近年來(lái),隨著企業(yè)網(wǎng)絡(luò)安全意識(shí)的提升,“零信任”概念逐漸深入人心,作為一種新型的網(wǎng)絡(luò)安全策略,越來(lái)越多的企業(yè)開(kāi)始探尋“零信任”網(wǎng)絡(luò)的奧秘,并嘗試采用“零信任”策略重構(gòu)企業(yè)網(wǎng)絡(luò)安全邊界。
近日,貝銳旗下智能組網(wǎng)整體解決方案品牌“蒲公英”正式推出了“蒲公英零信任網(wǎng)絡(luò)1.0”解決方案,該方案旨在幫助企業(yè)重構(gòu)網(wǎng)絡(luò)安全邊界,進(jìn)而提供更加安全,更具針對(duì)性的智能組網(wǎng)整體解決方案。
借此機(jī)會(huì),筆者想要在這里對(duì)“零信任”概念以及“蒲公英零信任網(wǎng)絡(luò)”進(jìn)行一番具體的解析,幫助有需求的企業(yè)管理者更好的理解“零信任”這一概念,順應(yīng)網(wǎng)絡(luò)空間安全至上的大潮。
何為“零信任”?
傳統(tǒng)的網(wǎng)絡(luò)安全是基于防火墻的邊界防御,是有明顯的物理邊界的,而對(duì)于企業(yè)來(lái)說(shuō),這一邊界的內(nèi)側(cè)就是我們所熟知的“內(nèi)網(wǎng)”。
在傳統(tǒng)的網(wǎng)絡(luò)安全策略中,內(nèi)網(wǎng)是完全可信的。但隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的不斷興起,企業(yè)的IT架構(gòu)邊界正在不斷模糊,網(wǎng)絡(luò)安全的物理邊界正逐漸消失,“內(nèi)網(wǎng)=安全可信”這一等式正在受到嚴(yán)重的調(diào)整。
為了適應(yīng)這樣的變化趨勢(shì),企業(yè)也需要調(diào)整IT網(wǎng)絡(luò)安全策略,以應(yīng)對(duì)同樣在持續(xù)發(fā)展中的網(wǎng)絡(luò)安全威脅。因此,“零信任”應(yīng)運(yùn)而生。
“零信任”這一概念于2010年由一位名為Forrester Research的分析師提出,它代表了一種新一代的網(wǎng)絡(luò)安全防護(hù)理念和策略,提出不久就被包括谷歌、思科等在內(nèi)的諸多大廠所采納。
“零信任”的優(yōu)勢(shì)
用一句通俗的話來(lái)解釋“零信任”,那就是對(duì)網(wǎng)絡(luò)中的任何一個(gè)訪客進(jìn)行持續(xù)的身份驗(yàn)證,任何用戶都不應(yīng)受到信任,即“持續(xù)驗(yàn)證,永不信任”。
在這一策略下,企業(yè)網(wǎng)絡(luò)將不會(huì)默認(rèn)信任任何來(lái)自內(nèi)外網(wǎng)的人、設(shè)備和系統(tǒng),而是會(huì)基于實(shí)時(shí)的身份認(rèn)證和授權(quán)重新構(gòu)建網(wǎng)絡(luò)訪問(wèn)信任體系,身份認(rèn)證的過(guò)程也將不再局限在網(wǎng)絡(luò)的邊界,從而保證訪問(wèn)企業(yè)網(wǎng)絡(luò)的身份、設(shè)備、軟件均為可信,同時(shí)進(jìn)一步保證企業(yè)網(wǎng)絡(luò)系系統(tǒng)的終端安全,鏈路安全以及訪問(wèn)控制安全。
換句話說(shuō),“零信任”打破了 “內(nèi)部等于可信任”、“外部等于不可信任”的傳統(tǒng)舊安全觀念。
舉一個(gè)簡(jiǎn)單的例子:在傳統(tǒng)的邊界網(wǎng)絡(luò)安全框架下,黑客一旦通過(guò)某種手段獲取到了企業(yè)內(nèi)網(wǎng)權(quán)限(比如帳號(hào)和密碼),那么直到相關(guān)的管理員發(fā)現(xiàn)之前,他都可以在企業(yè)網(wǎng)絡(luò)內(nèi)橫行無(wú)忌,肆意盜取企業(yè)核心信息甚至對(duì)系統(tǒng)進(jìn)行破壞。
但如果企業(yè)采用了“零信任”安全策略,那么黑客將無(wú)法單純的憑借帳號(hào)密碼攻入企業(yè)內(nèi)網(wǎng),而是會(huì)被要求驗(yàn)證其他的身份信息,比如企業(yè)可以要求帳號(hào)與設(shè)備MAC碼對(duì)應(yīng),或者需要短信或者郵件的驗(yàn)證等等,這些策略由企業(yè)方視情況制定。這樣一來(lái),黑客進(jìn)行惡意攻擊的難度將會(huì)大大提升,很多針對(duì)企業(yè)網(wǎng)絡(luò)的攻擊在這一步就會(huì)被拒之門(mén)外。
為什么企業(yè)要部署“零信任”
企業(yè)部署“零信任”當(dāng)然是基于對(duì)于信息安全的迫切需要。
