隨著業(yè)務(wù)全球化趨勢(shì)擴(kuò)展,越來(lái)越多企業(yè)的業(yè)務(wù)架構(gòu)開(kāi)始呈現(xiàn)分散的狀態(tài),遠(yuǎn)程辦公成為當(dāng)下的主旋律。但在遠(yuǎn)程辦公過(guò)程中,辦公設(shè)備、網(wǎng)絡(luò)環(huán)境等都發(fā)生了改變,因此,如何更好的保障企業(yè)內(nèi)部應(yīng)用數(shù)據(jù)安全,成為各個(gè)企業(yè)所關(guān)注的熱點(diǎn)。
遠(yuǎn)程辦公嚴(yán)峻形勢(shì)與挑戰(zhàn)
根據(jù)相關(guān)數(shù)據(jù),遠(yuǎn)程辦公需求在2020年初迎來(lái)爆發(fā)式增長(zhǎng),超兩億職場(chǎng)人士在線(xiàn)協(xié)同辦公。同時(shí),隨著企業(yè)的全球化、以及互聯(lián)網(wǎng)等新技術(shù)的發(fā)展,越來(lái)越多的企業(yè)在全球各地開(kāi)展業(yè)務(wù),開(kāi)設(shè)分支辦事處,員工分散在全球各地、頻繁外出、出差,需要訪(fǎng)問(wèn)企業(yè)的系統(tǒng)進(jìn)行遠(yuǎn)程辦公,而遠(yuǎn)程辦公模式的常態(tài)化,也給企業(yè)的數(shù)據(jù)安全帶來(lái)了一定的挑戰(zhàn)。
接入人員和設(shè)備的多樣性增加
員工、外包人員、合作伙伴等各類(lèi)人員,使用家用PC、個(gè)人移動(dòng)終端、企業(yè)管理設(shè)備等,從任何時(shí)間、任何地點(diǎn)遠(yuǎn)程訪(fǎng)問(wèn)業(yè)務(wù)。各種接入人員的身份和權(quán)限管理混亂,弱密碼屢禁不止;接入設(shè)備的安全性參差不齊,接入程序漏洞無(wú)法避免等,帶來(lái)極大的風(fēng)險(xiǎn)。
企業(yè)資源暴露程度大幅度增加
企業(yè)資源可能位于企業(yè)內(nèi)網(wǎng)服務(wù)器,也可能被企業(yè)托管在公有云上的數(shù)據(jù)中心;企業(yè)服務(wù)通常需要在不同的服務(wù)器之間交互,包括部署在內(nèi)網(wǎng)、公有云、私有云中的服務(wù)器。一個(gè)典型的場(chǎng)景,公有云上的網(wǎng)站服務(wù)器與內(nèi)網(wǎng)應(yīng)用程序服務(wù)器通信后,應(yīng)用程序服務(wù)器檢索獲得內(nèi)網(wǎng)數(shù)據(jù),返回給網(wǎng)站服務(wù)器。資源信息基礎(chǔ)設(shè)施與應(yīng)用服務(wù)之間的關(guān)系越復(fù)雜,引入的系統(tǒng)風(fēng)險(xiǎn)越高。
數(shù)據(jù)泄露和濫用風(fēng)險(xiǎn)大幅增加
在遠(yuǎn)程辦公過(guò)程中,企業(yè)的業(yè)務(wù)數(shù)據(jù)會(huì)在不同的人員、設(shè)備、系統(tǒng)之間頻繁流動(dòng),原本只能存放于企業(yè)數(shù)據(jù)中心的數(shù)據(jù)也不得不面臨在員工個(gè)人終端留存的問(wèn)題。同時(shí),數(shù)據(jù)移動(dòng)增加了數(shù)據(jù)“意外”泄露的風(fēng)險(xiǎn),安全措施相對(duì)較弱的智能手機(jī)頻繁訪(fǎng)問(wèn)企業(yè)數(shù)據(jù)也將對(duì)企業(yè)數(shù)據(jù)的機(jī)密性造成威脅。
零信任遠(yuǎn)程辦公場(chǎng)景分析
近年來(lái)外部攻擊的規(guī)模、手段、目標(biāo)等都在演化,有組織的、武器化的、以數(shù)據(jù)及業(yè)務(wù)為攻擊目標(biāo)的高級(jí)持續(xù)攻擊屢見(jiàn)不鮮。利用遠(yuǎn)程辦公找到漏洞,突破企業(yè)邊界后進(jìn)行橫向移動(dòng)訪(fǎng)問(wèn),成為最常見(jiàn)和最有效的攻擊手段之一。
