“零信任 or VPN”
“零信任是解決安全問題的萬金油”
零信任一詞被頻繁提起......
互聯(lián)網(wǎng)安全邁入“新常態(tài)”
誰來保護(hù)網(wǎng)絡(luò)邊界安全?
移動(dòng)互聯(lián)網(wǎng)時(shí)代已經(jīng)來臨,隨著新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展,網(wǎng)絡(luò)安全邊界也逐漸變的模糊,因此,如何在信息化社會(huì)中保障內(nèi)部數(shù)據(jù)安全成為當(dāng)下企業(yè)所關(guān)注的重點(diǎn)。
01
企業(yè)面臨的問題與挑戰(zhàn)
隨著互聯(lián)網(wǎng)+的深入普及和信息技術(shù)的變革,越來越多的企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)得以飛速發(fā)展,業(yè)務(wù)類型越來越多,包括移動(dòng)業(yè)務(wù)、電商業(yè)務(wù)、網(wǎng)站信息業(yè)務(wù)等,服務(wù)用戶群體對(duì)象越來越多,包括手機(jī)用戶、PC用戶、社交用戶等,網(wǎng)絡(luò)安全邊界在不斷擴(kuò)展的同時(shí)變得模糊甚至消失,企業(yè)的網(wǎng)絡(luò)安全問題隨著業(yè)務(wù)的發(fā)展而急劇增加,互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)管控稱為企業(yè)管理的重要部分,其面臨的風(fēng)險(xiǎn)問題主要包括:
威脅面越來越大,防不勝防
程序漏洞;
惡意程序;
勒索病毒:WannaCry、Petya、Bad Rabbit;
威脅攻擊種類越來越多,疲于應(yīng)付
單機(jī)威脅:感染式病毒、二進(jìn)制攻擊;
網(wǎng)絡(luò)病毒與黑產(chǎn):木馬、蠕蟲;
流氓軟件與灰產(chǎn):間諜軟件、廣告軟件;
流量攻擊與敲詐:DDos、肉雞;
黑客攻擊:黑洞門、SRC;
高級(jí)威脅與勒索:黑客與病毒混合、漏洞與社會(huì)工程學(xué);
終端種類越來越多,難于有效管理
PC終端;
移動(dòng)終端;
物聯(lián)網(wǎng)終端;
工控互聯(lián)網(wǎng)終端;
安全防御體系錯(cuò)綜復(fù)雜,需要聯(lián)動(dòng)協(xié)作
OSI安全體系:分層結(jié)構(gòu)防護(hù);
P2DR:閉環(huán)動(dòng)態(tài)模型;
IATF:分開部署安全保障機(jī)制;
IEC62443:縱深防御安全防護(hù)策略;
NSA CGSV2:安全保護(hù)與監(jiān)測(cè)能力整合;
NIST CSF:自身需求加強(qiáng)防御;
傳統(tǒng)安全防御體系無法適應(yīng)5G、云計(jì)算和物聯(lián)網(wǎng)發(fā)展
傳統(tǒng)的安全以邊界防御為主,隨著安全邊界逐步被打破,安全防護(hù)體系逐漸失效,已經(jīng)難以適應(yīng)企業(yè)快速成長(zhǎng),難以應(yīng)對(duì)業(yè)務(wù)的快速變化。
02
零信任應(yīng)用場(chǎng)景分析
企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)類型多且提供服務(wù)的觸點(diǎn)方式多種多樣,其主要的零信任互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景包括以下4部分:
應(yīng)用與服務(wù)直接暴露至互聯(lián)網(wǎng)訪問
企業(yè)通過復(fù)雜和繁瑣的網(wǎng)絡(luò)邊界防火墻策略及設(shè)置,將信息系統(tǒng)和數(shù)據(jù)直接暴露至互聯(lián)網(wǎng)提供服務(wù),業(yè)務(wù)一旦發(fā)生變化和變更,安全防護(hù)策略需要進(jìn)行大量手工調(diào)整,不利于業(yè)務(wù)的敏捷性管理。
基于云服務(wù)方式提供互聯(lián)網(wǎng)訪問
企業(yè)在面向消費(fèi)者或跨區(qū)域跨地域的持續(xù)業(yè)務(wù)運(yùn)作中,通常將信息系統(tǒng)和服務(wù)轉(zhuǎn)向使用單云托管或多云托管方式,意味著依靠企業(yè)邊界的安全性成為一種負(fù)擔(dān)和挑戰(zhàn),云上數(shù)據(jù)和服務(wù)面臨更多可能性的入侵攻擊、病毒破壞和數(shù)據(jù)竊取的安全風(fēng)險(xiǎn)。
非企業(yè)人員通過互聯(lián)網(wǎng)遠(yuǎn)程訪問
企業(yè)通常將有限訪問的資源提供給進(jìn)行工作的現(xiàn)場(chǎng)訪問者或服務(wù)提供商,主要包括外包運(yùn)維人員、服務(wù)人員等,而這類人員通過互聯(lián)網(wǎng)遠(yuǎn)程進(jìn)行服務(wù)的提供,包括企業(yè)信息系統(tǒng)維護(hù)、數(shù)據(jù)庫(kù)的管理和服務(wù)器的調(diào)優(yōu)等。
