近年来,随着企业网络安全意识的提升,“零信任”概念逐渐深入人心,作为一种新型的网络安全策略,越来越多的企业开始探寻“零信任”网络的奥秘,并尝试采用“零信任”策略重构企业网络安全边界。
近日,贝锐旗下智能组网整体解决方案品牌“蒲公英”正式推出了“蒲公英零信任网络1.0”解决方案,该方案旨在帮助企业重构网络安全边界,进而提供更加安全,更具针对性的智能组网整体解决方案。
借此机会,笔者想要在这里对“零信任”概念以及“蒲公英零信任网络”进行一番具体的解析,帮助有需求的企业管理者更好的理解“零信任”这一概念,顺应网络空间安全至上的大潮。
何为“零信任”?
传统的网络安全是基于防火墙的边界防御,是有明显的物理边界的,而对于企业来说,这一边界的内侧就是我们所熟知的“内网”。
在传统的网络安全策略中,内网是完全可信的。但随着云计算、大数据、物联网等新兴技术的不断兴起,企业的IT架构边界正在不断模糊,网络安全的物理边界正逐渐消失,“内网=安全可信”这一等式正在受到严重的调整。
为了适应这样的变化趋势,企业也需要调整IT网络安全策略,以应对同样在持续发展中的网络安全威胁。因此,“零信任”应运而生。
“零信任”这一概念于2010年由一位名为Forrester Research的分析师提出,它代表了一种新一代的网络安全防护理念和策略,提出不久就被包括谷歌、思科等在内的诸多大厂所采纳。
“零信任”的优势
用一句通俗的话来解释“零信任”,那就是对网络中的任何一个访客进行持续的身份验证,任何用户都不应受到信任,即“持续验证,永不信任”。
在这一策略下,企业网络将不会默认信任任何来自内外网的人、设备和系统,而是会基于实时的身份认证和授权重新构建网络访问信任体系,身份认证的过程也将不再局限在网络的边界,从而保证访问企业网络的身份、设备、软件均为可信,同时进一步保证企业网络系系统的终端安全,链路安全以及访问控制安全。
换句话说,“零信任”打破了 “内部等于可信任”、“外部等于不可信任”的传统旧安全观念。
举一个简单的例子:在传统的边界网络安全框架下,黑客一旦通过某种手段获取到了企业内网权限(比如帐号和密码),那么直到相关的管理员发现之前,他都可以在企业网络内横行无忌,肆意盗取企业核心信息甚至对系统进行破坏。
但如果企业采用了“零信任”安全策略,那么黑客将无法单纯的凭借帐号密码攻入企业内网,而是会被要求验证其他的身份信息,比如企业可以要求帐号与设备MAC码对应,或者需要短信或者邮件的验证等等,这些策略由企业方视情况制定。这样一来,黑客进行恶意攻击的难度将会大大提升,很多针对企业网络的攻击在这一步就会被拒之门外。
为什么企业要部署“零信任”
企业部署“零信任”当然是基于对于信息安全的迫切需要。
具体到实际的落地,则是希望对越来越模糊的网络边界进行重构,而对网络边界的重构主要集中在以下三个方面:
●建立基于应用的安全边界:打破传统基于防火墙的网络边界,建立基于应用的更细粒度的访问策略管理。
●建立基于身份的接入验证:身份权限动态管控,所有成员身份无差别信任与验证。
●建立基于安全的数据保护:终端数据、应用分级隔离,企业数据通过加密隧道传输。
蒲公英零信任方案的核心特征
蒲公英零信任架构主要通过对访问身份权限的动态管控,对访问成员持续进行信任评估和动态的访问控制,最终实现业务安全访问。具体到方案本身的结构,则是从成员身份、网络管控、终端安全三方面进行整合,保障企业办公网络安全,提升办公效率。
蒲公英的相关功能主要包括:
●自定义访问策略
组网内成员的访问权限、访问内容、访问时间均可进行自定义设置,满足用户多场景使用,通过策略控制保障组网内资源访问安全。
●角色权限管理
支持多角色权限管理,创建二级管理帐号对应不同角色即可赋予对应的操作权限,轻松分工,高效管理。
●多因子帐号安全认证
对访问身份权限进行持续信任评估,除基础的帐号身份认证后,增加手机、邮箱OTP认证以及动态令牌MFA认证;根据用户常用使用习惯制定不同等级的安全认证,帮助组网成员接入身份安全。
●终端设备信任体系
对终端设备建立信任设备体系,对不符合安全要求的设备保持持续验证安全状态。
●安全日志审计
管理员、终端成员、不同角色管理员的行为日志及时间实时记录,做到成员行为可追溯。
蒲公英零信任在场景应用下的优势
●远程移动办公趋势下的简单部署,快速接入
随着远程办公及移动办公越来越普及,外部访问量激增,而企业访问边界的模糊化和访问设备的可信度管控缺失,导致企业数据安全面临较大挑战。但大部分企业基于已有的网络架构无法瞬时改变,这时蒲公英基于SD-WAN的零信任安全访问就能快速接入,重建企业网络访问边界,加强网络安全。
●混合云业务部署模式下的数据安全保障
现在大部分企业的业务部署选择混合云的方式,内网数据外网访问难,外网数据安全保障难已成为大多企业的难题。零信任提倡对于所有身份进行授权访问,并动态监控授权身份的访问行为,所有帐号无差别信任与认证,保障网络安全访问。
●数字化转型趋势下重塑企业安全边界
企业数字化转型已成为必然的趋势,这种情况下,业务平台及员工身份属性的多样化将越来越强烈。零信任在此基础下可重塑信任体系及访问策略,有效内外访问成员的安全属性进行监控。