作者—Mia
随着越來越多的公司推進數字化轉型,利用雲計算和DevOps工作流建立數字業務,然而相應的安全環境卻并沒有跟上,面對激增的網絡攻擊以及入侵行為,企業該如何保護自己?答案也許便是當今敵對環境的安全範式:零信任。
可信邊界已近消亡
雖然數字服務帶來了許多好處,但在當今日益嚴峻的威脅形勢下,企業的被攻擊範圍也在不斷擴大。是以,企業需要重新考慮邊界安全的基本原則以及保護關鍵應用程式、資料和使用者的方式。
随着企業經曆數字化轉型,應用程式越來越多地駐留在IT傳統控制區域之外的雲中。PGI的全球遠端工作調查發現,79%的全球知識型員工是遠端從業人員。此外,數字企業隻雇傭全職員工的觀點已經過時。大多數公司依賴于服務商、供應商、承包商和合作夥伴,他們需要通路特定的、内部的應用程式,然而,任何第三方通路都會增加關鍵企業資訊落入不法分子手中的風險。
與此同時,越來越多地網絡犯罪分子通過防火牆盜取企業資訊。例如通過可信的使用者憑據、惡意連結或附件進入。IDC Research報告提出57%的企業認為他們的公司容易受到未經授權的遠端通路入侵,76%的受訪者預計未來兩年遠端通路将增加。
傳統的邊界安全缺陷
随着企業應用程式、資料、裝置和使用者轉移到雲端,傳統的邊界安全已不再夠用。
很多公司長期以來使用邊界網絡架構(DMZ)保護企業網絡,包括通路控制的裝置、網關、防火牆、以及應用程式傳遞和性能優化等,但這些架構設計之初沒有考慮移動辦公的問題,它們并不是為 SaaS 或托管在雲中的應用程式設計的。應用程式遷移到雲,意味着公司不再擁有和以前一樣的控制權——當公司不能管理完整的應用程式環境和網絡時,基于包、端口和協定的傳統網絡安全也就不起作用了。
最重要的是,傳統的邊界安全已經過時了,犯罪分子通常通過使用合法的使用者名和密碼或安裝惡意軟體通過安全解決方案的弱點進入公司網絡。邊界網絡解決方案無法保護企業資料和應用程式免受攻擊。
息象天龍産品很好的解決了這些問題,其特點如下:
- 可減少網絡暴露面:如網際網路位址無法掃描,完全隐藏。
- 最小化權限:使用者獲得授權後,除了授權應用外不可通路其他應用。
- 資料保護:本地沙箱確定企業資料安全,資料本地落地加密。
- 應用門戶及單點登入:支援企業應用門戶,一次登入即可通路後端應用。
零信任的新時代
傳統的邊界安全弊病百出,企業應該如何保護應用程式、資料及從業人員免受網絡安全威脅?答案是實作零信任安全模型,将“信任但驗證”的常見口号轉換為“從不信任,總是驗證”。
零信任安全模型假設沒有“内部”和“外部”之分,每個人、每個裝置都是同樣不可信的。它把所有的應用程式都看作是面對網際網路黑洞,并且認為整個網絡都是受到威脅和敵對的。
息象科技基于零信任安全模型實作了一套業界領先的零信任技術解決方案,其特點如下:
- 安全假設:網絡始終面臨威脅、企業内部網絡并不比外部網絡安全、僅通過網絡位置來評估信任是不夠的。
- 安全目标:在不安全的網絡中建構安全系統。
- 安全措施:不再區分内外網,基于安全狀态的動态可信通路控制機制。
按需授權,清晰可見的細粒度通路控制政策。網絡隐身,最小攻擊面,通路所有資源前提下必須認證、授權、加密,所有網絡通路流量必須監控和審計。
受保護的通路
數字化轉型的公司需要為員工、供應商、顧問和其他合作夥伴提供快速、安全的通路應用程式的服務,并且這些應用程式可以在世界上任何地方、任何裝置上使用。傳統的通路技術通常使用各種硬體和軟體裝置,将網絡通路權限授予具有适當憑據的使用者。然而,研究表明大多數入侵都是由于有效的使用者憑證被盜或使用不當造成的。零信任安全模型假定所有使用者都受到威脅,都不應該被信任。
使用雲作為基礎設施的擴充,隻提供對使用者需要的應用程式的入口。這個最小特權原則可以擴充到世界上任何地方的裝置和應用程式。
