En 400-6655-581
5
返回列表
> 資源中心 > 零信任互聯(lián)網(wǎng)安全訪(fǎng)問(wèn)

零信任互聯(lián)網(wǎng)安全訪(fǎng)問(wèn)

2021-04-14瀏覽次數(shù):3893

“零信任 or VPN”

 

“零信任是解決安全問(wèn)題的萬(wàn)金油”

 

零信任一詞被頻繁提起......

 

互聯(lián)網(wǎng)安全邁入“新常態(tài)”

 

誰(shuí)來(lái)保護(hù)網(wǎng)絡(luò)邊界安全?

 

圖片

 

移動(dòng)互聯(lián)網(wǎng)時(shí)代已經(jīng)來(lái)臨,隨著新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展,網(wǎng)絡(luò)安全邊界也逐漸變的模糊,因此,如何在信息化社會(huì)中保障內(nèi)部數(shù)據(jù)安全成為當(dāng)下企業(yè)所關(guān)注的重點(diǎn)。

 

 

01

企業(yè)面臨的問(wèn)題與挑戰(zhàn)

 

隨著互聯(lián)網(wǎng)+的深入普及和信息技術(shù)的變革,越來(lái)越多的企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)得以飛速發(fā)展,業(yè)務(wù)類(lèi)型越來(lái)越多,包括移動(dòng)業(yè)務(wù)、電商業(yè)務(wù)、網(wǎng)站信息業(yè)務(wù)等,服務(wù)用戶(hù)群體對(duì)象越來(lái)越多,包括手機(jī)用戶(hù)、PC用戶(hù)、社交用戶(hù)等,網(wǎng)絡(luò)安全邊界在不斷擴(kuò)展的同時(shí)變得模糊甚至消失,企業(yè)的網(wǎng)絡(luò)安全問(wèn)題隨著業(yè)務(wù)的發(fā)展而急劇增加,互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)管控稱(chēng)為企業(yè)管理的重要部分,其面臨的風(fēng)險(xiǎn)問(wèn)題主要包括:

 

威脅面越來(lái)越大,防不勝防

 

程序漏洞;

 

惡意程序;

 

勒索病毒:WannaCry、Petya、Bad Rabbit;

 

 

威脅攻擊種類(lèi)越來(lái)越多,疲于應(yīng)付

 

單機(jī)威脅:感染式病毒、二進(jìn)制攻擊;

 

網(wǎng)絡(luò)病毒與黑產(chǎn):木馬、蠕蟲(chóng);

 

流氓軟件與灰產(chǎn):間諜軟件、廣告軟件;

 

流量攻擊與敲詐:DDos、肉雞;

 

黑客攻擊:黑洞門(mén)、SRC;

 

高級(jí)威脅與勒索:黑客與病毒混合、漏洞與社會(huì)工程學(xué);

 

終端種類(lèi)越來(lái)越多,難于有效管理

 

PC終端;

 

移動(dòng)終端;

 

物聯(lián)網(wǎng)終端;

 

工控互聯(lián)網(wǎng)終端;

 

 

安全防御體系錯(cuò)綜復(fù)雜,需要聯(lián)動(dòng)協(xié)作

 

OSI安全體系:分層結(jié)構(gòu)防護(hù);

 

P2DR:閉環(huán)動(dòng)態(tài)模型;

 

IATF:分開(kāi)部署安全保障機(jī)制;

 

IEC62443:縱深防御安全防護(hù)策略;

 

NSA CGSV2:安全保護(hù)與監(jiān)測(cè)能力整合;

 

NIST CSF:自身需求加強(qiáng)防御;

 

 

傳統(tǒng)安全防御體系無(wú)法適應(yīng)5G、云計(jì)算和物聯(lián)網(wǎng)發(fā)展

 

傳統(tǒng)的安全以邊界防御為主,隨著安全邊界逐步被打破,安全防護(hù)體系逐漸失效,已經(jīng)難以適應(yīng)企業(yè)快速成長(zhǎng),難以應(yīng)對(duì)業(yè)務(wù)的快速變化。

 

 

02

零信任應(yīng)用場(chǎng)景分析

 

