我是零信任
早在十几年前我就已经出世了
但成长需要时间
所以在过去的十几年我都在默默修炼
直到2020年,疫情爆发,大家都开始了远程办公
我看见在远程办公过程中
用VPN接入内网的方式
给不少企业增加了管理成本和安全风险
同时
通过我的观察
发现很多企业都开始尝试业务上云
但其实业务上云和安全上云是两条路
如果没走好安全这条路
业务上云就相当于业务“裸奔”
比如
最近我听说,某知名公有云数据库被泄露,包含十亿公民信息!
如果这批泄露数据是真实,被不法分子购买,特别是境外网络诈骗团伙购买的话,后果会很严重呀!
所以我出山了
无论是远程办公还是业务上云或是其他的
自信的说
我都能解决这当中的安全问题
现在我就来给大家正式的自夸介绍一下自己
01 我从何而来
在传统的安全体系下,内网用户默认享有较高的网络权限,而外网用户如异地办公员工、分支机构接入企业内网都需要通过VPN。
但是在IT无边界化已经成为大趋势,高级网络攻击肆虐,内外部威胁愈演愈烈的环境下,传统的边界安全体系需要迭代升级,零信任理念应运而生。
从原理上而言,我是一种预防性安全方法,它假定恶意行为者已经渗透到组织所在的网络中。
因此,通过用户行为感知、用户环境评估和应对事件响应等能力综合进行管理,能对其产生的风险进行响应和管控。
02 我由哪几块组成
在NIST(美国国家标准委员会)2019 年发布的《零信任架构 ZTA》白皮书中,总结出实现零信任架构的三大核心技术“SIM”,分别是SDP(软件定义边界);IAM(身份与访问管理);MSG(微隔离)。
SDP:SDP 技术是通过软件的方式将所有应用程序隐藏,使得访问者不知应用的具体位置,同时对所有访问流量进行加密传输,并在访问端与被访问端之间点对点传输,其可有效解决企业业务拓展中的安全问题。
IAM:我所需的IAM 技术通过围绕身份、权限、环境等信息进行有效管控与治理,从而保证正确的身份在正确的访问环境下,基于正当理由访问正确的资源。
MSG:微隔离通过细粒度的策略控制,能够应对各类环境下对于东西向流量隔离的需求,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。
03 我能用在哪里
|远程接入
常见的远程接入方式主要有两种:一种是通过端口映射将业务系统直接在公网上开放;二是使用 VPN打通远程网络通道。
然而这些手段仍旧存在一定的局限性:无法判断来源系统环境的安全性,也无法进行精细化、动态化的权限控制。
而我能通过提供统一的业务安全访问通道,适应于远程接入的场景。
对于Web类的应用系统,我可以通过零信任Web网关代理模块,将请求代理转发到内网服务器中;
对于C/S类系统,通过零信任网关中的流量代理模块,将请求转发至内网服务器中。
|远程办公
随着信息化建设水平的逐步提升,企业业务系统越来越丰富,当前企业 IT 运营管理成本日渐高涨。
同时在疫情的催化下,远程办公方式逐渐被企业所接受。
但是在远程办公场景下怎样保证接入用户符合要求、不能越权访问、数据不泄露,对传统安全体系都是巨大的挑战。
对于高安全要求的办公环境,我可以将云桌面或是RDP、SSH代理程序集成到零信任网关,经过零信任认证后再使用,实现数据不出公司内网。
|内外网统一管理
当前企业内已经存在有传统的安全手段,例如防火墙、IPS、防毒墙、NAC 等。
在应用零信任解决方案时并不要完全废弃传统的安全手段,更好的方式是与传统安全手段相结合达到更好的防护效果。
例如防火墙结合能对资源进行更好的保护,与NAC 结合能给用户提供内外网统一的业务安全访问体验。
一方面经过验证并授权后允许内部终端直连业务系统的网络策略,保证内部高效办公;
另一方面外部终端也可以经过零信任代理网关对业务系统进行访问,能实现在不同的网络环境下统一的访问和管理体验。
04 怎么才能让我平稳落地
我是一个飘忽不定的人
大家经常听说我
但对于怎么运用
常常感到心有余而力不足
为了不让大家有“水中月镜中花”的错觉
我亲自来讲讲
能让我平稳落地的关键是什么
面对云与移动时代企业远程接入的全场景安全访问的现实需求,零信任安全理念在企业的落地不会一蹴而就。
首先我们不能再依据用户所处的网络位置而决定用户是否可信,取而代之的是对每个请求都进行严格验证。
因此需要对企业内的认证体系进行规划、合并、统一。
除此之外,还要了解用户是否使用了合法的设备,通过对用户使用的设备进行验证,我们可以避免将敏感数据暴露给被攻陷的设备,并避免被该设备横向攻击网络上的其他用户。
在此过程中还需要有力的终端安全管理能力作为支撑。
总之,若要零信任安全理念在企业顺利落地,需要企业根据自身业务系统建设阶段、人员和设备管理情况、现有网络环境、企业网络安全威胁、现有安全机制、预算情况、安全团队人员能力等因素综合考虑。
选择能支持将企业内的认证体系进行合并统一,提供强大的终端安全管理能力的产品提供支持,才能保障企业逐步转向零信任理念。
今天的自我介绍就到这里啦
如果你想懂我多一点
那就下次不见不散~