常見(jiàn)遠(yuǎn)程接入的方式主要有兩種,一種是通過(guò)端口映射將業(yè)務(wù)系統(tǒng)直接在公網(wǎng)上開(kāi)放;另一種是使用VPN打通遠(yuǎn)程網(wǎng)絡(luò)通道。各組織都在對(duì)自己的安全邊界進(jìn)行“加固”,盡量使用VPN遠(yuǎn)程接入而非直接開(kāi)放業(yè)務(wù)端口,增強(qiáng)威脅檢測(cè)的能力等等。然而,這些手段基本上可以視作是傳統(tǒng)的邊界安全方案上的單點(diǎn)增強(qiáng),難以系統(tǒng)性緩解遠(yuǎn)程移動(dòng)辦公帶來(lái)的安全威脅。攻擊者可以輕易利用弱密碼破解或撞庫(kù),通過(guò)VPN進(jìn)入內(nèi)網(wǎng),甚至可以利用VPN漏洞、業(yè)務(wù)系統(tǒng)漏洞直接進(jìn)行滲透,突破企業(yè)邊界,最終竊取有價(jià)值的數(shù)據(jù)資產(chǎn)。
零信任安全架構(gòu)針對(duì)遠(yuǎn)程辦公應(yīng)用場(chǎng)景,不再采用持續(xù)強(qiáng)化邊界的思維,不區(qū)分內(nèi)外網(wǎng),針對(duì)核心業(yè)務(wù)和數(shù)據(jù)資產(chǎn),梳理訪(fǎng)問(wèn)這些資產(chǎn)的各種訪(fǎng)問(wèn)路徑和場(chǎng)景,在人員、設(shè)備和業(yè)務(wù)之間構(gòu)建一張?zhí)摂M的、 基于身份的邏輯邊界,針對(duì)各種場(chǎng)景構(gòu)建一體化的零信任動(dòng)態(tài)訪(fǎng)問(wèn)控制體系.
零信任遠(yuǎn)程辦公解決方案
派拉零信任身份安全系統(tǒng)是基于“零信任”架構(gòu),集成賬戶(hù)管理、統(tǒng)一認(rèn)證、訪(fǎng)問(wèn)授權(quán)、集中審計(jì)、特權(quán)管理、應(yīng)用安全等,實(shí)現(xiàn)遠(yuǎn)程辦公安全管理功能和服務(wù)。
SDP實(shí)現(xiàn)遠(yuǎn)程服務(wù)隱私與減少攻擊
SDP旨在通過(guò)軟件的方式,在移動(dòng)+云的時(shí)代背景下,為企業(yè)構(gòu)建起一個(gè)虛擬邊界,利用基于身份的訪(fǎng)問(wèn)控制機(jī)制,通過(guò)完備的權(quán)限認(rèn)證機(jī)制,為企業(yè)應(yīng)用和服務(wù)提供隱身保護(hù),使網(wǎng)絡(luò)黑客因看不到目標(biāo)而無(wú)法對(duì)企業(yè)的資源發(fā)動(dòng)攻擊,有效保護(hù)企業(yè)的數(shù)據(jù)安全,核心功能包括SPA單包認(rèn)證、MTLS雙向加密、網(wǎng)絡(luò)代理、風(fēng)險(xiǎn)控制、資源隱藏等。
SDP取代傳統(tǒng)VPN方式遠(yuǎn)程接入
階段一:對(duì)設(shè)備、賬號(hào)、應(yīng)用的信任鏈進(jìn)行鑒權(quán),通過(guò)后建立SSL雙向加密會(huì)話(huà);
階段二:每一次對(duì)資源的請(qǐng)求,需要重走鑒權(quán)階段進(jìn)行重新鑒權(quán),如果過(guò)程中發(fā)現(xiàn)變化會(huì)禁止對(duì)資源的訪(fǎng)問(wèn),資源訪(fǎng)問(wèn)方式由web網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。
SDP方式實(shí)現(xiàn)取代傳統(tǒng)VPN方式遠(yuǎn)程接入模式不再僅基于網(wǎng)絡(luò)邊界進(jìn)行信任訪(fǎng)問(wèn),而以用戶(hù)為中心進(jìn)行賬號(hào)、設(shè)備、應(yīng)用的權(quán)限關(guān)系進(jìn)行安全考量,其SDP優(yōu)勢(shì)主要體現(xiàn)在以下方面:
對(duì)比項(xiàng)
|
傳統(tǒng)模式VPN |
SDP |
架構(gòu)
|
網(wǎng)絡(luò)為中心 |
以用戶(hù)為 中心 |
可配置性
|
單獨(dú)配置 |
可統(tǒng)一配 置 |
可訪(fǎng)問(wèn)性
|
一經(jīng)接入,對(duì)網(wǎng)絡(luò)有全部許可,完全基于權(quán)限訪(fǎng)問(wèn)資源 |
