢守城門,外部的攻擊就不能對內(nèi)部的數(shù)據(jù)造成威脅。如果用戶一旦通過網(wǎng)關(guān)接入內(nèi)網(wǎng),其所有操作都被信任和接受,一些黑客正是利用這一點發(fā)起對企業(yè)內(nèi)網(wǎng)的攻擊。

在安全防護的理念上,零信任則跟VPN不同,零信任沒有任何預(yù)設(shè)條件,無論用戶在哪,如果想要獲得內(nèi)網(wǎng)某一資源,都需要進行身份驗證,即便用戶自己訪問內(nèi)網(wǎng)也需要通過多因素認(rèn)證,并且即便用戶通過了認(rèn)證也不能隨便訪問內(nèi)網(wǎng)資源。在基于角色/屬性授權(quán)后,用戶可訪問最小化授權(quán)的應(yīng)用、使用最小授權(quán)的功能。而且在訪問應(yīng)用過程中,安全風(fēng)險會被持續(xù)評估,如果零信任系統(tǒng)發(fā)現(xiàn)終端環(huán)境、用戶行為存在風(fēng)險,或用戶將進行敏感高危操作,則會觸發(fā)動態(tài)授權(quán)、二次認(rèn)證等,進一步可進入審批環(huán)節(jié),從而將風(fēng)險降到最低。

 

簡單來說,企業(yè)大可不必再度擔(dān)心某些員工會利用VPN當(dāng)跳板入侵企業(yè)內(nèi)網(wǎng)刪除機密信息的事故了。

比起VPN這類傳統(tǒng)的邊界防護,零信任具備以下的優(yōu)點足以滿足企業(yè)的安全需求:

永不信任、持續(xù)認(rèn)證

賬戶、應(yīng)用、認(rèn)證授權(quán)統(tǒng)一管理,實現(xiàn)所有用戶接入前統(tǒng)一認(rèn)證,即先通過多因素認(rèn)證、再連接,隱藏應(yīng)用,減少攻擊暴露面。

 

 實現(xiàn)最小授權(quán)

支持應(yīng)用級、功能級、數(shù)據(jù)多層級細(xì)粒度授權(quán),實現(xiàn)全面最小化授權(quán),減少員工接觸無權(quán)限的機密信息。

 

動態(tài)風(fēng)險評估

零信任環(huán)境還會持續(xù)判斷主機行為,從用戶登錄行為進行全面審計,精準(zhǔn)記錄用戶賬號認(rèn)證、訪問、變更等行為,以報表的形式展現(xiàn)給系統(tǒng)管理員,實時的登錄風(fēng)險預(yù)警,及時發(fā)現(xiàn)異常情況。