日期:2023-07-11 閱讀數:353
“從來不是遠程辦公淘汰了現場辦公,而是高(gāo)效代替了低(dī)效。”各行各業數字化轉型,追求的(de)必然是更高(gāo)效的(de)工作方式,由此催熱了“零信任”的(de)概念。
各安全廠商百家争鳴,演進了多條技術路線(SDP、IAM、MSG 等),以期用零信任架構,護航用戶遠程辦公的(de)安全接入。
然而,大部分用戶仍舊(jiù)認為(wèi)零信任的(de)落地(dì)難度和(hé)演進方向都是不明确的(de): ● 對于還在觀望的(de)用戶來說,停留于一(yī)個固有觀念:“零信任隻能解決遠程辦公的(de)安全問題”,零信任不就是“更安全一(yī)點”的(de)VPN嗎? ● 對于已經初步入局的(de)用戶,同樣也存在疑惑:落地(dì)遠程辦公場景後,下一(yī)步要怎麽辦? 面對您的(de)疑問,深信服零信任決定來一(yī)次全面解讀。 深信服的(de)「零信任觀點」 管控風險,重構訪問控制體系 觀點一(yī):關于零信任與VPN的(de)能力界定 零信任≠VPN,零信任聚焦的(de)是“主體到客體的(de)訪問控制和(hé)數據保護”,主要解決業務安全訪問的(de)問題,接入能力隻是零信任的(de)子(zǐ)集。 過去(qù)我們通過不同類型的(de)安全設備來進行訪問控制,包括防火牆、交換機、路由器、SSL VPN 等。 經過多年(nián)的(de)發展,傳統的(de)訪問控制機制開始暴露出諸多弊端,主要有兩個方面: 1.在傳統身份認證機制下,先授權網絡連接和(hé)訪問,再進行身份認證,導緻業務對外暴露。 2.基于 IP/MAC/VLAN 設置 ACL,難以與真實用戶進行關聯;身份與權限對應靜态且粗放,難以做(zuò)到細粒度權限管控。 當我們進一(yī)步剖析,上述問題的(de)本質都是“主體到客體的(de)訪問控制存在着安全風險”。 在南北向訪問中,過去(qù)通過 SSL VPN 實現遠程安全接入,但SSL VPN 在安全性/大并發等方面的(de)能力,越來越難以滿足數字化轉型趨勢下的(de)用戶需求。 而零信任聚焦業務安全接入,從身份、終端、連接、權限、數據和(hé)行為(wèi)等不同維度,幫助用戶安全訪問業務,構築了基于端到端多維度信任評估的(de)訪問控制鏈條。 區别于以傳統的(de) IP/MAC/VLAN 等方式判定網絡邊界,零信任基于身份構建更細粒度的(de)網絡邊界,讓業務的(de)訪問方式和(hé)信任判定方式更加完善和(hé)全面。 理(lǐ)解了這一(yī)點,我們就能達成一(yī)個共識:零信任所聚焦的(de)建設範圍實際上是用戶的(de)整個辦公網絡,而不僅僅是遠程接入場景。 舉個例子(zǐ)來說,SSL VPN 和(hé)零信任,好比是計算器和(hé)計算機,二者都做(zuò)數據運算,但計算器隻能做(zuò)加減乘除,而計算機有着更多的(de)擴展空間,不論是能力擴展,還是場景擴展,都會存在差異,且随着後續的(de)發展,差異也會越來越大。 觀點二:關于零信任建設場景選擇 零信任不止于遠程辦公,遠程辦公是初嘗零信任适合切入的(de)場景,後續可(kě)以逐步擴展分支、內(nèi)網、特權訪問等場景。 引入一(yī)套新的(de)技術架構,勢必猶如(rú)平地(dì)一(yī)聲雷,給原有的(de)網絡架構帶來沖擊。 站在助力用戶領先一(yī)步落地(dì)的(de)視(shì)角,過去(qù)我們提出“以零信任替換 VPN”,從遠程辦公場景切入,既是考慮到用戶需求的(de)緊迫性、對業務影響範圍較小,也考慮了實際落地(dì)難度。這也已經成為(wèi)當前業界的(de)共識。 然而,遠程辦公零信任落地(dì)後,我們還在思考:用戶可(kě)能還存在着哪些問題?這些問題可(kě)以通過零信任架構解決麽? 安全防護不完整,內(nèi)網暴露面依然存在 在整體網絡架構中,遠程辦公隻是一(yī)個相對獨立的(de)場景,用戶的(de)業務訪問方式沒有發生質的(de)改變,依舊(jiù)是先連接、後認證。一(yī)旦攻擊者突破邊界,整個內(nèi)網将完全暴露。無論是攻防演練所暴露出的(de)問題,還是真實世界中發生的(de)網絡安全事件,都在不斷警示着我們:大部分安全事件的(de)源頭都來自(zì)于內(nèi)部。 