具體到實(shí)際的落地,則是希望對(duì)越來(lái)越模糊的網(wǎng)絡(luò)邊界進(jìn)行重構(gòu),而對(duì)網(wǎng)絡(luò)邊界的重構(gòu)主要集中在以下三個(gè)方面:
●建立基于應(yīng)用的安全邊界:打破傳統(tǒng)基于防火墻的網(wǎng)絡(luò)邊界,建立基于應(yīng)用的更細(xì)粒度的訪問(wèn)策略管理。
●建立基于身份的接入驗(yàn)證:身份權(quán)限動(dòng)態(tài)管控,所有成員身份無(wú)差別信任與驗(yàn)證。
●建立基于安全的數(shù)據(jù)保護(hù):終端數(shù)據(jù)、應(yīng)用分級(jí)隔離,企業(yè)數(shù)據(jù)通過(guò)加密隧道傳輸。
蒲公英零信任方案的核心特征
蒲公英零信任架構(gòu)主要通過(guò)對(duì)訪問(wèn)身份權(quán)限的動(dòng)態(tài)管控,對(duì)訪問(wèn)成員持續(xù)進(jìn)行信任評(píng)估和動(dòng)態(tài)的訪問(wèn)控制,最終實(shí)現(xiàn)業(yè)務(wù)安全訪問(wèn)。具體到方案本身的結(jié)構(gòu),則是從成員身份、網(wǎng)絡(luò)管控、終端安全三方面進(jìn)行整合,保障企業(yè)辦公網(wǎng)絡(luò)安全,提升辦公效率。
蒲公英的相關(guān)功能主要包括:
●自定義訪問(wèn)策略
組網(wǎng)內(nèi)成員的訪問(wèn)權(quán)限、訪問(wèn)內(nèi)容、訪問(wèn)時(shí)間均可進(jìn)行自定義設(shè)置,滿足用戶多場(chǎng)景使用,通過(guò)策略控制保障組網(wǎng)內(nèi)資源訪問(wèn)安全。
●角色權(quán)限管理
支持多角色權(quán)限管理,創(chuàng)建二級(jí)管理帳號(hào)對(duì)應(yīng)不同角色即可賦予對(duì)應(yīng)的操作權(quán)限,輕松分工,高效管理。
●多因子帳號(hào)安全認(rèn)證
對(duì)訪問(wèn)身份權(quán)限進(jìn)行持續(xù)信任評(píng)估,除基礎(chǔ)的帳號(hào)身份認(rèn)證后,增加手機(jī)、郵箱OTP認(rèn)證以及動(dòng)態(tài)令牌MFA認(rèn)證;根據(jù)用戶常用使用習(xí)慣制定不同等級(jí)的安全認(rèn)證,幫助組網(wǎng)成員接入身份安全。
●終端設(shè)備信任體系
對(duì)終端設(shè)備建立信任設(shè)備體系,對(duì)不符合安全要求的設(shè)備保持持續(xù)驗(yàn)證安全狀態(tài)。
●安全日志審計(jì)
管理員、終端成員、不同角色管理員的行為日志及時(shí)間實(shí)時(shí)記錄,做到成員行為可追溯。
蒲公英零信任在場(chǎng)景應(yīng)用下的優(yōu)勢(shì)
●遠(yuǎn)程移動(dòng)辦公趨勢(shì)下的簡(jiǎn)單部署,快速接入
隨著遠(yuǎn)程辦公及移動(dòng)辦公越來(lái)越普及,外部訪問(wèn)量激增,而企業(yè)訪問(wèn)邊界的模糊化和訪問(wèn)設(shè)備的可信度管控缺失,導(dǎo)致企業(yè)數(shù)據(jù)安全面臨較大挑戰(zhàn)。但大部分企業(yè)基于已有的網(wǎng)絡(luò)架構(gòu)無(wú)法瞬時(shí)改變,這時(shí)蒲公英基于SD-WAN的零信任安全訪問(wèn)就能快速接入,重建企業(yè)網(wǎng)絡(luò)訪問(wèn)邊界,加強(qiáng)網(wǎng)絡(luò)安全。
●混合云業(yè)務(wù)部署模式下的數(shù)據(jù)安全保障
現(xiàn)在大部分企業(yè)的業(yè)務(wù)部署選擇混合云的方式,內(nèi)網(wǎng)數(shù)據(jù)外網(wǎng)訪問(wèn)難,外網(wǎng)數(shù)據(jù)安全保障難已成為大多企業(yè)的難題。零信任提倡對(duì)于所有身份進(jìn)行授權(quán)訪問(wèn),并動(dòng)態(tài)監(jiān)控授權(quán)身份的訪問(wèn)行為,所有帳號(hào)無(wú)差別信任與認(rèn)證,保障網(wǎng)絡(luò)安全訪問(wèn)。
●數(shù)字化轉(zhuǎn)型趨勢(shì)下重塑企業(yè)安全邊界
企業(yè)數(shù)字化轉(zhuǎn)型已成為必然的趨勢(shì),這種情況下,業(yè)務(wù)平臺(tái)及員工身份屬性的多樣化將越來(lái)越強(qiáng)烈。零信任在此基礎(chǔ)下可重塑信任體系及訪問(wèn)策略,有效內(nèi)外訪問(wèn)成員的安全屬性進(jìn)行監(jiān)控。