企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)類(lèi)型多且提供服務(wù)的觸點(diǎn)方式多種多樣,其主要的零信任互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景包括以下4部分:

 

應(yīng)用與服務(wù)直接暴露至互聯(lián)網(wǎng)訪(fǎng)問(wèn)

 

企業(yè)通過(guò)復(fù)雜和繁瑣的網(wǎng)絡(luò)邊界防火墻策略及設(shè)置,將信息系統(tǒng)和數(shù)據(jù)直接暴露至互聯(lián)網(wǎng)提供服務(wù),業(yè)務(wù)一旦發(fā)生變化和變更,安全防護(hù)策略需要進(jìn)行大量手工調(diào)整,不利于業(yè)務(wù)的敏捷性管理。

 

基于云服務(wù)方式提供互聯(lián)網(wǎng)訪(fǎng)問(wèn)

 

企業(yè)在面向消費(fèi)者或跨區(qū)域跨地域的持續(xù)業(yè)務(wù)運(yùn)作中,通常將信息系統(tǒng)和服務(wù)轉(zhuǎn)向使用單云托管或多云托管方式,意味著依靠企業(yè)邊界的安全性成為一種負(fù)擔(dān)和挑戰(zhàn),云上數(shù)據(jù)和服務(wù)面臨更多可能性的入侵攻擊、病毒破壞和數(shù)據(jù)竊取的安全風(fēng)險(xiǎn)。

 

非企業(yè)人員通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程訪(fǎng)問(wèn)

 

企業(yè)通常將有限訪(fǎng)問(wèn)的資源提供給進(jìn)行工作的現(xiàn)場(chǎng)訪(fǎng)問(wèn)者或服務(wù)提供商,主要包括外包運(yùn)維人員、服務(wù)人員等,而這類(lèi)人員通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程進(jìn)行服務(wù)的提供,包括企業(yè)信息系統(tǒng)維護(hù)、數(shù)據(jù)庫(kù)的管理和服務(wù)器的調(diào)優(yōu)等。

 

企業(yè)與企業(yè)之間的業(yè)務(wù)開(kāi)放與協(xié)助

 

越來(lái)越多的企業(yè)會(huì)涉及跨業(yè)務(wù)協(xié)助或項(xiàng)目合作,如企業(yè)的生產(chǎn)訂單需要第三方企業(yè)進(jìn)行供應(yīng)鏈協(xié)助,需要生產(chǎn)系統(tǒng)與供應(yīng)鏈系統(tǒng)的連通;如某重要項(xiàng)目涉及多個(gè)企業(yè)的項(xiàng)目成員,需要相互進(jìn)行業(yè)務(wù)訪(fǎng)問(wèn)和數(shù)據(jù)的操作等,這些跨企業(yè)邊界的協(xié)助同樣面臨安全風(fēng)險(xiǎn)的巨大挑戰(zhàn)。

 

 

03

零信任互聯(lián)網(wǎng)安全解決方案

 

派拉零信任身份安全系統(tǒng)是基于“零信任”架構(gòu),集成賬戶(hù)管理、統(tǒng)一認(rèn)證、訪(fǎng)問(wèn)授權(quán)、集中審計(jì)、特權(quán)管理、應(yīng)用安全等,實(shí)現(xiàn)互聯(lián)網(wǎng)安全訪(fǎng)問(wèn)與信息服務(wù)。

 

SDP服務(wù)構(gòu)建互聯(lián)網(wǎng)業(yè)務(wù)隱身和安全防護(hù)

 

采用SDP方式,通過(guò)SPA單包認(rèn)證、MTLS雙向加密技術(shù),所有互聯(lián)網(wǎng)業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求通過(guò)SDP網(wǎng)關(guān)進(jìn)行連接和授權(quán),同時(shí)所有互聯(lián)網(wǎng)業(yè)務(wù)端口和訪(fǎng)問(wèn)地址默認(rèn)不開(kāi)放,只有通過(guò)授權(quán)和認(rèn)證的請(qǐng)求并且其訪(fǎng)問(wèn)資源符合的情況建立業(yè)務(wù)連接。

