En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>零信任安全> 零信任內(nèi)網(wǎng)安全訪問(wèn)

零信任內(nèi)網(wǎng)安全訪問(wèn)

文章

2021-04-28瀏覽次數(shù):214

隨著互聯(lián)網(wǎng)的持續(xù)發(fā)展,便捷的共享方式極大地提高了企業(yè)的生產(chǎn)力和工作效率,但隨之也給企業(yè)內(nèi)網(wǎng)帶來(lái)了極大的安全隱患。企業(yè)內(nèi)網(wǎng)承載大量的核心資產(chǎn)和機(jī)密數(shù)據(jù),一旦受到攻擊可能會(huì)造成大量損失,因此,如何通過(guò)零信任內(nèi)網(wǎng)安全解決方案保障企業(yè)數(shù)據(jù)安全,加強(qiáng)企業(yè)信息化建設(shè),是提高企業(yè)信息安全管理水平的關(guān)鍵。

 

 

01

企業(yè)內(nèi)網(wǎng)安全面臨的問(wèn)題與挑戰(zhàn)

 

數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)字應(yīng)用是推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展的必要生產(chǎn)要素,其重要性日益凸顯。面對(duì)新基建的歷史機(jī)遇,隨著5G網(wǎng)絡(luò)、人工智能、工業(yè)互聯(lián)網(wǎng)等產(chǎn)業(yè)的成熟,移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)等新型應(yīng)用場(chǎng)景的持續(xù)推廣也隨之帶來(lái)了許多安全問(wèn)題,企業(yè)內(nèi)網(wǎng)安全面臨以下挑戰(zhàn):

 

 

針對(duì)企業(yè)網(wǎng)絡(luò)邊界的猛烈攻擊

攻擊者大量利用弱口令、口令爆破等慣用伎倆,在登錄過(guò)程中突破企業(yè)邊界、在傳輸過(guò)程中截獲或偽造登錄憑證。大型組織甚至國(guó)家發(fā)起的APT高級(jí)攻擊,還可以繞過(guò)或攻破企業(yè)網(wǎng)絡(luò)防護(hù)邊界在企業(yè)內(nèi)部進(jìn)行橫向訪問(wèn)。  

 

企業(yè)資源暴露程度大幅度增加

在非授權(quán)訪問(wèn)、員工無(wú)意犯錯(cuò)等情況下,“合法用戶(hù)”非法訪問(wèn)特定的業(yè)務(wù)和數(shù)據(jù)資源后,造成企業(yè)內(nèi)部數(shù)據(jù)泄漏,甚至可能發(fā)生內(nèi)部員工“獲取”管理員權(quán)限,導(dǎo)致更大范圍、更高級(jí)別的企業(yè)信息安全災(zāi)難性事故。

 

傳統(tǒng)安全防御體系已經(jīng)無(wú)法適應(yīng)安全管控需求

傳統(tǒng)的安全架構(gòu)以“縱深防御+邊界防御”為主,企業(yè)在成長(zhǎng)過(guò)程中,安全邊界逐步被打破,并徹底走向模糊化,基于邊界的安全防護(hù)體系逐漸失效,已經(jīng)難以適應(yīng)企業(yè)快速成長(zhǎng),難以應(yīng)對(duì)業(yè)務(wù)的快速變化。

 

 

02

企業(yè)內(nèi)網(wǎng)安全場(chǎng)景分析

 

企業(yè)內(nèi)部業(yè)務(wù)一方面實(shí)現(xiàn)了多部門(mén)、多平臺(tái)、多業(yè)務(wù)的數(shù)據(jù)融合;另一方面業(yè)務(wù)訪問(wèn)方面打破了業(yè)務(wù)之間、部門(mén)之間的網(wǎng)絡(luò)邊界,實(shí)現(xiàn)互通互訪。其主要的零信任業(yè)務(wù)場(chǎng)景包括:

 

企業(yè)分支機(jī)構(gòu)實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)

通常企業(yè)有一個(gè)總部和一個(gè)或多個(gè)位置分散的分支機(jī)構(gòu),這些機(jī)構(gòu)沒(méi)有由企業(yè)自有的物理網(wǎng)絡(luò)連接,員工可通過(guò)內(nèi)網(wǎng)訪問(wèn)企業(yè)內(nèi)部應(yīng)用,其應(yīng)用系統(tǒng)會(huì)暴露于各種安全威脅下,易受到各種形式的攻擊,包括暴力破解、DDoS、XSS和任何TLS漏洞。