僅限于可訪(fǎng)問(wèn)的應(yīng)用,其它資源不可見(jiàn)
|
可擴(kuò)展性
|
需采購(gòu)大量設(shè)備和許可 |
無(wú)需昂貴設(shè)備 |
可管理性
|
復(fù)雜,需要處理不同的防火墻和VPN接入策略 |
簡(jiǎn)單,集中統(tǒng)一管理接入策略
|
成本
|
高 |
低 |
SDP實(shí)現(xiàn)移動(dòng)設(shè)備及應(yīng)用遠(yuǎn)程接入
移動(dòng)設(shè)備及應(yīng)用通過(guò)SPD網(wǎng)關(guān)實(shí)現(xiàn)認(rèn)證接入,主要由API網(wǎng)關(guān)進(jìn)行設(shè)備信息的認(rèn)證、被訪(fǎng)問(wèn)移動(dòng)應(yīng)用的權(quán)限鑒別和風(fēng)險(xiǎn)分析;
被訪(fǎng)問(wèn)移動(dòng)應(yīng)用主要針對(duì)統(tǒng)一移動(dòng)門(mén)戶(hù)、獨(dú)立APP、H5頁(yè)面進(jìn)行業(yè)務(wù)邏輯關(guān)系的微隔離分組,確保東西流量的安全保障機(jī)制。
SDP實(shí)現(xiàn)運(yùn)維管理應(yīng)用遠(yuǎn)程接入
使用SDP,運(yùn)維管理人員可以由運(yùn)維網(wǎng)關(guān)安全的向經(jīng)過(guò)認(rèn)證和授權(quán)的選定業(yè)務(wù)用戶(hù)開(kāi)放服務(wù)器端口(如22、23、3389等端口),對(duì)于其它用戶(hù),服務(wù)器則保持不可見(jiàn);
使用SDP,可減少維護(hù)VDI基礎(chǔ)架構(gòu)的成本,為運(yùn)維管理人員節(jié)省日常遠(yuǎn)程登錄桌面的步驟, IT基礎(chǔ)設(shè)施的預(yù)算也隨之減少。
遠(yuǎn)程辦公用戶(hù)身份管理與訪(fǎng)問(wèn)控制
用戶(hù)信息的創(chuàng)建、刪除、禁用/恢復(fù)、信息修改、口令設(shè)置、信息查詢(xún)等功能;支持模糊查詢(xún);支持用戶(hù)信息的導(dǎo)入、導(dǎo)出;可與內(nèi)部流程管理平臺(tái)集成。IAM平臺(tái)通過(guò)與上游人事系統(tǒng)的無(wú)縫對(duì)接定期同步人員變更(入職、變更、離職)的信息,并通過(guò)IAM平臺(tái)實(shí)現(xiàn)集中對(duì)外部用戶(hù)的管理,達(dá)到構(gòu)建權(quán)威人員身份數(shù)據(jù)源的目的。實(shí)現(xiàn)以人為中心對(duì)員工入職,崗位調(diào)整,離職,外部用戶(hù)的入場(chǎng)、離場(chǎng)等對(duì)應(yīng)的身份生命周期的統(tǒng)一管理。
通過(guò)統(tǒng)一訪(fǎng)問(wèn)控制,各應(yīng)用系統(tǒng)實(shí)現(xiàn)用戶(hù)統(tǒng)一認(rèn)證與控制,要能夠提供統(tǒng)一的認(rèn)證方式和認(rèn)證等級(jí)的管理;不同認(rèn)證方式下的不同種類(lèi)的認(rèn)證憑證管理(靜態(tài)口令、動(dòng)態(tài)口令、證書(shū)等),包括認(rèn)證憑證的完整的生命周期管理和用戶(hù)使用認(rèn)證憑證的管理流程;提供與認(rèn)證相關(guān)的統(tǒng)一的認(rèn)證策略,以滿(mǎn)足不同系統(tǒng)認(rèn)證服務(wù)的業(yè)務(wù)規(guī)則的需要。
遠(yuǎn)程辦公用戶(hù)身份一體化權(quán)限管理
提供完整的模型體系,支持RBAC、ACL、ABAC、TBAC等多種權(quán)限模型,實(shí)現(xiàn)訪(fǎng)問(wèn)控制的主體、客體、環(huán)境、行為的相關(guān)屬性作為策略依據(jù),對(duì)系統(tǒng)內(nèi)部實(shí)體安全進(jìn)行統(tǒng)一建模,通過(guò)屬性關(guān)系的定義來(lái)描述授權(quán)和訪(fǎng)問(wèn)控制約束,進(jìn)而支持細(xì)粒度和大規(guī)模的訪(fǎng)問(wèn)控制。
