隨著互聯(lián)網(wǎng)的持續(xù)發(fā)展,便捷的共享方式極大地提高了企業(yè)的生產(chǎn)力和工作效率,但隨之也給企業(yè)內(nèi)網(wǎng)帶來了極大的安全隱患。企業(yè)內(nèi)網(wǎng)承載大量的核心資產(chǎn)和機(jī)密數(shù)據(jù),一旦受到攻擊可能會(huì)造成大量損失,因此,如何通過零信任內(nèi)網(wǎng)安全解決方案保障企業(yè)數(shù)據(jù)安全,加強(qiáng)企業(yè)信息化建設(shè),是提高企業(yè)信息安全管理水平的關(guān)鍵。
01
企業(yè)內(nèi)網(wǎng)安全面臨的問題與挑戰(zhàn)
數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)字應(yīng)用是推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展的必要生產(chǎn)要素,其重要性日益凸顯。面對新基建的歷史機(jī)遇,隨著5G網(wǎng)絡(luò)、人工智能、工業(yè)互聯(lián)網(wǎng)等產(chǎn)業(yè)的成熟,移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新型應(yīng)用場景的持續(xù)推廣也隨之帶來了許多安全問題,企業(yè)內(nèi)網(wǎng)安全面臨以下挑戰(zhàn):
攻擊者大量利用弱口令、口令爆破等慣用伎倆,在登錄過程中突破企業(yè)邊界、在傳輸過程中截獲或偽造登錄憑證。大型組織甚至國家發(fā)起的APT高級攻擊,還可以繞過或攻破企業(yè)網(wǎng)絡(luò)防護(hù)邊界在企業(yè)內(nèi)部進(jìn)行橫向訪問。
在非授權(quán)訪問、員工無意犯錯(cuò)等情況下,“合法用戶”非法訪問特定的業(yè)務(wù)和數(shù)據(jù)資源后,造成企業(yè)內(nèi)部數(shù)據(jù)泄漏,甚至可能發(fā)生內(nèi)部員工“獲取”管理員權(quán)限,導(dǎo)致更大范圍、更高級別的企業(yè)信息安全災(zāi)難性事故。
傳統(tǒng)的安全架構(gòu)以“縱深防御+邊界防御”為主,企業(yè)在成長過程中,安全邊界逐步被打破,并徹底走向模糊化,基于邊界的安全防護(hù)體系逐漸失效,已經(jīng)難以適應(yīng)企業(yè)快速成長,難以應(yīng)對業(yè)務(wù)的快速變化。
02
企業(yè)內(nèi)網(wǎng)安全場景分析
企業(yè)內(nèi)部業(yè)務(wù)一方面實(shí)現(xiàn)了多部門、多平臺、多業(yè)務(wù)的數(shù)據(jù)融合;另一方面業(yè)務(wù)訪問方面打破了業(yè)務(wù)之間、部門之間的網(wǎng)絡(luò)邊界,實(shí)現(xiàn)互通互訪。其主要的零信任業(yè)務(wù)場景包括:
通常企業(yè)有一個(gè)總部和一個(gè)或多個(gè)位置分散的分支機(jī)構(gòu),這些機(jī)構(gòu)沒有由企業(yè)自有的物理網(wǎng)絡(luò)連接,員工可通過內(nèi)網(wǎng)訪問企業(yè)內(nèi)部應(yīng)用,其應(yīng)用系統(tǒng)會(huì)暴露于各種安全威脅下,易受到各種形式的攻擊,包括暴力破解、DDoS、XSS和任何TLS漏洞。
員工在出差過程中,經(jīng)常通過不同的環(huán)境或設(shè)備遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)進(jìn)行公文處理、郵件收發(fā)或資料上傳下載,因不安全的環(huán)境和設(shè)備非常容易導(dǎo)致惡意軟件通過內(nèi)網(wǎng)進(jìn)行傳播,帶來巨大的安全風(fēng)險(xiǎn)。
企業(yè)內(nèi)部運(yùn)維人員在非工作時(shí)間,為快速支持和解決業(yè)務(wù)的應(yīng)急問題,需要通過遠(yuǎn)程訪問后臺服務(wù)器的端口和訪問權(quán)限進(jìn)行管理,而粗放式的端口授權(quán)和訪問機(jī)制,導(dǎo)致攻擊者可快速掃描其服務(wù)器漏洞,增加了被攻擊風(fēng)險(xiǎn)。
一部分企業(yè)為方便應(yīng)用系統(tǒng)被全球用戶或分支機(jī)構(gòu)訪問,采取直接通過NAT方式映射至互聯(lián)網(wǎng),并開通其訪問端口和訪問路徑,其安全隱患一是應(yīng)用系統(tǒng)無法應(yīng)對各種攻擊和病毒入侵,二是攻擊者使用DDoS等攻擊手段導(dǎo)致業(yè)務(wù)癱瘓。
03
零信任內(nèi)網(wǎng)安全解決方案
