相比疫情高發(fā)時期的百業(yè)蕭條,后疫情階段的復工復產(chǎn)呈現(xiàn)出了新的企業(yè)運營發(fā)展趨勢。一場突如其來的疫情,對于大多數(shù)企業(yè)都是致命的打擊,但是也有不少企業(yè)卻利用這次”機會”,通過把握企業(yè)的線上遠程辦公、在線服務模式開展的強烈需求,帶來新的發(fā)展機會。遠程辦公、在線會議、在線教育、網(wǎng)絡購物等應用的持續(xù)火熱,也說明了疫情對我們辦公、生活模式的改變還在持續(xù)推進。
然而,新興技術的發(fā)展和應用,所帶來的安全挑戰(zhàn)也來勢洶洶,如果缺少有效的防御手段,可想而知全球數(shù)據(jù)泄露的情況定有加劇之勢。正因如此,以”零信任”(ZT,Zero Trust)安全模型為基礎的全新架構開始被越來越多的企業(yè)付諸實踐。
舊邊界墻崩塌,”零信任”取而代之
2020年,亞信安全提出”安全定義邊界”理念,重點強調(diào)了以身份安全為基礎的數(shù)字化安全運營能力。這種能力,將不再以傳統(tǒng)的內(nèi)外網(wǎng)”邊界”作為信任的條件,而是以身份安全為基礎,聯(lián)動多層次多維的產(chǎn)品能力,構建”立體、聯(lián)動、可視” 的安全機制。而用戶要擁有這種能力的支撐點之一,就是”零信任”。
“零信任”與傳統(tǒng)的認證方式有何不同呢?從概念上講,零信任最早由市場研究機構Forrester在2010年左右提出,后經(jīng)Gartner和Forrester對其概念、應用場景、遷移方式進行了完善和補充。與傳統(tǒng)認證方式不同,ZT不信任網(wǎng)絡內(nèi)部和外部的任何人/設備/系統(tǒng),不信任傳統(tǒng)網(wǎng)絡邊界保護,不再區(qū)分傳統(tǒng)定義上的內(nèi)網(wǎng)、外網(wǎng)、公網(wǎng)、私網(wǎng),信任區(qū)域與非信任區(qū)域,統(tǒng)統(tǒng)一視同仁,先認證,次連接,再動態(tài)授權。
從場景上看,傳統(tǒng)的基于邊界的網(wǎng)絡安全架構某種程度上假設了內(nèi)網(wǎng)是安全的,或是默認外部訪問者通過防火墻、WAF、IPS等邊界安全產(chǎn)品審查之后也是安全的,是”一次認證”。
但是,在過去數(shù)年,被披露的數(shù)起重大數(shù)據(jù)泄露案件又是如何發(fā)生的呢?答案就是”身份冒用”,也就是說攻擊者使用了合法身份,機密數(shù)據(jù)自然對”他”百依百順。因此,也有了重要場景(例如:疫情之下的遠程辦公、供貨商之間的數(shù)據(jù)交換、線上金融交易)進行二次認證等安全機制約束,這就是”零信任”的雛形。
零信任并非對安全的顛覆。但隨著5G時代的到來,云網(wǎng)、虛擬化等新業(yè)務推倒傳統(tǒng)網(wǎng)絡邊界已為大勢所向。零信任的概念在十年后又再次火爆,究其原因,零信任可以建立企業(yè)全新的身份邊界,其價值在于控制對數(shù)據(jù)的訪問權限,而與數(shù)據(jù)所在的位置無關,與訪問發(fā)起者的位置無關。
零信任落地并非易事,”身份、持續(xù)、動態(tài)”是關鍵
零信任可以減少數(shù)據(jù)泄露、數(shù)據(jù)丟失事件的發(fā)生,拒絕未授權的訪問,因此在數(shù)據(jù)安全方面價值巨大。但零信任架構不是一個單一的網(wǎng)絡架構,而是一套網(wǎng)絡基礎設施設計和操作的指導原則。
為此,亞信安全認為應該以身份為基礎,持續(xù)進行信任評估和動態(tài)訪問控制,將各種安全產(chǎn)品、安全模塊整合起來,形成一個緊密耦合的安全體系,進而協(xié)助用戶構建安全的ICT基礎設施,保障應用和數(shù)據(jù)的安全性。
【亞信安全”零信任”安全管理體系】
· 以身份為基石
以身份為核心,是指業(yè)務身份。舉例來說,一個自然人,公安是權威源,身份證是合法憑據(jù),而不是靠人的名字來認證。而在零信任體系中,就是以身份為核心取代以賬號為核心。同時,不僅僅是人,設備、應用、服務、數(shù)據(jù)也需要建立唯一的、可信的身份,才能在整體過程中進行有效控制。
· 持續(xù)信任評估
不是以一次認證作為全過程的憑據(jù),而是一旦環(huán)境發(fā)生變化就要去驗證訪問者是不是真實可信的,從而避免了盜用身份、跨不同安全級別等風險。在具體實施中,就需要基于身份再次進行信任評估、基于環(huán)境的風險重新判定,基于行為的異常做出”檢測+響應+阻止”,進而全面降低攻擊者在網(wǎng)絡中橫向移動的風險(其代表就是APT攻擊)。
· 動態(tài)訪問控制
在不同層級的控制點(PEP)上進行零信任的訪問控制,這些控制點(PEP)不論是橫向還是縱向,都是連通聯(lián)動的。具體包括:
· 終端上的零信任控制負責檢測環(huán)境安全,對接入、環(huán)境進行控制;
· 應用網(wǎng)關在訪問者訪問業(yè)務系統(tǒng)時按身份和場景,對訪問身份和被訪資源之間的授權關系進行控制;
· 服務網(wǎng)關在前后臺之間,在數(shù)據(jù)交換API之間,按訪問身份和被訪資源之間的授權關系進行控制;
· 數(shù)據(jù)網(wǎng)關在數(shù)據(jù)被訪問時按訪問源頭身份進行控制。
萬物互聯(lián),零信任已為網(wǎng)安新能力
當前,各行各業(yè)都已經(jīng)進行或者正在進行數(shù)字化轉(zhuǎn)型,而無處不在的網(wǎng)絡又打破了傳統(tǒng)的企業(yè)邊界,擴大了攻擊者的攻擊面,將企業(yè)的關鍵數(shù)字資產(chǎn)暴露于各種攻擊火力之下,這已經(jīng)成為用戶在向數(shù)字化轉(zhuǎn)型中的主要障礙之一。
數(shù)字化時代,推動世界前進的動力是DT+5G+算力,但同時也離不開ST技術的保駕護航。在”認證一切、持續(xù)認證、環(huán)境感知”的理念,亞信安全提供了對人(自然人、法人等)、設備、應用、服務等全方面、泛在的身份管理體系,在終端層、網(wǎng)絡層、應用層、服務層、數(shù)據(jù)層多層級建立技術控制點(PEP),形成整體的零信任解決方案,這為用戶提供了一個完備、可落地的安全支撐體系。
