洞见RSA 2021|零信任的困境与破局之路
全文共2668字,阅读大约需要6分钟。
从RSA 2021看零信任
数字化转型中,云计算、大数据、物联网、移动互联等技术的业务应用加速落地,新技术元素的导入,在提升业务效率的同时,也带来了新的安全风险。面对传统安全防护方案的局限性,“零信任”提供了新的安全思想,秉持 “从不信任,始终验证”的原则,在不可信网络中构建对应用系统的安全访问是零信任的终极目标。
随着零信任安全的发展,吸引越来越多的企业向零信任转型。2021年RSA大会,零信任也成为热门话题之一,众多厂商从不同角度对零信任架构做出了分析:包括数据安全与个人隐私、云安全、弹性与恢复、身份安全等其他热门话题也都和零信任密切相关。
在RSA创新沙盒TOP10中有两家公司的产品和零信任相关,Axis Security公司的零信任方案(Application Access Cloud),直译过来就是“应用访问云”,此方案的创新之处在于依托于云计算,使用无终端化方式接入,应用服务侧只需部署连接器即可,大大减少了企业从传统VPN接入方式向零信任网络迁移的技术阻碍。当然此方案也有一定的局限性,事实上,无终端化是相对而言的,只是覆盖了主流服务,如Web服务、RDP服务、SSH服务、Git服务和数据库服务等。如果终端只需要访问这些服务,就不必安装终端。但是如果安装终端则允许终端访问几乎任何形式的网络服务,应用范围会更加的广阔。
图片摘自Axis Security公司官网
STRATA公司的企业多云身份管理,能够对接多种云服务的身份数据和访问控制策略基础设施。同时,方案适配多种身份认证协议,在应用零改造的基础上实现统一管理。STRATA MVERICS平台联动三个产品,身份发现(Identity Discovery)、连接目录(Connector Catalog)以及身份编排引擎(Identity Orchestrator)提供关键能力。由于零信任架构强调“以身份为中心”,建立基于身份的细粒度访问控制。因此此方案可以大大推动零信任架构实施,让企业以最小的代价完成零信任架构迁移的第一步。
图片摘自STRATA公司官网
关于零信任的未来思考
零信任是一种新型的网络安全架构,可以从零开始建设,也可以在现有的基础设施之上构建新的安全防护机制。基于各类创新技术的不断发展对现有技术的冲击,厂商需要做好合理的用户引导,在未来的很长一段时间内,做好传统安全技术和零信任技术共存的心理准备,一边运行,一边建设,逐步替换,保证新旧技术的平滑演进。
安全厂商在为企业推广零信任安全解决方案时,不能完全颠覆企业当前的安全建设成果,而去打造一个全新的零信任安全体系。需要充分考虑零信任方案如何和客户当前存量安全产品相互融合,为企业的安全保驾护航。
零信任方案在设计之初,就需要包容的心态,要与各种安全能力和谐共处。围绕零信任“永不信任,持续认证”的安全理念,将各种安全能力统一归属到零信任体系之下,将其作为零信任的“耳目”。通过丰富的异构产品接口,收集各安全产品的安全日志和安全事件,进行集中分析和研判,打造全访问链的动态可信访问。
绿盟科技零信任实践
结合上述思考,作为国内最早布局零信任领域的网络安全厂商,绿盟科技在零信任领域的研究发展从最早期的SDP研究,到今日已经有了成熟的零信任解决方案,能够支撑不同行业客户的特定安全访问场景及安全需求。
方案概述
绿盟科技零信任安全解决方案基于设备评估,用户认证和行为分析,持续集成分析和验证信任关系,以此在不可信网络中构建安全系统,覆盖了远程安全办公、暴露面收敛、统一安全访问、数据安全访问及终端安全接入等典型应用场景。
方案核心产品包括:
一体化终端安全管理系统UES
安全认证网关SAG
统一身份认证平台UIP
零信任分析和控制平台ISOP-ZTA
方案特点
方案产品灵活组合,分层解耦,可独立部署,支持根据客户实际需求分阶段或选择性建设
通过客户端和安全认证网关从访问主体到访问客体之间,建立安全访问通道
采用SDP方案,实现业务应用的彻底隐身,让攻击无从下手