派拉零信任身份安全系統(tǒng)是基于“零信任”架構(gòu),集成賬戶管理、統(tǒng)一認(rèn)證、訪問授權(quán)、集中審計(jì)、特權(quán)管理、應(yīng)用安全等,實(shí)現(xiàn)內(nèi)網(wǎng)安全管理功能和服務(wù)。
基于零信任資源門戶部署方式,對用戶的自有設(shè)備實(shí)現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問,其中門戶網(wǎng)關(guān)可以是單個(gè)資源或資源集,并且不需要在客戶端設(shè)備安裝代理軟件。
基于零信任設(shè)備代理/網(wǎng)關(guān)部署方式,對用戶的非自有設(shè)備實(shí)現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問,其中每個(gè)資源都具備一個(gè)網(wǎng)關(guān),并且在客戶端設(shè)備安裝代理軟件。
使用SDP網(wǎng)關(guān),針對運(yùn)維管理人員及企業(yè)內(nèi)部用戶,通過遠(yuǎn)程訪問或直接訪問形式,首先進(jìn)行SPA單包認(rèn)證,只有用戶身份、訪問權(quán)限和設(shè)備通過驗(yàn)證且可信,則建立相應(yīng)的TCP連接,同時(shí)開放服務(wù)器運(yùn)維端口及應(yīng)用系統(tǒng)訪問端口等權(quán)限。
通過新一代防火墻NGFW技術(shù),實(shí)現(xiàn)針對企業(yè)內(nèi)部以應(yīng)用維度進(jìn)行網(wǎng)絡(luò)隔離,主要包括兩種實(shí)現(xiàn)模式:
第三方防火墻微隔離:通過第三方防火墻供應(yīng)商提供的虛擬防火墻進(jìn)行隔離,其特點(diǎn)包括具備豐富的安全能力、支持自動(dòng)化編排和豐富的分析報(bào)告;
基于代理模式微隔離:通過使用將代理軟件部署至主機(jī)或虛擬機(jī)中,實(shí)現(xiàn)動(dòng)態(tài)方式控制代理主機(jī)間的通信和安全,其特點(diǎn)包括適用各種線下線下平臺、支持自動(dòng)化編排和安全策略的快速遷移。
通過對企業(yè)多身份源的統(tǒng)一、可信終端管控以及不同網(wǎng)絡(luò)訪問場景的安全管控,促進(jìn)企業(yè)對內(nèi)部、外部、客戶、消費(fèi)者、合作伙伴等不同群體和對象的管理。同時(shí)基于主體、客體和環(huán)境等層面的角色動(dòng)態(tài)管理和最小權(quán)限管控,滿足安全治理要求。通過AI風(fēng)險(xiǎn)分析與監(jiān)測,動(dòng)態(tài)感知安全邊界的變化,更多的用戶通過手機(jī)、Pad等不同可信終端進(jìn)行業(yè)務(wù)訪問,進(jìn)一步擴(kuò)大安全管理邊界?;诳尚旁O(shè)備的準(zhǔn)入和身份鑒別,保障設(shè)備可信接入和安全環(huán)境的合規(guī)訪問。
04
零信任內(nèi)網(wǎng)安全訪問業(yè)務(wù)價(jià)值
通過實(shí)施“從不信任并始終驗(yàn)證”,不同類型用戶只能按照預(yù)先確定的信任級別,訪問預(yù)先申請的企業(yè)資源,未預(yù)先申請的企業(yè)資源將無法被訪問,阻止企業(yè)內(nèi)部“漫游”情況。
在實(shí)施“按需受控訪問”的基礎(chǔ)上,有效整合資源保護(hù)相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù),保護(hù)應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲(chǔ),并優(yōu)先保護(hù)高價(jià)值資源。
用戶通過訪問認(rèn)證之前,資源對用戶隱身;即便在用戶通過訪問認(rèn)證和授權(quán),成功進(jìn)入網(wǎng)絡(luò)以后,零信任架構(gòu)也將阻止用戶漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了外部(互聯(lián)網(wǎng)可發(fā)現(xiàn))和內(nèi)部(內(nèi)部威脅)攻擊面。
零信任架構(gòu)終結(jié)了安全防護(hù)手段各自為政的現(xiàn)狀,在零信任架構(gòu)實(shí)施時(shí),可以通過與現(xiàn)有工具的集成,大幅度降低零信任潛在建設(shè)成本。
據(jù)舊金山計(jì)算機(jī)安全研究所的統(tǒng)計(jì),60%到80%的網(wǎng)絡(luò)濫用事件來自內(nèi)部網(wǎng)絡(luò),對內(nèi)部人的信任所造成的危害程度,遠(yuǎn)遠(yuǎn)超過黑客攻擊和病毒造成的損失。展望未來,隨著網(wǎng)絡(luò)防護(hù)從傳統(tǒng)邊界安全理念向零信任理念演進(jìn),零信任將成為數(shù)字安全時(shí)代的主流架構(gòu)。