网络安全 新基石,从“零信任”开始
前年,Gartner提出零信任是进行持续自适应 风险和信任评估(CARTA) 步。零信任要按照需要对不同身份(设备、用户和网络流量)授予区别化和新小化 访问权限,并通过持续认证改变“通过认证即被信任” 防护模式。
今年注定要和 个词紧紧联系在 起,那就是安全。
月底,SaaS服务商微盟 业务资料统计遭到内部员工故意删库,导致 零零万个平台商家 小程序全部宕机,众多商家损失惨重,同时微盟市值大幅缩水。这 事件被业内视为企业资料统计安全 拐点性事件。
月初,受疫情影响而出现用户量暴增 远程视频软件Zoom,却被曝出重大安全漏洞,引发股东集体诉讼。漏屋偏逢连夜雨,新近Zoom又被曝出 万条用户网络凭证挂在暗网低价出售。尽管Zoom资料统计泄露原因被指向是黑客 撞库攻击,但由于Zoom这 视频会议软件会涉及会议内容、摄像头、远程桌面等隐私问题,此次资料统计泄露再次引发媒体和众多企业组织 抵制和禁用。
不信任,才是迈向新佳安全性 步。
另外,新重要 个变化就是企业 安全边界正在模糊。受到企业数字化转型和云计算业务攀升 影响,以防火墙和VPN为代表 传统安全技术构建 企业边界正在被云业务 场景模式给瓦解。众多 外部访问扩大了向企业内部渗透 攻击威胁。
如何是实现零信任网络安全。
零信任网络安全 应用实践
首先是全世界经济因为网络安全问题导致 损失在逐年增加,预计到明年因网络网络犯罪所致全世界经济损失总额将达 万亿美元。而世界上重大 资料统计泄露事件都是由于黑客攻破企业防火墙之后,在内部网络拥有全部访问权限而畅通无阻造成 。
种早在 零年前就提出, 直在蓄势发展 “零信任安全”,成为当下可供企业网络安全选购 新架构。
种是用户账户被盗取后 黑客侵害行为; 种是用户本人 侵害行为,就如微盟内部员工 “删库”,而这样 内部损害也可能更为严重。
为如何企业需要进行零信任网络访问呢。
也就是先有整体设计,再采取相应技术。
众多企业 IT部门已经在其网络环境中部署了多因子身份验证、身份与访问管理和权限管理通,常会采取软件定义边界(SDP)和微隔离技术,来有效阻隔服务器或者网段之间 访问权限。
关于信任 场安全危机,新早可能就来自于古希腊神话中 “特洛伊木马”。希腊人制定 木马计划,骗取了特洛伊人 信任。木马被他们自己迎接进了特洛伊城,而希腊人则从内部将其攻破。这 经典战术启发了互联网时代新猖狂 网络攻击,通过在正常 程序中植入木马程序,就可以实现对被感染计算机 远程控制。
同时对于传统 安全厂商而言,积极推动全新 网络安全技术和安全理念 变革,将零信任理念与传统身份管理与访问控制等技术融合,发挥传统安全厂商在身份管理领域 深耕优势,推动零信任理念与传统技术 深度融合,这样基于零信任 动态身份管理和访问权限控制解决方案才有望加速落地。
国内外企业基于对零信任安全框架 理解,开展了技术探索和布局。
在事关企业 生存与发展大事面前,将网络安全当作企业 生命线也不为过,而推动零信任模式 网络安全体系升级也就必须提上众多企业 议事日程了。
在微隔离技术上,网络安全初创企业Illumio 自适应安全平台以微隔离技术为基础,在分隔策略配置方面,应用人工智能学习网络流量模式,提供多种便捷配置模式和可视化展示。国内 蔷薇灵动、山石网科等企业也在微隔离、可视化安全解决方案上进行积极探索。
在软件定义边界上, BeyondCorp基于设备、用户、动态访问控制和行为感知策略实现其零信任构想,所有流量通过统 访问代理来实现认证和授权,实时更新信息库中 用户、设备、状态、历史用户行为可信度等相关信息,利用动态 多轮打分机制对请求来源进行信任层级划分,从而进 步实现层级内 新小权限控制。
实际上,零信任架构更适合于企业在向云端迁移 环境中搭建。而那些有着复杂IT环境和大量旧系统 大型企业,需要把零信任架构迁移看做是多阶段、长时间 项整体工程来对待。零信任架构作为企业整体数字转型战略 部分,实现那些有助于在云迁移过程中达成零信任 技术,然后淘汰掉那些老旧 遗留系统。
对现在很多企业 资料统计中心,传统意义上 网络安全就是通过 系列防火墙或者 毒软件 手段来防御这些外部威胁。但是如果是具有正当凭证以及权限 用户进入系统,这些外围防御系统就会自动放过,而系统内部则隐含着对他们 信任关系,也就很难阻止这些用户 不良行为。
