零信任內(nèi)網(wǎng)安全訪問

攻擊者大量利用弱口令、口令爆破等慣用伎倆，在登錄過程中突破企業(yè)邊界、在傳輸過程中截獲或偽造登錄憑證。大型組織甚至國家發(fā)起的APT高級攻擊，還可以繞過或攻破企業(yè)網(wǎng)絡(luò)防護邊界在企業(yè)內(nèi)部進行橫向訪問。  

在非授權(quán)訪問、員工無意犯錯等情況下，“合法用戶”非法訪問特定的業(yè)務(wù)和數(shù)據(jù)資源后，造成企業(yè)內(nèi)部數(shù)據(jù)泄漏，甚至可能發(fā)生內(nèi)部員工“獲取”管理員權(quán)限，導(dǎo)致更大范圍、更高級別的企業(yè)信息安全災(zāi)難性事故。

傳統(tǒng)的安全架構(gòu)以“縱深防御+邊界防御”為主，企業(yè)在成長過程中，安全邊界逐步被打破，并徹底走向模糊化，基于邊界的安全防護體系逐漸失效，已經(jīng)難以適應(yīng)企業(yè)快速成長，難以應(yīng)對業(yè)務(wù)的快速變化。

通常企業(yè)有一個總部和一個或多個位置分散的分支機構(gòu)，這些機構(gòu)沒有由企業(yè)自有的物理網(wǎng)絡(luò)連接，員工可通過內(nèi)網(wǎng)訪問企業(yè)內(nèi)部應(yīng)用，其應(yīng)用系統(tǒng)會暴露于各種安全威脅下，易受到各種形式的攻擊，包括暴力破解、DDoS、XSS和任何TLS漏洞。

員工在出差過程中，經(jīng)常通過不同的環(huán)境或設(shè)備遠程訪問企業(yè)內(nèi)網(wǎng)進行公文處理、郵件收發(fā)或資料上傳下載，因不安全的環(huán)境和設(shè)備非常容易導(dǎo)致惡意軟件通過內(nèi)網(wǎng)進行傳播，帶來巨大的安全風(fēng)險。

企業(yè)內(nèi)部運維人員在非工作時間，為快速支持和解決業(yè)務(wù)的應(yīng)急問題，需要通過遠程訪問后臺服務(wù)器的端口和訪問權(quán)限進行管理，而粗放式的端口授權(quán)和訪問機制，導(dǎo)致攻擊者可快速掃描其服務(wù)器漏洞，增加了被攻擊風(fēng)險。

一部分企業(yè)為方便應(yīng)用系統(tǒng)被全球用戶或分支機構(gòu)訪問，采取直接通過NAT方式映射至互聯(lián)網(wǎng)，并開通其訪問端口和訪問路徑，其安全隱患一是應(yīng)用系統(tǒng)無法應(yīng)對各種攻擊和病毒入侵，二是攻擊者使用DDoS等攻擊手段導(dǎo)致業(yè)務(wù)癱瘓。

基于零信任資源門戶部署方式，對用戶的自有設(shè)備實現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問，其中門戶網(wǎng)關(guān)可以是單個資源或資源集，并且不需要在客戶端設(shè)備安裝代理軟件。

基于零信任設(shè)備代理/網(wǎng)關(guān)部署方式，對用戶的非自有設(shè)備實現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問，其中每個資源都具備一個網(wǎng)關(guān)，并且在客戶端設(shè)備安裝代理軟件。

使用SDP網(wǎng)關(guān)，針對運維管理人員及企業(yè)內(nèi)部用戶，通過遠程訪問或直接訪問形式，首先進行SPA單包認(rèn)證，只有用戶身份、訪問權(quán)限和設(shè)備通過驗證且可信，則建立相應(yīng)的TCP連接，同時開放服務(wù)器運維端口及應(yīng)用系統(tǒng)訪問端口等權(quán)限。

通過新一代防火墻NGFW技術(shù),實現(xiàn)針對企業(yè)內(nèi)部以應(yīng)用維度進行網(wǎng)絡(luò)隔離，主要包括兩種實現(xiàn)模式：

• 第三方防火墻微隔離：通過第三方防火墻供應(yīng)商提供的虛擬防火墻進行隔離，其特點包括具備豐富的安全能力、支持自動化編排和豐富的分析報告；

• 基于代理模式微隔離：通過使用將代理軟件部署至主機或虛擬機中，實現(xiàn)動態(tài)方式控制代理主機間的通信和安全，其特點包括適用各種線下線下平臺、支持自動化編排和安全策略的快速遷移。

通過對企業(yè)多身份源的統(tǒng)一、可信終端管控以及不同網(wǎng)絡(luò)訪問場景的安全管控，促進企業(yè)對內(nèi)部、外部、客戶、消費者、合作伙伴等不同群體和對象的管理。同時基于主體、客體和環(huán)境等層面的角色動態(tài)管理和最小權(quán)限管控，滿足安全治理要求。通過AI風(fēng)險分析與監(jiān)測，動態(tài)感知安全邊界的變化，更多的用戶通過手機、Pad等不同可信終端進行業(yè)務(wù)訪問，進一步擴大安全管理邊界?；诳尚旁O(shè)備的準(zhǔn)入和身份鑒別，保障設(shè)備可信接入和安全環(huán)境的合規(guī)訪問。

通過實施“從不信任并始終驗證”，不同類型用戶只能按照預(yù)先確定的信任級別，訪問預(yù)先申請的企業(yè)資源，未預(yù)先申請的企業(yè)資源將無法被訪問，阻止企業(yè)內(nèi)部“漫游”情況。

在實施“按需受控訪問”的基礎(chǔ)上，有效整合資源保護相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù)，保護應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲，并優(yōu)先保護高價值資源。

用戶通過訪問認(rèn)證之前，資源對用戶隱身；即便在用戶通過訪問認(rèn)證和授權(quán)，成功進入網(wǎng)絡(luò)以后，零信任架構(gòu)也將阻止用戶漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了外部（互聯(lián)網(wǎng)可發(fā)現(xiàn)）和內(nèi)部（內(nèi)部威脅）攻擊面。

零信任架構(gòu)終結(jié)了安全防護手段各自為政的現(xiàn)狀，在零信任架構(gòu)實施時，可以通過與現(xiàn)有工具的集成，大幅度降低零信任潛在建設(shè)成本。