En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>零信任安全> 零信任互聯(lián)網安全訪問

零信任互聯(lián)網安全訪問

文章

2021-04-14瀏覽次數:201

“零信任 or VPN”

 

“零信任是解決安全問題的萬金油”

 

零信任一詞被頻繁提起......

 

互聯(lián)網安全邁入“新常態(tài)”

 

誰來保護網絡邊界安全?

 

 

 

移動互聯(lián)網時代已經來臨,隨著新一輪科技革命和產業(yè)變革深入發(fā)展,網絡安全邊界也逐漸變的模糊,因此,如何在信息化社會中保障內部數據安全成為當下企業(yè)所關注的重點。

 

 

01

企業(yè)面臨的問題與挑戰(zhàn)

 

隨著互聯(lián)網+的深入普及和信息技術的變革,越來越多的企業(yè)互聯(lián)網業(yè)務得以飛速發(fā)展,業(yè)務類型越來越多,包括移動業(yè)務、電商業(yè)務、網站信息業(yè)務等,服務用戶群體對象越來越多,包括手機用戶、PC用戶、社交用戶等,網絡安全邊界在不斷擴展的同時變得模糊甚至消失,企業(yè)的網絡安全問題隨著業(yè)務的發(fā)展而急劇增加,互聯(lián)網安全風險管控稱為企業(yè)管理的重要部分,其面臨的風險問題主要包括:

 

威脅面越來越大,防不勝防

 

程序漏洞;

 

惡意程序;

 

勒索病毒:WannaCry、Petya、Bad Rabbit;

 

 

威脅攻擊種類越來越多,疲于應付

 

單機威脅:感染式病毒、二進制攻擊;

 

網絡病毒與黑產:木馬、蠕蟲;

 

流氓軟件與灰產:間諜軟件、廣告軟件;

 

流量攻擊與敲詐:DDos、肉雞;

 

黑客攻擊:黑洞門、SRC;

 

高級威脅與勒索:黑客與病毒混合、漏洞與社會工程學;

 

終端種類越來越多,難于有效管理

 

PC終端;

 

移動終端;

 

物聯(lián)網終端;

 

工控互聯(lián)網終端;

 

 

安全防御體系錯綜復雜,需要聯(lián)動協(xié)作

 

OSI安全體系:分層結構防護;

 

P2DR:閉環(huán)動態(tài)模型;

 

IATF:分開部署安全保障機制;

 

IEC62443:縱深防御安全防護策略;

 

NSA CGSV2:安全保護與監(jiān)測能力整合;

 

NIST CSF:自身需求加強防御;

 

 

傳統(tǒng)安全防御體系無法適應5G、云計算和物聯(lián)網發(fā)展

 

傳統(tǒng)的安全以邊界防御為主,隨著安全邊界逐步被打破,安全防護體系逐漸失效,已經難以適應企業(yè)快速成長,難以應對業(yè)務的快速變化。

 

 

02

零信任應用場景分析

 

企業(yè)互聯(lián)網業(yè)務類型多且提供服務的觸點方式多種多樣,其主要的零信任互聯(lián)網業(yè)務場景包括以下4部分:

 

應用與服務直接暴露至互聯(lián)網訪問

 

企業(yè)通過復雜和繁瑣的網絡邊界防火墻策略及設置,將信息系統(tǒng)和數據直接暴露至互聯(lián)網提供服務,業(yè)務一旦發(fā)生變化和變更,安全防護策略需要進行大量手工調整,不利于業(yè)務的敏捷性管理。

 

基于云服務方式提供互聯(lián)網訪問

 

企業(yè)在面向消費者或跨區(qū)域跨地域的持續(xù)業(yè)務運作中,通常將信息系統(tǒng)和服務轉向使用單云托管或多云托管方式,意味著依靠企業(yè)邊界的安全性成為一種負擔和挑戰(zhàn),云上數據和服務面臨更多可能性的入侵攻擊、病毒破壞和數據竊取的安全風險。

 

非企業(yè)人員通過互聯(lián)網遠程訪問

 