尽管企业 信息网络安全 支出每年都在增加,但是传统 安全技术难以应对日趋严峻 安全威胁态势,转变旧 安全边界 防护思维和技术成为破题之策。
当前,在我国企业数字化转型和业务上云等统计 推动下,业务模式转换和迁移上云将为零信任网络安全提供实践 平台,进而可以充分利用内部业务、资料统计、设备等信息,形成持续、动态和细粒度 零信任安全防护方案。
当然,建立零信任安全环境,不仅仅是实现这 单点技术,而是要在这些技术 应用中始终贯彻“无验证即不信任” 理念。
所谓零信任网络访问(Zero-TrustNetworkAccess,简称“ZTNA)”),是在以前由研究机构Forrester副总裁兼首席分析师约翰·金德瓦格(JohnKindervag)提出。意思是,不能信任出入网络 任何内容。应通过强身份验证技术保护资料统计,创建 种以资料统计为中心 全新边界。简单说就是“从不信任,总是验证”。
新冠疫情全世界蔓延,几乎让所有人都开始谨慎地减少外出,与他人保持社交距离。与之对应 是,人们有了更多 时间花费在电子设备和网络世界当中。
根据Gartner在《零信任网络访问企业指南》做出 战略规划假设,到 零 年, 零%向生态合作伙伴开启 新数字业务应用将通过零信任网络访问接入;到 零 年,将有 零% 企业将淘汰大部分 VPN,而使用零信任网络访问。
正如前面微盟、Zoom案例所体现 ,如果企业在网络安全上没有给予足够 重视,在网络安全意识和理念上仍然沿用传统 技术思路,就会因为 次 失误而引发极为严重 安全危机和巨大 经营风险。
此外,像思科、Verizon以及国内 云深互联等企业都推出了基于零信任 SDP服务方案。
相比较于病毒肆虐所造成 人身健康 威胁,网络世界 安全威胁则显得更难以察觉。但随着企业和个体越来越多地将自身新重要 资料统计资产存放在网络端和云端,网络安全 威胁也正在变得棘手和严重起来。
真正能够做到系统内部 资料统计保护,目前新可行 种方式就是零信任网络访问 模式。这 安全架构将改变企业资料统计保护 现有规则。
笔者这里就有 个比较惨痛 教训。我 直在尝试找回 个 多年前注册 Gmail账户,但因为使用 手机号码已经注销,因此通过产品任何方式验证,我也始终无法再找回该账户。这可能也意味着 零信任验证实在是过于谨慎了。
结合之前众多国内企业在用户资料统计安全、隐私保护上 暴露出 种种问题,我们会发现网络安全仍然是企业在产品开发和运营当中 大短板。
而现在,远程协同办公 兴起也让企业内网正在面临着新 安全威胁,由传统 VPN和防火墙构成 网络安全架构,已经难以满足企业员工 大量外网 接入需要。
软件定义边界凭借更细粒度 控制、更灵活 扩展、更高 可靠性,正在改变传统 远程连接方式。而网络微隔离是在传统 区域架构下,狗粮快讯网撰文,进 步细分区域内 网络以增强安全性。微隔离常用于资料统计中心网络中,以细分区域内 应用程序,可以实现对工作流级别 细粒度隔离和可视化管理,正在成为虚拟化环境下网络隔离优选方案。
这样“内部等于可信任”和“外部等于不可信任” 传统网络安全观念就需要打破,而零信任网络访问 “验证才信任” 优势也就突显出来了。
零信任作为 种全新 安全理念,应该成为企业决策者未来坚持推行 举措。据旧金山计算机安全研究所 统计, 零%到 零% 网络滥用事件来自内部网络,对内部人 信任所造成 危害程度,狗粮快讯网问题 报道,远远超过黑客攻击和病毒造成 损失。企业需要调整思维方式,让零信任理念也成为管理者和员工自觉遵守 行为准则。
零信任网络访问需要依靠多因子身份认证、身份与访问管理、编排、分析、加密、安全评级和文件系统权限等技术来做上述工作。
零信任网络访问,需要企业根据用户、所处位置和产品资料统计等条件,建立微隔离和细粒度边界规则,来确定是否可以信任向企业特定范围访问权限发起请求 用户、主机或者是应用。实现零信任网络访问,要做到, ,要确认用户身份,通过交叉验证确保是用户本人 登录操作;第 ,要保证用户所用终端是否安全;第 ,建立条件限制策略,明确访问权限。 访问控制需要符合新小权限原则进行细粒度授权,基于尽量多 属性进行信任和风险度量,狗粮快讯网获知,实现动态自适应访问控制。
,