有了基于雲的安全性,直接通路應用程式是不被允許的,因為所有的應用程式都隐藏在網際網路中。雲不僅是身份驗證和授權路徑,而且是直接用于使用者的資料通路路徑,是使用者通路企業關鍵資源的唯一入口。雲服務從公司網絡或IaaS内部提供安全的、互相驗證的TLS連接配接,并将應用程式傳遞給使用者。安全代理應用強身份驗證和安全控制将内部網絡和IaaS應用程式與Internet隔離開來,并将攻擊面移到邊緣。
身份驗證
為了讓使用者安全通路應用程式,基于雲的安全應該與現有的認證服務(如Okta或Microsoft Active Directory)內建,提供具有先進安全特性的認證解決方案,如雙因子或多因子認證。要求對裝置和使用者進行身份驗證進一步增強了安全性,攻擊者必須竊取至少兩個身份才能通路資源,大大改進了傳統方法。
息象零信任安全平台可以對使用者身份進行管理,保證使用者身份和裝置的合法性,其包括:
- 建立賬戶體系,或依照現有身份管理系統如AD域、OpenLDAP、CAS等同步賬戶群組織架構資訊。
- 通過智能安全大腦裝置綁定功能,確定使用者在合法的裝置上使用正确的賬号登入,同時可以對賬戶的登入時間、登入地點及IP位址進行嚴格控制,以防止非法人員以非法的方式接入業務系統。
- 智能安全大腦可以遠端清除使用者裝置上的賬号資訊及使用痕迹。有效保障企業員工認證資訊在洩漏、裝置遺失等異常情況下的企業資料安全。
- 實時的清除裝置資料,即使該裝置正在登入,也可以令使用者立即登出。
- 移動端浏覽器還可以設定指紋、人臉識别、手機短信等多因子認證方式,保障身份安全。
授權
通過采用最低權限通路政策和嚴格執行通路控制,減少了網絡罪犯和惡意軟體獲得通路的途徑。雲解決方案通過提供特定應用程式的通路提供幫助。組織可以跨所有使用者、裝置、應用程式和資料定義安全政策。
息象天龍産品按需求進行授權:管理者可以根據使用者的身份和具體的需求,在背景合理限制使用者可以通路哪些應用。例如,隻允許财務部的員工通路财務系統,不允許通路HR系統。越權通路會被網關攔截。這樣就避免了使用者過度授權的問題,大大減少了網絡攻擊面,也減少了員工洩密資料的可能。除了應用的次元之外,還可以對使用者的通路位置(即所處的地理位置)、通路時間,通路裝置等次元進行限制。
分層安全防禦
層層授權,層層防禦,息象零信任安全平台在TCP/IP資料通信的各層都進行授權控制,防止非法資料進入,不再懼怕IP對外開放,不再懼怕多端口對外開放。隻有可信安全用戶端經過SPA授權後,才會針對授權過的用戶端開放通路通道;此外通過息象零信任平台獨有的私有DNS功能,實作域名内部解析,無需将域名暴露在公網,實作IP位址網絡隐身,防止通訊資料被非法人員監聽、篡改或破壞。
實時通信監測
”持續驗證“意味着需要不斷監測和檢查活動的流量。零信任假設即使來自區域網路的通信也是可疑的,是以應該像對待外網一樣進行分析和記錄,分析識别可疑的流量模式。
息象天龍控制台通過統一身份認證和通路授權管理,同時記錄日志,對每日、每周或每月資料對比,展示每日通路量變化最大的應用系統和活躍度變化最大的使用者,來幫助企業了解業務應用系統通路壓力變化,及時發現業務應用異常,根據實際情況調節業務系統性能,保證各個子產品的資料實時更新和同步。
結論
通過使用息象天龍零信任産品,企業可以調整網絡安全以适應當今新的IT環境。無論應用程式和資料位于資料中心還是雲中,都能為任何地點、使用任何裝置的使用者提供安全、簡單和高性能的通路。息象天龍可以阻止使用者通路包含可能危害網絡的惡意軟體或不可接受内容的外部應用程式,還可以持續監控流量的可疑行為。使用者可以充分利用最新的技術來實作數字科技轉型,免受安全問題的困擾。
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)