En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>遠(yuǎn)程辦公安全/VPN安全> 從零信任角度看VPN安全

從零信任角度看VPN安全

文章

2021-08-11瀏覽次數(shù):167

說到VPN,大家應(yīng)該都不陌生,在工信部整治VPN亂象之前,誰的手機(jī)里沒有一個(gè)翻墻軟件,畢竟要探索墻外世界的必要條件之一就是VPN,所以很多人理所當(dāng)然的VPN當(dāng)成翻墻的“梯子”,但VPN的使用場(chǎng)景遠(yuǎn)不止翻墻瀏覽外網(wǎng)那么簡(jiǎn)單。

2020年初,新冠疫情讓人措手不及,很多企業(yè)被迫開啟遠(yuǎn)程辦公模式。一些工作僅需要網(wǎng)絡(luò)和office全家桶就能完成,可有些工作需要訪問企業(yè)系統(tǒng)內(nèi)網(wǎng)來支撐工作的開展。

 

這種時(shí)候VPN就派上用場(chǎng)了。

 

只不過這里的VPN不是翻外墻,而是作為遠(yuǎn)程辦公的解決辦法。

 

它可以通過特殊的加密通訊協(xié)議在兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,以此實(shí)現(xiàn)遠(yuǎn)程辦公。

 

不過盡管VPN能實(shí)現(xiàn)異地訪問內(nèi)網(wǎng)的需求,但還是存在一定的風(fēng)險(xiǎn)。一些企業(yè)為了方便員工存取VPN,會(huì)在入職時(shí)替員工的流動(dòng)設(shè)備設(shè)定好VPN聯(lián)機(jī),而IT部門為了減少用戶查詢,也會(huì)直接把登入信息儲(chǔ)存,讓員工直接點(diǎn)擊即可連接到VPN。

 

而這里面其實(shí)有個(gè)安全隱患企業(yè)無法保證VPN的掌控權(quán)一直在員工自己手中。假如員工設(shè)備遺失、密碼泄露、或者被攻擊者利用社工手段接觸到設(shè)備等問題都會(huì)導(dǎo)致企業(yè)內(nèi)網(wǎng)被他人入侵。因?yàn)楹芏郪PN只要通過賬號(hào)登錄這一關(guān),就能輕松訪問內(nèi)網(wǎng)資源。

 

像VPN這類傳統(tǒng)的邊界防護(hù)認(rèn)為數(shù)據(jù)中心的內(nèi)部是安全的,只要做好邊界防護(hù),牢守城門,外部的攻擊就不能對(duì)內(nèi)部的數(shù)據(jù)造成威脅。如果用戶一旦通過網(wǎng)關(guān)接入內(nèi)網(wǎng),其所有操作都被信任和接受,一些黑客正是利用這一點(diǎn)發(fā)起對(duì)企業(yè)內(nèi)網(wǎng)的攻擊。

在安全防護(hù)的理念上,零信任則跟VPN不同,零信任沒有任何預(yù)設(shè)條件,無論用戶在哪,如果想要獲得內(nèi)網(wǎng)某一資源,都需要進(jìn)行身份驗(yàn)證,即便用戶自己訪問內(nèi)網(wǎng)也需要通過多因素認(rèn)證,并且即便用戶通過了認(rèn)證也不能隨便訪問內(nèi)網(wǎng)資源。在基于角色/屬性授權(quán)后,用戶可訪問最小化授權(quán)的應(yīng)用、使用最小授權(quán)的功能。而且在訪問應(yīng)用過程中,安全風(fēng)險(xiǎn)會(huì)被持續(xù)評(píng)估,如果零信任系統(tǒng)發(fā)現(xiàn)終端環(huán)境、用戶行為存在風(fēng)險(xiǎn),或用戶將進(jìn)行敏感高危操作,則會(huì)觸發(fā)動(dòng)態(tài)授權(quán)、二次認(rèn)證等,進(jìn)一步可進(jìn)入審批環(huán)節(jié),從而將風(fēng)險(xiǎn)降到最低。

 

簡(jiǎn)單來說,企業(yè)大可不必再度擔(dān)心某些員工會(huì)利用VPN當(dāng)跳板入侵企業(yè)內(nèi)網(wǎng)刪除機(jī)密信息的事故了。

比起VPN這類傳統(tǒng)的邊界防護(hù),零信任具備以下的優(yōu)點(diǎn)足以滿足企業(yè)的安全需求:

永不信任、持續(xù)認(rèn)證

賬戶、應(yīng)用、認(rèn)證授權(quán)統(tǒng)一管理,實(shí)現(xiàn)所有用戶接入前統(tǒng)一認(rèn)證,即先通過多因素認(rèn)證、再連接,隱藏應(yīng)用,減少攻擊暴露面。

 

 實(shí)現(xiàn)最小授權(quán)

支持應(yīng)用級(jí)、功能級(jí)、數(shù)據(jù)多層級(jí)細(xì)粒度授權(quán),實(shí)現(xiàn)全面最小化授權(quán),減少員工接觸無權(quán)限的機(jī)密信息。

 

動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估

零信任環(huán)境還會(huì)持續(xù)判斷主機(jī)行為,從用戶登錄行為進(jìn)行全面審計(jì),精準(zhǔn)記錄用戶賬號(hào)認(rèn)證、訪問、變更等行為,以報(bào)表的形式展現(xiàn)給系統(tǒng)管理員,實(shí)時(shí)的登錄風(fēng)險(xiǎn)預(yù)警,及時(shí)發(fā)現(xiàn)異常情況。