产品动态
您当前位置:首页 > 新闻动态 > 产品动态

零信任,这个熟悉又陌生的名词做了一次认真的自我介绍

责任编辑:盈高科技    时间:2022-07-07    浏览次数:6747

我是零信任

早在十几年前我就已经出世了


但成长需要时间

所以在过去的十几年我都在默默修炼

直到2020年,疫情爆发,大家都开始了远程办公

我看见在远程办公过程中

用VPN接入内网的方式

给不少企业增加了管理成本和安全风险

同时

通过我的观察

发现很多企业都开始尝试业务上云

但其实业务上云和安全上云是两条路

如果没走好安全这条路

业务上云就相当于业务“裸奔”

比如

最近我听说,某知名公有云数据库被泄露,包含十亿公民信息!

如果这批泄露数据是真实,被不法分子购买,特别是境外网络诈骗团伙购买的话,后果会很严重呀!

所以我出山了

无论是远程办公还是业务上云或是其他的

自信的说

我都能解决这当中的安全问题

现在我就来给大家正式的自夸介绍一下自己



01  我从何而来


在传统的安全体系下,内网用户默认享有较高的网络权限,而外网用户如异地办公员工、分支机构接入企业内网都需要通过VPN。

但是在IT无边界化已经成为大趋势,高级网络攻击肆虐,内外部威胁愈演愈烈的环境下,传统的边界安全体系需要迭代升级,零信任理念应运而生。

从原理上而言,我是一种预防性安全方法,它假定恶意行为者已经渗透到组织所在的网络中。

因此,通过用户行为感知、用户环境评估和应对事件响应等能力综合进行管理,能对其产生的风险进行响应和管控。


02  我由哪几块组成


在NIST(美国国家标准委员会)2019 年发布的《零信任架构 ZTA》白皮书中,总结出实现零信任架构的三大核心技术“SIM”,分别是SDP(软件定义边界);IAM(身份与访问管理);MSG(微隔离)。

SDP:SDP 技术是通过软件的方式将所有应用程序隐藏,使得访问者不知应用的具体位置,同时对所有访问流量进行加密传输,并在访问端与被访问端之间点对点传输,其可有效解决企业业务拓展中的安全问题。


IAM:我所需的IAM 技术通过围绕身份、权限、环境等信息进行有效管控与治理,从而保证正确的身份在正确的访问环境下,基于正当理由访问正确的资源。


MSG:微隔离通过细粒度的策略控制,能够应对各类环境下对于东西向流量隔离的需求,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。


03  我能用在哪里


|远程接入

常见的远程接入方式主要有两种:一种是通过端口映射将业务系统直接在公网上开放;二是使用 VPN打通远程网络通道。


然而这些手段仍旧存在一定的局限性:无法判断来源系统环境的安全性,也无法进行精细化、动态化的权限控制。

而我能通过提供统一的业务安全访问通道,适应于远程接入的场景。

对于Web类的应用系统,我可以通过零信任Web网关代理模块,将请求代理转发到内网服务器中;

对于C/S类系统,通过零信任网关中的流量代理模块,将请求转发至内网服务器中。


|远程办公

随着信息化建设水平的逐步提升,企业业务系统越来越丰富,当前企业 IT 运营管理成本日渐高涨。

同时在疫情的催化下,远程办公方式逐渐被企业所接受。


但是在远程办公场景下怎样保证接入用户符合要求、不能越权访问、数据不泄露,对传统安全体系都是巨大的挑战。

对于高安全要求的办公环境,我可以将云桌面或是RDP、SSH代理程序集成到零信任网关,经过零信任认证后再使用,实现数据不出公司内网。


|内外网统一管理

当前企业内已经存在有传统的安全手段,例如防火墙、IPS、防毒墙、NAC 等。

在应用零信任解决方案时并不要完全废弃传统的安全手段,更好的方式是与传统安全手段相结合达到更好的防护效果。

例如防火墙结合能对资源进行更好的保护,与NAC 结合能给用户提供内外网统一的业务安全访问体验。

一方面经过验证并授权后允许内部终端直连业务系统的网络策略,保证内部高效办公;

另一方面外部终端也可以经过零信任代理网关对业务系统进行访问,能实现在不同的网络环境下统一的访问和管理体验。


04  怎么才能让我平稳落地


我是一个飘忽不定的人

大家经常听说我

但对于怎么运用

常常感到心有余而力不足

为了不让大家有“水中月镜中花”的错觉

我亲自来讲讲

能让我平稳落地的关键是什么


面对云与移动时代企业远程接入的全场景安全访问的现实需求,零信任安全理念在企业的落地不会一蹴而就。

首先我们不能再依据用户所处的网络位置而决定用户是否可信,取而代之的是对每个请求都进行严格验证。

因此需要对企业内的认证体系进行规划、合并、统一

除此之外,还要了解用户是否使用了合法的设备,通过对用户使用的设备进行验证,我们可以避免将敏感数据暴露给被攻陷的设备,并避免被该设备横向攻击网络上的其他用户。

在此过程中还需要有力的终端安全管理能力作为支撑

总之,若要零信任安全理念在企业顺利落地,需要企业根据自身业务系统建设阶段、人员和设备管理情况、现有网络环境、企业网络安全威胁、现有安全机制、预算情况、安全团队人员能力等因素综合考虑。

选择能支持将企业内的认证体系进行合并统一,提供强大的终端安全管理能力的产品提供支持,才能保障企业逐步转向零信任理念。


今天的自我介绍就到这里啦

如果你想懂我多一点

那就下次不见不散~