隨著互聯(lián)網(wǎng)的持續(xù)發(fā)展,便捷的共享方式極大地提高了企業(yè)的生產(chǎn)力和工作效率,但隨之也給企業(yè)內(nèi)網(wǎng)帶來了極大的安全隱患。企業(yè)內(nèi)網(wǎng)承載大量的核心資產(chǎn)和機密數(shù)據(jù),一旦受到攻擊可能會造成大量損失,因此,如何通過零信任內(nèi)網(wǎng)安全解決方案保障企業(yè)數(shù)據(jù)安全,加強企業(yè)信息化建設(shè),是提高企業(yè)信息安全管理水平的關(guān)鍵。
01
企業(yè)內(nèi)網(wǎng)安全面臨的問題與挑戰(zhàn)
數(shù)字經(jīng)濟時代,數(shù)字應(yīng)用是推動經(jīng)濟社會發(fā)展的必要生產(chǎn)要素,其重要性日益凸顯。面對新基建的歷史機遇,隨著5G網(wǎng)絡(luò)、人工智能、工業(yè)互聯(lián)網(wǎng)等產(chǎn)業(yè)的成熟,移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新型應(yīng)用場景的持續(xù)推廣也隨之帶來了許多安全問題,企業(yè)內(nèi)網(wǎng)安全面臨以下挑戰(zhàn):
攻擊者大量利用弱口令、口令爆破等慣用伎倆,在登錄過程中突破企業(yè)邊界、在傳輸過程中截獲或偽造登錄憑證。大型組織甚至國家發(fā)起的APT高級攻擊,還可以繞過或攻破企業(yè)網(wǎng)絡(luò)防護邊界在企業(yè)內(nèi)部進行橫向訪問。
在非授權(quán)訪問、員工無意犯錯等情況下,“合法用戶”非法訪問特定的業(yè)務(wù)和數(shù)據(jù)資源后,造成企業(yè)內(nèi)部數(shù)據(jù)泄漏,甚至可能發(fā)生內(nèi)部員工“獲取”管理員權(quán)限,導(dǎo)致更大范圍、更高級別的企業(yè)信息安全災(zāi)難性事故。
傳統(tǒng)的安全架構(gòu)以“縱深防御+邊界防御”為主,企業(yè)在成長過程中,安全邊界逐步被打破,并徹底走向模糊化,基于邊界的安全防護體系逐漸失效,已經(jīng)難以適應(yīng)企業(yè)快速成長,難以應(yīng)對業(yè)務(wù)的快速變化。
02
企業(yè)內(nèi)網(wǎng)安全場景分析
企業(yè)內(nèi)部業(yè)務(wù)一方面實現(xiàn)了多部門、多平臺、多業(yè)務(wù)的數(shù)據(jù)融合;另一方面業(yè)務(wù)訪問方面打破了業(yè)務(wù)之間、部門之間的網(wǎng)絡(luò)邊界,實現(xiàn)互通互訪。其主要的零信任業(yè)務(wù)場景包括:
通常企業(yè)有一個總部和一個或多個位置分散的分支機構(gòu),這些機構(gòu)沒有由企業(yè)自有的物理網(wǎng)絡(luò)連接,員工可通過內(nèi)網(wǎng)訪問企業(yè)內(nèi)部應(yīng)用,其應(yīng)用系統(tǒng)會暴露于各種安全威脅下,易受到各種形式的攻擊,包括暴力破解、DDoS、XSS和任何TLS漏洞。
員工在出差過程中,經(jīng)常通過不同的環(huán)境或設(shè)備遠程訪問企業(yè)內(nèi)網(wǎng)進行公文處理、郵件收發(fā)或資料上傳下載,因不安全的環(huán)境和設(shè)備非常容易導(dǎo)致惡意軟件通過內(nèi)網(wǎng)進行傳播,帶來巨大的安全風(fēng)險。
企業(yè)內(nèi)部運維人員在非工作時間,為快速支持和解決業(yè)務(wù)的應(yīng)急問題,需要通過遠程訪問后臺服務(wù)器的端口和訪問權(quán)限進行管理,而粗放式的端口授權(quán)和訪問機制,導(dǎo)致攻擊者可快速掃描其服務(wù)器漏洞,增加了被攻擊風(fēng)險。
一部分企業(yè)為方便應(yīng)用系統(tǒng)被全球用戶或分支機構(gòu)訪問,采取直接通過NAT方式映射至互聯(lián)網(wǎng),并開通其訪問端口和訪問路徑,其安全隱患一是應(yīng)用系統(tǒng)無法應(yīng)對各種攻擊和病毒入侵,二是攻擊者使用DDoS等攻擊手段導(dǎo)致業(yè)務(wù)癱瘓。
03
零信任內(nèi)網(wǎng)安全解決方案