企業(yè)通常將有限訪問的資源提供給進行工作的現場訪問者或服務提供商,主要包括外包運維人員、服務人員等,而這類人員通過互聯(lián)網遠程進行服務的提供,包括企業(yè)信息系統(tǒng)維護、數據庫的管理和服務器的調優(yōu)等。

 

企業(yè)與企業(yè)之間的業(yè)務開放與協(xié)助

 

越來越多的企業(yè)會涉及跨業(yè)務協(xié)助或項目合作,如企業(yè)的生產訂單需要第三方企業(yè)進行供應鏈協(xié)助,需要生產系統(tǒng)與供應鏈系統(tǒng)的連通;如某重要項目涉及多個企業(yè)的項目成員,需要相互進行業(yè)務訪問和數據的操作等,這些跨企業(yè)邊界的協(xié)助同樣面臨安全風險的巨大挑戰(zhàn)。

 

 

03

零信任互聯(lián)網安全解決方案

 

派拉零信任身份安全系統(tǒng)是基于“零信任”架構,集成賬戶管理、統(tǒng)一認證、訪問授權、集中審計、特權管理、應用安全等,實現互聯(lián)網安全訪問與信息服務。

 

SDP服務構建互聯(lián)網業(yè)務隱身和安全防護

 

采用SDP方式,通過SPA單包認證、MTLS雙向加密技術,所有互聯(lián)網業(yè)務訪問請求通過SDP網關進行連接和授權,同時所有互聯(lián)網業(yè)務端口和訪問地址默認不開放,只有通過授權和認證的請求并且其訪問資源符合的情況建立業(yè)務連接。

圖片

 

增強身份管理技術提升互聯(lián)網用戶安全訪問

 

建立互聯(lián)網用戶體系的身份管理體系,包括外包人員、供應商、消費者、合作伙伴等用戶群體,同時將企業(yè)的互聯(lián)網業(yè)務納入到身份管理平臺進行認證、授權、風險、審計的集中管控,確保來自于用戶或終端的訪問身份和請求符合企業(yè)的管理要求和策略匹配。

圖片

 

微隔離方式保障云上數據與服務安全管控

 

云上SaaS應用采用設備應用沙箱隔離模式部署,通過分配虛擬機隔離或使用防火墻設置隔離區(qū)域,對外服務接口采用API網關服務實現。

圖片

 

SDP服務打造安全互聯(lián)網企業(yè)協(xié)助與業(yè)務融合

 

為實現企業(yè)間的協(xié)助和業(yè)務訪問,分別通過身份管理技術對企業(yè)的聯(lián)合ID主體身份進行注冊和授權配置,保障企業(yè)身份合法和權限合規(guī),同時通過企業(yè)網絡托管或云上托管方式,讓企業(yè)間的網絡訪問通過SDP網關進行網絡連接,遵循先認證后連接的零信任安全機制,確保業(yè)務互訪互聯(lián)的安全性。

圖片

 

 

04

零信任互聯(lián)網安全訪問業(yè)務價值

 

增強對企業(yè)互聯(lián)網應用和數據的保護

 

在實施“按需受控訪問”的基礎上,有效整合資源保護相關的數據加密、網絡分段、數據防泄露等技術,保護應用資源、數據在網絡中的傳輸和存儲,并優(yōu)先保護高價值資源。

 

大面積減小攻擊企業(yè)外部風險

 

互聯(lián)網用戶通過訪問認證之前,資源對用戶隱身;即便在用戶通過訪問認證和授權,成功進入網絡以后,零信任架構也將阻止用戶漫游到未經授權的區(qū)域。零信任思維從根本上降低了互聯(lián)網攻擊面。

 

縮減企業(yè)安全管理成本和建設成本

 

零信任架構終結了安全防護手段各自為政的現狀,在零信任架構實施時,可以通過與現有工具的集成,大幅度降低零信任潛在建設成本。

 

 

作為一種全新的理念和架構,零信任對企業(yè)的安全建設和訪問控制進行高強度的安全保護,使企業(yè)數據“隱身”于互聯(lián)網之中,讓黑客無從發(fā)起攻擊,從而實現真正的互聯(lián)互通。