绿盟零信任大脑作为总分析和控制中心,由终端安全管理平台、统一身份认证平台、分析和控制平台组成,构建风险和信任综合分析能力,动态决策响应能力,实现纵深防御
核心能力
全面感知
上下文环境感知、终端安全状态感知、网络环境感知、威胁情报输入的感知等
最小授信
终端可信,用户可信,网络可信,应用可信,最小化权限访问资源,实现最小授信
持续评估
从认证系统,安全设备,网络流量,终端安全等多维度获取信息,持续分析用户和实体行为,确保用户在访问过程中的行为可信
动态决策
根据用户及终端的安全风险,自动化下发策略,执行阻断,二次验证,隔离等操作,实现基于风险的自适应安全访问控制
客户价值
统一安全可信访问
全面隐藏应用,减少暴露面
统一MFA认证,杜绝弱口令,避免未授权访问
细粒度会话控制,防止越权访问,攻击横向扩散
全面日志审计,关联分析,闭环处置
零改造快速合规
统一多因素认证,满足等保2.0对身份认证因子相关要求
国密加密,满足等保2.0,密码法对关键基础设施传输和存储加密的要求
无需大批量业务改造和替换,快速合规
全方位降本提效
节约管理&运维&人员成本
提高办公访问效率,提高员工工作效率
账户&权限统一管理,业务灵活扩展,数字化转型无忧
一致便捷的用户体验
访问低延迟,更少等待
无密码认证,无需记忆繁杂密码
推荐建设步骤
总结
“网络安全的未来在云端”,随着信息化数字化办公的兴起,越来越多的企业将自身应用迁移到了云端,或者直接购买云上的SaaS服务。这种方式大大提升了办公效率,任何个人都可以通过BYOD设备快速访问企业应用,做到随时随地办公,但同时也增加了企业应用的安全风险。由于应用部署在云端,企业不得不去考虑这些应用的安全性,包括访问权限、服务隔离、数据放泄露、安全审计等。
基于这种背景,Gartner于2019年提出一个全新的安全概念SASE(Secure Access Service Edge),即“安全访问服务边缘”。SASE是一种整合各种云原生的安全功能,例如SWG、IPS、NGFW、CASB等,基于零信任网络访问(Zero Trust Network Access,ZTNA)模型建立推出的“网络+安全”云原生、服务化技术架构,从而满足企业在数字化转型过程中的动态安全访问需求。SASE 是一种基于实体的身份,实时上下文分析、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。
SASE同样是以身份为驱动,ZTNA架构为核心,这些理念和零信任高度一致,可以看做零信任在云场景的扩展和演进。因此在关注零信任的发展和趋势时,有条件的情况下可以和SASE方案做适度的融合,贴合更多的用户场景。
绿盟科技将于近期发布SASE安全解决方案,分别推出两款产品NIA(NSFOCUS Internet Access)和NPA(NSFOCUS Private Access),涵盖不同的应用场景,为企业的数据中心和云上应用安全保驾护航。
NPA是基于零信任的云安全内网访问服务,适用于用户到私有数据/程序的连接,基于零信任原则,云端控制器根据上下文做接入控制,提供多因子认证、三方身份认证、暴露面隐藏等能力。
NIA依托服务化的云上安全网关,基于防火墙、IPS、沙箱等为客户提供针对Web和Internet的威胁保护。
敬请关注绿盟科技官方微信公众号,及时了解产品发布信息。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 习近平澳门之行 这些瞬间令人难忘 7979252
- 2 考研数学 7940847
- 3 果果被开除党籍 7888992
- 4 在澳门 传统文化在指尖绽放 7736228
- 5 “杨子荣”童祥苓葬礼举行 7657403
- 6 大爷把路边车牌设成银行卡密码 7551973
- 7 女大学生当收纳师一单赚16万 7438559
- 8 岁月静好在赵丽颖身上具象化了 7385497
- 9 县城名媛扛起拉夫劳伦跑 7273687
- 10 1200人因学生餐补问题被处理处分 7155595