 

企業(yè)內(nèi)部員工出差實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)

員工在出差過(guò)程中,經(jīng)常通過(guò)不同的環(huán)境或設(shè)備遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)網(wǎng)進(jìn)行公文處理、郵件收發(fā)或資料上傳下載,因不安全的環(huán)境和設(shè)備非常容易導(dǎo)致惡意軟件通過(guò)內(nèi)網(wǎng)進(jìn)行傳播,帶來(lái)巨大的安全風(fēng)險(xiǎn)。

 

企業(yè)運(yùn)維人員通過(guò)遠(yuǎn)程實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)

企業(yè)內(nèi)部運(yùn)維人員在非工作時(shí)間,為快速支持和解決業(yè)務(wù)的應(yīng)急問(wèn)題,需要通過(guò)遠(yuǎn)程訪問(wèn)后臺(tái)服務(wù)器的端口和訪問(wèn)權(quán)限進(jìn)行管理,而粗放式的端口授權(quán)和訪問(wèn)機(jī)制,導(dǎo)致攻擊者可快速掃描其服務(wù)器漏洞,增加了被攻擊風(fēng)險(xiǎn)。

 

企業(yè)內(nèi)部人員通過(guò)外網(wǎng)直接訪問(wèn)被暴露的應(yīng)用系統(tǒng)

一部分企業(yè)為方便應(yīng)用系統(tǒng)被全球用戶(hù)或分支機(jī)構(gòu)訪問(wèn),采取直接通過(guò)NAT方式映射至互聯(lián)網(wǎng),并開(kāi)通其訪問(wèn)端口和訪問(wèn)路徑,其安全隱患一是應(yīng)用系統(tǒng)無(wú)法應(yīng)對(duì)各種攻擊和病毒入侵,二是攻擊者使用DDoS等攻擊手段導(dǎo)致業(yè)務(wù)癱瘓。

 

 

03

零信任內(nèi)網(wǎng)安全解決方案

 

派拉零信任身份安全系統(tǒng)是基于“零信任”架構(gòu),集成賬戶(hù)管理、統(tǒng)一認(rèn)證、訪問(wèn)授權(quán)、集中審計(jì)、特權(quán)管理、應(yīng)用安全等,實(shí)現(xiàn)內(nèi)網(wǎng)安全管理功能和服務(wù)。

 

SDP方式實(shí)現(xiàn)BYOD分支機(jī)構(gòu)訪問(wèn)

基于零信任資源門(mén)戶(hù)部署方式,對(duì)用戶(hù)的自有設(shè)備實(shí)現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問(wèn),其中門(mén)戶(hù)網(wǎng)關(guān)可以是單個(gè)資源或資源集,并且不需要在客戶(hù)端設(shè)備安裝代理軟件。

圖片

 

SDP方式實(shí)現(xiàn)不支持BYOD分支機(jī)構(gòu)訪問(wèn)

基于零信任設(shè)備代理/網(wǎng)關(guān)部署方式,對(duì)用戶(hù)的非自有設(shè)備實(shí)現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問(wèn),其中每個(gè)資源都具備一個(gè)網(wǎng)關(guān),并且在客戶(hù)端設(shè)備安裝代理軟件。

圖片

 

SDP方式實(shí)現(xiàn)運(yùn)維管理及業(yè)務(wù)應(yīng)用遠(yuǎn)程訪問(wèn)

使用SDP網(wǎng)關(guān),針對(duì)運(yùn)維管理人員及企業(yè)內(nèi)部用戶(hù),通過(guò)遠(yuǎn)程訪問(wèn)或直接訪問(wèn)形式,首先進(jìn)行SPA單包認(rèn)證,只有用戶(hù)身份、訪問(wèn)權(quán)限和設(shè)備通過(guò)驗(yàn)證且可信,則建立相應(yīng)的TCP連接,同時(shí)開(kāi)放服務(wù)器運(yùn)維端口及應(yīng)用系統(tǒng)訪問(wèn)端口等權(quán)限。

圖片

 

使用微隔離技術(shù)加強(qiáng)企業(yè)內(nèi)部業(yè)務(wù)安全訪問(wèn)

通過(guò)新一代防火墻NGFW技術(shù),實(shí)現(xiàn)針對(duì)企業(yè)內(nèi)部以應(yīng)用維度進(jìn)行網(wǎng)絡(luò)隔離,主要包括兩種實(shí)現(xiàn)模式:

  • 第三方防火墻微隔離:通過(guò)第三方防火墻供應(yīng)商提供的虛擬防火墻進(jìn)行隔離,其特點(diǎn)包括具備豐富的安全能力、支持自動(dòng)化編排和豐富的分析報(bào)告;

圖片

 

  • 基于代理模式微隔離:通過(guò)使用將代理軟件部署至主機(jī)或虛擬機(jī)中,實(shí)現(xiàn)動(dòng)態(tài)方式控制代理主機(jī)間的通信和安全,其特點(diǎn)包括適用各種線下線下平臺(tái)、支持自動(dòng)化編排和安全策略的快速遷移。

圖片

 

 

企業(yè)內(nèi)部用戶(hù)身份管理與訪問(wèn)控制

通過(guò)對(duì)企業(yè)多身份源的統(tǒng)一、可信終端管控以及不同網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的安全管控,促進(jìn)企業(yè)對(duì)內(nèi)部、外部、客戶(hù)、消費(fèi)者、合作伙伴等不同群體和對(duì)象的管理。同時(shí)基于主體、客體和環(huán)境等層面的角色動(dòng)態(tài)管理和最小權(quán)限管控,滿(mǎn)足安全治理要求。通過(guò)AI風(fēng)險(xiǎn)分析與監(jiān)測(cè),動(dòng)態(tài)感知安全邊界的變化,更多的用戶(hù)通過(guò)手機(jī)、Pad等不同可信終端進(jìn)行業(yè)務(wù)訪問(wèn),進(jìn)一步擴(kuò)大安全管理邊界?;诳尚旁O(shè)備的準(zhǔn)入和身份鑒別,保障設(shè)備可信接入和安全環(huán)境的合規(guī)訪問(wèn)。

圖片

 

 

 

04

零信任內(nèi)網(wǎng)安全訪問(wèn)業(yè)務(wù)價(jià)值

 

構(gòu)建更安全的內(nèi)部安全網(wǎng)絡(luò)

通過(guò)實(shí)施“從不信任并始終驗(yàn)證”,不同類(lèi)型用戶(hù)只能按照預(yù)先確定的信任級(jí)別,訪問(wèn)預(yù)先申請(qǐng)的企業(yè)資源,未預(yù)先申請(qǐng)的企業(yè)資源將無(wú)法被訪問(wèn),阻止企業(yè)內(nèi)部“漫游”情況。

 

增強(qiáng)對(duì)企業(yè)應(yīng)用和數(shù)據(jù)的保護(hù)

在實(shí)施“按需受控訪問(wèn)”的基礎(chǔ)上,有效整合資源保護(hù)相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù),保護(hù)應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲(chǔ),并優(yōu)先保護(hù)高價(jià)值資源。

 

大面積減少攻擊企業(yè)內(nèi)部風(fēng)險(xiǎn)

用戶(hù)通過(guò)訪問(wèn)認(rèn)證之前,資源對(duì)用戶(hù)隱身;即便在用戶(hù)通過(guò)訪問(wèn)認(rèn)證和授權(quán),成功進(jìn)入網(wǎng)絡(luò)以后,零信任架構(gòu)也將阻止用戶(hù)漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了外部(互聯(lián)網(wǎng)可發(fā)現(xiàn))和內(nèi)部(內(nèi)部威脅)攻擊面。

 

縮減企業(yè)安全管理成本和建設(shè)成本

零信任架構(gòu)終結(jié)了安全防護(hù)手段各自為政的現(xiàn)狀,在零信任架構(gòu)實(shí)施時(shí),可以通過(guò)與現(xiàn)有工具的集成,大幅度降低零信任潛在建設(shè)成本。

 

 

據(jù)舊金山計(jì)算機(jī)安全研究所的統(tǒng)計(jì),60%到80%的網(wǎng)絡(luò)濫用事件來(lái)自?xún)?nèi)部網(wǎng)絡(luò),對(duì)內(nèi)部人的信任所造成的危害程度,遠(yuǎn)遠(yuǎn)超過(guò)黑客攻擊和病毒造成的損失。展望未來(lái),隨著網(wǎng)絡(luò)防護(hù)從傳統(tǒng)邊界安全理念向零信任理念演進(jìn),零信任將成為數(shù)字安全時(shí)代的主流架構(gòu)。