遠(yuǎn)程辦公用戶(hù)UEBA行為分析與審計(jì)
提供風(fēng)險(xiǎn)自適應(yīng)、數(shù)據(jù)存儲(chǔ)、風(fēng)險(xiǎn)引擎識(shí)別及數(shù)據(jù)聚合功能,實(shí)現(xiàn)針對(duì)遠(yuǎn)程辦公過(guò)程中的已知和未知風(fēng)險(xiǎn)威脅、賬號(hào)失陷監(jiān)測(cè)、身份欺詐、滲透攻擊、賬號(hào)異常登錄、惡意行為攻擊、非可信設(shè)備檢查等場(chǎng)景應(yīng)用和分析。
遠(yuǎn)程辦公運(yùn)維用戶(hù)特權(quán)賬號(hào)管控
引入特權(quán)管理模式,通過(guò)“多人制衡”的方式對(duì)高權(quán)限登錄及高風(fēng)險(xiǎn)操作進(jìn)行監(jiān)督和控制,針對(duì)不同業(yè)務(wù)場(chǎng)景,通過(guò)策略配置建立操作人員、運(yùn)維場(chǎng)景、協(xié)同操作人員的綁定關(guān)系。
零信任遠(yuǎn)程辦公業(yè)務(wù)價(jià)值
構(gòu)建更安全的遠(yuǎn)程辦公網(wǎng)絡(luò)
通過(guò)實(shí)施“從不信任并始終驗(yàn)證”,不同類(lèi)型用戶(hù)只能按照預(yù)先確定的信任級(jí)別,訪(fǎng)問(wèn)預(yù)先申請(qǐng)的企業(yè)資源,未預(yù)先申請(qǐng)的企業(yè)資源將無(wú)法被訪(fǎng)問(wèn),阻止企業(yè)內(nèi)部“漫游”情況。
增強(qiáng)對(duì)企業(yè)應(yīng)用和數(shù)據(jù)的保護(hù)
在實(shí)施“按需受控訪(fǎng)問(wèn)”的基礎(chǔ)上,有效整合資源保護(hù)相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù),保護(hù)應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲(chǔ),并優(yōu)先保護(hù)高價(jià)值資源。
大面積減少攻擊暴露面
用戶(hù)通過(guò)訪(fǎng)問(wèn)認(rèn)證之前,資源對(duì)用戶(hù)隱身;即便在用戶(hù)通過(guò)訪(fǎng)問(wèn)認(rèn)證和授權(quán),成功進(jìn)入網(wǎng)絡(luò)以后,零信任架構(gòu)也將阻止用戶(hù)漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了外部(互聯(lián)網(wǎng)可發(fā)現(xiàn))和內(nèi)部(內(nèi)部威脅)攻擊面。
減少違規(guī)行為的影響
零信任架構(gòu)中,用戶(hù)只能按需獲得有限訪(fǎng)問(wèn)權(quán)限,有助于限制違規(guī)操作、業(yè)務(wù)中斷、安全漏洞等的危害范圍和危害后果,降低了補(bǔ)救成本。
縮減安全管理成本和潛在建設(shè)成本
零信任架構(gòu)終結(jié)了安全防護(hù)手段各自為政的現(xiàn)狀,在零信任架構(gòu)實(shí)施時(shí),可以通過(guò)與現(xiàn)有工具的集成,大幅度降低零信任潛在建設(shè)成本;零信任的“無(wú)邊界信任”思想減少了VPN的使用,簡(jiǎn)化了運(yùn)營(yíng)模式,縮減了安全管理成本。
傳統(tǒng)保護(hù)網(wǎng)絡(luò)安全的方式是先訪(fǎng)問(wèn)后認(rèn)證,而零信任理念則是先認(rèn)證后訪(fǎng)問(wèn),零信任的安全理念是建立在身份驗(yàn)證、設(shè)備驗(yàn)證、網(wǎng)絡(luò)隔離和訪(fǎng)問(wèn)控制的基礎(chǔ)上,是保護(hù)應(yīng)用數(shù)據(jù)的關(guān)鍵。并且,零信任在解決遠(yuǎn)程辦公的同時(shí),避免了網(wǎng)絡(luò)攻擊對(duì)企業(yè)的應(yīng)用、數(shù)據(jù)資產(chǎn)造成威脅,是企業(yè)解決遠(yuǎn)程辦公的極好選擇。