企業(yè)與企業(yè)之間的業(yè)務(wù)開放與協(xié)助
越來越多的企業(yè)會(huì)涉及跨業(yè)務(wù)協(xié)助或項(xiàng)目合作,如企業(yè)的生產(chǎn)訂單需要第三方企業(yè)進(jìn)行供應(yīng)鏈協(xié)助,需要生產(chǎn)系統(tǒng)與供應(yīng)鏈系統(tǒng)的連通;如某重要項(xiàng)目涉及多個(gè)企業(yè)的項(xiàng)目成員,需要相互進(jìn)行業(yè)務(wù)訪問和數(shù)據(jù)的操作等,這些跨企業(yè)邊界的協(xié)助同樣面臨安全風(fēng)險(xiǎn)的巨大挑戰(zhàn)。
03
零信任互聯(lián)網(wǎng)安全解決方案
派拉零信任身份安全系統(tǒng)是基于“零信任”架構(gòu),集成賬戶管理、統(tǒng)一認(rèn)證、訪問授權(quán)、集中審計(jì)、特權(quán)管理、應(yīng)用安全等,實(shí)現(xiàn)互聯(lián)網(wǎng)安全訪問與信息服務(wù)。
SDP服務(wù)構(gòu)建互聯(lián)網(wǎng)業(yè)務(wù)隱身和安全防護(hù)
采用SDP方式,通過SPA單包認(rèn)證、MTLS雙向加密技術(shù),所有互聯(lián)網(wǎng)業(yè)務(wù)訪問請(qǐng)求通過SDP網(wǎng)關(guān)進(jìn)行連接和授權(quán),同時(shí)所有互聯(lián)網(wǎng)業(yè)務(wù)端口和訪問地址默認(rèn)不開放,只有通過授權(quán)和認(rèn)證的請(qǐng)求并且其訪問資源符合的情況建立業(yè)務(wù)連接。
增強(qiáng)身份管理技術(shù)提升互聯(lián)網(wǎng)用戶安全訪問
建立互聯(lián)網(wǎng)用戶體系的身份管理體系,包括外包人員、供應(yīng)商、消費(fèi)者、合作伙伴等用戶群體,同時(shí)將企業(yè)的互聯(lián)網(wǎng)業(yè)務(wù)納入到身份管理平臺(tái)進(jìn)行認(rèn)證、授權(quán)、風(fēng)險(xiǎn)、審計(jì)的集中管控,確保來自于用戶或終端的訪問身份和請(qǐng)求符合企業(yè)的管理要求和策略匹配。
微隔離方式保障云上數(shù)據(jù)與服務(wù)安全管控
云上SaaS應(yīng)用采用設(shè)備應(yīng)用沙箱隔離模式部署,通過分配虛擬機(jī)隔離或使用防火墻設(shè)置隔離區(qū)域,對(duì)外服務(wù)接口采用API網(wǎng)關(guān)服務(wù)實(shí)現(xiàn)。
SDP服務(wù)打造安全互聯(lián)網(wǎng)企業(yè)協(xié)助與業(yè)務(wù)融合
為實(shí)現(xiàn)企業(yè)間的協(xié)助和業(yè)務(wù)訪問,分別通過身份管理技術(shù)對(duì)企業(yè)的聯(lián)合ID主體身份進(jìn)行注冊(cè)和授權(quán)配置,保障企業(yè)身份合法和權(quán)限合規(guī),同時(shí)通過企業(yè)網(wǎng)絡(luò)托管或云上托管方式,讓企業(yè)間的網(wǎng)絡(luò)訪問通過SDP網(wǎng)關(guān)進(jìn)行網(wǎng)絡(luò)連接,遵循先認(rèn)證后連接的零信任安全機(jī)制,確保業(yè)務(wù)互訪互聯(lián)的安全性。
04
零信任互聯(lián)網(wǎng)安全訪問業(yè)務(wù)價(jià)值
增強(qiáng)對(duì)企業(yè)互聯(lián)網(wǎng)應(yīng)用和數(shù)據(jù)的保護(hù)
在實(shí)施“按需受控訪問”的基礎(chǔ)上,有效整合資源保護(hù)相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù),保護(hù)應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲(chǔ),并優(yōu)先保護(hù)高價(jià)值資源。
大面積減小攻擊企業(yè)外部風(fēng)險(xiǎn)
互聯(lián)網(wǎng)用戶通過訪問認(rèn)證之前,資源對(duì)用戶隱身;即便在用戶通過訪問認(rèn)證和授權(quán),成功進(jìn)入網(wǎng)絡(luò)以后,零信任架構(gòu)也將阻止用戶漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了互聯(lián)網(wǎng)攻擊面。
縮減企業(yè)安全管理成本和建設(shè)成本
零信任架構(gòu)終結(jié)了安全防護(hù)手段各自為政的現(xiàn)狀,在零信任架構(gòu)實(shí)施時(shí),可以通過與現(xiàn)有工具的集成,大幅度降低零信任潛在建設(shè)成本。
作為一種全新的理念和架構(gòu),零信任對(duì)企業(yè)的安全建設(shè)和訪問控制進(jìn)行高強(qiáng)度的安全保護(hù),使企業(yè)數(shù)據(jù)“隱身”于互聯(lián)網(wǎng)之中,讓黑客無從發(fā)起攻擊,從而實(shí)現(xiàn)真正的互聯(lián)互通。