派拉零信任身份安全系統(tǒng)是基于“零信任”架構(gòu),集成賬戶管理、統(tǒng)一認(rèn)證、訪問授權(quán)、集中審計、特權(quán)管理、應(yīng)用安全等,實現(xiàn)內(nèi)網(wǎng)安全管理功能和服務(wù)。
基于零信任資源門戶部署方式,對用戶的自有設(shè)備實現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問,其中門戶網(wǎng)關(guān)可以是單個資源或資源集,并且不需要在客戶端設(shè)備安裝代理軟件。
基于零信任設(shè)備代理/網(wǎng)關(guān)部署方式,對用戶的非自有設(shè)備實現(xiàn)設(shè)備、人員和權(quán)限的綜合鑒權(quán)與訪問,其中每個資源都具備一個網(wǎng)關(guān),并且在客戶端設(shè)備安裝代理軟件。
使用SDP網(wǎng)關(guān),針對運維管理人員及企業(yè)內(nèi)部用戶,通過遠程訪問或直接訪問形式,首先進行SPA單包認(rèn)證,只有用戶身份、訪問權(quán)限和設(shè)備通過驗證且可信,則建立相應(yīng)的TCP連接,同時開放服務(wù)器運維端口及應(yīng)用系統(tǒng)訪問端口等權(quán)限。
通過新一代防火墻NGFW技術(shù),實現(xiàn)針對企業(yè)內(nèi)部以應(yīng)用維度進行網(wǎng)絡(luò)隔離,主要包括兩種實現(xiàn)模式:
第三方防火墻微隔離:通過第三方防火墻供應(yīng)商提供的虛擬防火墻進行隔離,其特點包括具備豐富的安全能力、支持自動化編排和豐富的分析報告;
基于代理模式微隔離:通過使用將代理軟件部署至主機或虛擬機中,實現(xiàn)動態(tài)方式控制代理主機間的通信和安全,其特點包括適用各種線下線下平臺、支持自動化編排和安全策略的快速遷移。
通過對企業(yè)多身份源的統(tǒng)一、可信終端管控以及不同網(wǎng)絡(luò)訪問場景的安全管控,促進企業(yè)對內(nèi)部、外部、客戶、消費者、合作伙伴等不同群體和對象的管理。同時基于主體、客體和環(huán)境等層面的角色動態(tài)管理和最小權(quán)限管控,滿足安全治理要求。通過AI風(fēng)險分析與監(jiān)測,動態(tài)感知安全邊界的變化,更多的用戶通過手機、Pad等不同可信終端進行業(yè)務(wù)訪問,進一步擴大安全管理邊界?;诳尚旁O(shè)備的準(zhǔn)入和身份鑒別,保障設(shè)備可信接入和安全環(huán)境的合規(guī)訪問。
04
零信任內(nèi)網(wǎng)安全訪問業(yè)務(wù)價值
通過實施“從不信任并始終驗證”,不同類型用戶只能按照預(yù)先確定的信任級別,訪問預(yù)先申請的企業(yè)資源,未預(yù)先申請的企業(yè)資源將無法被訪問,阻止企業(yè)內(nèi)部“漫游”情況。
在實施“按需受控訪問”的基礎(chǔ)上,有效整合資源保護相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù),保護應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲,并優(yōu)先保護高價值資源。
用戶通過訪問認(rèn)證之前,資源對用戶隱身;即便在用戶通過訪問認(rèn)證和授權(quán),成功進入網(wǎng)絡(luò)以后,零信任架構(gòu)也將阻止用戶漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了外部(互聯(lián)網(wǎng)可發(fā)現(xiàn))和內(nèi)部(內(nèi)部威脅)攻擊面。
零信任架構(gòu)終結(jié)了安全防護手段各自為政的現(xiàn)狀,在零信任架構(gòu)實施時,可以通過與現(xiàn)有工具的集成,大幅度降低零信任潛在建設(shè)成本。
據(jù)舊金山計算機安全研究所的統(tǒng)計,60%到80%的網(wǎng)絡(luò)濫用事件來自內(nèi)部網(wǎng)絡(luò),對內(nèi)部人的信任所造成的危害程度,遠遠超過黑客攻擊和病毒造成的損失。展望未來,隨著網(wǎng)絡(luò)防護從傳統(tǒng)邊界安全理念向零信任理念演進,零信任將成為數(shù)字安全時代的主流架構(gòu)。