接入體驗不一(yī)緻,用戶訪問體驗割裂 大部分用戶很重視(shì)從外到內(nèi)的(de)安全接入,但內(nèi)部業務訪問邏輯卻相對簡單,且接入方式複雜多樣,包括網絡準入、雲桌面 VDI、PC 等,不僅需要來回切換,還引入了多套身份體系,增加了安全風險。同時,伴随着企業數字化轉型,業務部署方式發生變化,多機房、混合雲的(de)環境使得傳統的(de) SSL VPN 難以滿足用戶随時随地(dì)的(de)接入訪問需求。 運維管理(lǐ)難度大,多套設備來回切換 多套安全接入産品,勢必會造成不同設備訪問策略管理(lǐ)的(de)複雜度持續上升,需要投入更多的(de)人力和(hé)時間成本,違背企業“降本增效”的(de)經營邏輯。 相信以上問題,諸多用戶都有共鳴。如(rú)何解決,才是關鍵。 為(wèi)了給廣大用戶提供更合理(lǐ)可(kě)行的(de)解決方案,深信服以自(zì)身進行驗證,在短(duǎn)短(duǎn)一(yī)年(nián)時間內(nèi),完成了集團內(nèi)部零信任建設,實現基于零信任架構的(de)內(nèi)外網統一(yī)接入(點擊跳轉:深信服零信任的(de)0号樣闆點)。無論用戶身處何種網絡,隻有通過零信任的(de)安全認證和(hé)訪問代理(lǐ),才能訪問後端業務。 去(qù)年(nián),我們也開始幫助用戶逐步向更廣泛的(de)場景進發:分支接入、開發測試、安全運維、內(nèi)外網統一(yī)接入等,在各行各業打造典型案例,成為(wèi)國內(nèi)零信任落地(dì)數量第1、單客戶百萬并發規模的(de)網絡安全廠商。(點擊跳轉:落地(dì)數量第1,深信服零信任獲中國信通院“最受行業歡迎廠商”) 如(rú)今,越來越多的(de)用戶已經将零信任取代了傳統的(de) SSL VPN,并且享受到了零信任所帶來的(de)安全效益,因此我們為(wèi)用戶提供的(de)切實建議是: 基于訪問主體和(hé)客體,統一(yī)規劃,在平穩完成遠程辦公場景零信任建設後,可(kě)以逐步切換到分支接入、特權訪問、辦公內(nèi)網等場景的(de)零信任建設,逐步解決上述問題。 觀點三:關于零信任架構的(de)實現方式 零信任是一(yī)個架構體系,面向不同的(de)訪問主體和(hé)訪問客體,可(kě)以選擇不同“搭建方式”。 值得關注的(de)是,作為(wèi)網絡安全體系中信任評估和(hé)訪問控制的(de)全局性框架,零信任架構的(de)演進性和(hé)生長(cháng)性是關鍵,需要随着業務範圍的(de)擴展,進行靈活、快速、低(dī)成本的(de)适配。 零信任架構并非單個産品就能完全實現的(de),基于大量用戶實踐的(de)探索,深信服能夠為(wèi)用戶提供不同組合的(de)搭建方案: 零信任+桌面雲,打造安全數字化工作空間 提供“5A+S級”Workspace辦公體驗,構建融合多種不同安全級别應用的(de)數字化工作平台,在同一(yī)工作平台中實現不同密級應用的(de)一(yī)站式訪問,為(wèi)辦公安全與體驗上一(yī)份“雙重保險”。
【案例】銀聯商務(點擊跳轉:守“滬”金融,背後的(de)力量) 面對銀聯商務3-4級分支公司、超1000人規模的(de)員工,零信任aTrust與桌面雲VDI、安全沙箱UEM等創新結合,為(wèi)數字化安全辦公平台的(de)基座砌上更堅實的(de)磚瓦。 零信任+終端數據安全沙箱,實現洩密風險防護 綜合虛拟網絡域、辦公空間、透明加解密、數據導出/外發管控、內(nèi)存拷貝管控、屏幕水印等技術,實現終端數據洩密防護。 【案例】廣州銀行信用卡中心(點擊跳轉:落地(dì)零信任,助力業務高(gāo)韌性發展) 基于豐富的(de)認證手段與持續檢測終端安全基線,将終端劃分不同的(de)工作空間,通過零信任aTrust 網關和(hé)控制中心,實現強認證以及數據不落地(dì),保障業務安全接入與終端數據防護“兩手抓”。
最後,您可(kě)能還會有一(yī)個終極問題:
使用零信任就絕對安全了嗎?
答案顯然是否定的(de)。安全風險隻能“轉移”,不會憑空“消失”。
當然,深信服零信任也持續思考和(hé)探索“如(rú)何将安全風險最小化”,以不斷沉澱的(de)技術實力與不斷增強的(de)産品能力,诠釋安全接入的(de)全新範式,助力用戶“安全領先一(yī)步”。相信不久後,我們将給您帶來一(yī)份全新答卷。
上一(yī)篇:超融合架構與雲、傳統架構對比