圖片

 

增強(qiáng)身份管理技術(shù)提升互聯(lián)網(wǎng)用戶(hù)安全訪(fǎng)問(wèn)

 

建立互聯(lián)網(wǎng)用戶(hù)體系的身份管理體系,包括外包人員、供應(yīng)商、消費(fèi)者、合作伙伴等用戶(hù)群體,同時(shí)將企業(yè)的互聯(lián)網(wǎng)業(yè)務(wù)納入到身份管理平臺(tái)進(jìn)行認(rèn)證、授權(quán)、風(fēng)險(xiǎn)、審計(jì)的集中管控,確保來(lái)自于用戶(hù)或終端的訪(fǎng)問(wèn)身份和請(qǐng)求符合企業(yè)的管理要求和策略匹配。

圖片

 

微隔離方式保障云上數(shù)據(jù)與服務(wù)安全管控

 

云上SaaS應(yīng)用采用設(shè)備應(yīng)用沙箱隔離模式部署,通過(guò)分配虛擬機(jī)隔離或使用防火墻設(shè)置隔離區(qū)域,對(duì)外服務(wù)接口采用API網(wǎng)關(guān)服務(wù)實(shí)現(xiàn)。

圖片

 

SDP服務(wù)打造安全互聯(lián)網(wǎng)企業(yè)協(xié)助與業(yè)務(wù)融合

 

為實(shí)現(xiàn)企業(yè)間的協(xié)助和業(yè)務(wù)訪(fǎng)問(wèn),分別通過(guò)身份管理技術(shù)對(duì)企業(yè)的聯(lián)合ID主體身份進(jìn)行注冊(cè)和授權(quán)配置,保障企業(yè)身份合法和權(quán)限合規(guī),同時(shí)通過(guò)企業(yè)網(wǎng)絡(luò)托管或云上托管方式,讓企業(yè)間的網(wǎng)絡(luò)訪(fǎng)問(wèn)通過(guò)SDP網(wǎng)關(guān)進(jìn)行網(wǎng)絡(luò)連接,遵循先認(rèn)證后連接的零信任安全機(jī)制,確保業(yè)務(wù)互訪(fǎng)互聯(lián)的安全性。

圖片

 

 

04

零信任互聯(lián)網(wǎng)安全訪(fǎng)問(wèn)業(yè)務(wù)價(jià)值

 

增強(qiáng)對(duì)企業(yè)互聯(lián)網(wǎng)應(yīng)用和數(shù)據(jù)的保護(hù)

 

在實(shí)施“按需受控訪(fǎng)問(wèn)”的基礎(chǔ)上,有效整合資源保護(hù)相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù),保護(hù)應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲(chǔ),并優(yōu)先保護(hù)高價(jià)值資源。

 

大面積減小攻擊企業(yè)外部風(fēng)險(xiǎn)

 

互聯(lián)網(wǎng)用戶(hù)通過(guò)訪(fǎng)問(wèn)認(rèn)證之前,資源對(duì)用戶(hù)隱身;即便在用戶(hù)通過(guò)訪(fǎng)問(wèn)認(rèn)證和授權(quán),成功進(jìn)入網(wǎng)絡(luò)以后,零信任架構(gòu)也將阻止用戶(hù)漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了互聯(lián)網(wǎng)攻擊面。

 

縮減企業(yè)安全管理成本和建設(shè)成本

 

零信任架構(gòu)終結(jié)了安全防護(hù)手段各自為政的現(xiàn)狀,在零信任架構(gòu)實(shí)施時(shí),可以通過(guò)與現(xiàn)有工具的集成,大幅度降低零信任潛在建設(shè)成本。

 

 

作為一種全新的理念和架構(gòu),零信任對(duì)企業(yè)的安全建設(shè)和訪(fǎng)問(wèn)控制進(jìn)行高強(qiáng)度的安全保護(hù),使企業(yè)數(shù)據(jù)“隱身”于互聯(lián)網(wǎng)之中,讓黑客無(wú)從發(fā)起攻擊,從而實(shí)現(xiàn)真正的互聯(lián)互通。