作者—Mia
随着越来越多的公司推进数字化转型,利用云计算和DevOps工作流建立数字业务,然而相应的安全环境却并没有跟上,面对激增的网络攻击以及入侵行为,企业该如何保护自己?答案也许便是当今敌对环境的安全范式:零信任。
可信边界已近消亡
虽然数字服务带来了许多好处,但在当今日益严峻的威胁形势下,企业的被攻击范围也在不断扩大。因此,企业需要重新考虑边界安全的基本原则以及保护关键应用程序、数据和用户的方式。
随着企业经历数字化转型,应用程序越来越多地驻留在IT传统控制区域之外的云中。PGI的全球远程工作调查发现,79%的全球知识型员工是远程工作人员。此外,数字企业只雇佣全职员工的观点已经过时。大多数公司依赖于服务商、供应商、承包商和合作伙伴,他们需要访问特定的、内部的应用程序,然而,任何第三方访问都会增加关键企业信息落入不法分子手中的风险。
与此同时,越来越多地网络犯罪分子通过防火墙盗取企业信息。例如通过可信的用户凭据、恶意链接或附件进入。IDC Research报告提出57%的企业认为他们的公司容易受到未经授权的远程访问入侵,76%的受访者预计未来两年远程访问将增加。
传统的边界安全缺陷
随着企业应用程序、数据、设备和用户转移到云端,传统的边界安全已不再够用。
很多公司长期以来使用边界网络架构(DMZ)保护企业网络,包括访问控制的设备、网关、防火墙、以及应用程序交付和性能优化等,但这些架构设计之初没有考虑移动办公的问题,它们并不是为 SaaS 或托管在云中的应用程序设计的。应用程序迁移到云,意味着公司不再拥有和以前一样的控制权——当公司不能管理完整的应用程序环境和网络时,基于包、端口和协议的传统网络安全也就不起作用了。
最重要的是,传统的边界安全已经过时了,犯罪分子通常通过使用合法的用户名和密码或安装恶意软件通过安全解决方案的弱点进入公司网络。边界网络解决方案无法保护企业数据和应用程序免受攻击。
息象天龙产品很好的解决了这些问题,其特点如下:
- 可减少网络暴露面:如互联网地址无法扫描,完全隐藏。
- 最小化权限:用户获得授权后,除了授权应用外不可访问其他应用。
- 数据保护:本地沙箱确保企业数据安全,数据本地落地加密。
- 应用门户及单点登录:支持企业应用门户,一次登录即可访问后端应用。
零信任的新时代
传统的边界安全弊病百出,企业应该如何保护应用程序、数据及工作人员免受网络安全威胁?答案是实现零信任安全模型,将“信任但验证”的常见口号转换为“从不信任,总是验证”。
零信任安全模型假设没有“内部”和“外部”之分,每个人、每个设备都是同样不可信的。它把所有的应用程序都看作是面对互联网黑洞,并且认为整个网络都是受到威胁和敌对的。
息象科技基于零信任安全模型实现了一套业界领先的零信任技术解决方案,其特点如下:
- 安全假设:网络始终面临威胁、企业内部网络并不比外部网络安全、仅通过网络位置来评估信任是不够的。
- 安全目标:在不安全的网络中构建安全系统。
- 安全措施:不再区分内外网,基于安全状态的动态可信访问控制机制。
按需授权,清晰可见的细粒度访问控制策略。网络隐身,最小攻击面,访问所有资源前提下必须认证、授权、加密,所有网络访问流量必须监控和审计。
受保护的访问
数字化转型的公司需要为员工、供应商、顾问和其他合作伙伴提供快速、安全的访问应用程序的服务,并且这些应用程序可以在世界上任何地方、任何设备上使用。传统的访问技术通常使用各种硬件和软件设备,将网络访问权限授予具有适当凭据的用户。然而,研究表明大多数入侵都是由于有效的用户凭证被盗或使用不当造成的。零信任安全模型假定所有用户都受到威胁,都不应该被信任。
使用云作为基础设施的扩展,只提供对用户需要的应用程序的入口。这个最小特权原则可以扩展到世界上任何地方的设备和应用程序。
有了基于云的安全性,直接访问应用程序是不被允许的,因为所有的应用程序都隐藏在互联网中。云不仅是身份验证和授权路径,而且是直接用于用户的数据访问路径,是用户访问企业关键资源的唯一入口。云服务从公司网络或IaaS内部提供安全的、相互验证的TLS连接,并将应用程序交付给用户。安全代理应用强身份验证和安全控制将内部网络和IaaS应用程序与Internet隔离开来,并将攻击面移到边缘。
身份验证
为了让用户安全访问应用程序,基于云的安全应该与现有的认证服务(如Okta或Microsoft Active Directory)集成,提供具有先进安全特性的认证解决方案,如双因子或多因子认证。要求对设备和用户进行身份验证进一步增强了安全性,攻击者必须窃取至少两个身份才能访问资源,大大改进了传统方法。
息象零信任安全平台可以对用户身份进行管理,保证用户身份和设备的合法性,其包括:
- 创建账户体系,或依照现有身份管理系统如AD域、OpenLDAP、CAS等同步账户和组织架构信息。
- 通过智能安全大脑设备绑定功能,确保用户在合法的设备上使用正确的账号登录,同时可以对账户的登录时间、登录地点及IP地址进行严格控制,以防止非法人员以非法的方式接入业务系统。
- 智能安全大脑可以远程清除用户设备上的账号信息及使用痕迹。有效保障企业员工认证信息在泄漏、设备遗失等异常情况下的企业数据安全。
- 实时的清除设备数据,即使该设备正在登录,也可以令用户立即登出。
- 移动端浏览器还可以设置指纹、人脸识别、手机短信等多因子认证方式,保障身份安全。
授权
通过采用最低权限访问策略和严格执行访问控制,减少了网络罪犯和恶意软件获得访问的途径。云解决方案通过提供特定应用程序的访问提供帮助。组织可以跨所有用户、设备、应用程序和数据定义安全策略。
息象天龙产品按需求进行授权:管理员可以根据用户的身份和具体的需求,在后台合理限制用户可以访问哪些应用。例如,只允许财务部的员工访问财务系统,不允许访问HR系统。越权访问会被网关拦截。这样就避免了用户过度授权的问题,大大减少了网络攻击面,也减少了员工泄密数据的可能。除了应用的维度之外,还可以对用户的访问位置(即所处的地理位置)、访问时间,访问设备等维度进行限制。
分层安全防御
层层授权,层层防御,息象零信任安全平台在TCP/IP数据通信的各层都进行授权控制,防止非法数据进入,不再惧怕IP对外开放,不再惧怕多端口对外开放。只有可信安全客户端经过SPA授权后,才会针对授权过的客户端开放访问通道;此外通过息象零信任平台独有的私有DNS功能,实现域名内部解析,无需将域名暴露在公网,实现IP地址网络隐身,防止通讯数据被非法人员监听、篡改或破坏。
实时通信监测
”持续验证“意味着需要不断监测和检查活动的流量。零信任假设即使来自局域网的通信也是可疑的,因此应该像对待外网一样进行分析和记录,分析识别可疑的流量模式。
息象天龙控制台通过统一身份认证和访问授权管理,同时记录日志,对每日、每周或每月数据对比,展示每日访问量变化最大的应用系统和活跃度变化最大的用户,来帮助企业了解业务应用系统访问压力变化,及时发现业务应用异常,根据实际情况调节业务系统性能,保证各个模块的数据实时更新和同步。
结论
通过使用息象天龙零信任产品,企业可以调整网络安全以适应当今新的IT环境。无论应用程序和数据位于数据中心还是云中,都能为任何地点、使用任何设备的用户提供安全、简单和高性能的访问。息象天龙可以阻止用户访问包含可能危害网络的恶意软件或不可接受内容的外部应用程序,还可以持续监控流量的可疑行为。用户可以充分利用最新的技术来实现数字科技转型,免受安全问题的困扰。
![【图解HTTP】——确保Web安全的HTTPSHTTPS小结[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)