一、从RSA2021看零信任
数字化转型中,云计算、大数据、物联网、移动互联等技术的业务应用加速落地,新技术元素的导入,提升业务效率,同时也带来了新的安全风险。面对传统安全防护方案的局限性,“零信任”提供了新的安全思想,零信任秉持 “从不信任,始终验证”的原则,在不可信网络中构建对应用系统的安全访问是零信任的终极目标。
随着零信任安全的持续火热和崭新的安全理念,吸引越来越多的企业希望向零信任转型,本次RSA大会,零信任也成为此次会议的热门话题之一,众多厂商从不同角度对零信任架构做出了分析;包括数据安全与个人隐私、云安全、弹性与恢复、身份安全等其他热门话题也都和零信任密切相关。
同时在RSA创新沙盒TOP10中有两家公司产品和零信任相关,Axis Security公司的零信任方案(Application Access Cloud),直译过来就是“应用访问云”,此方案的创新之处在于依托于云计算,使用无终端化方式接入,应用服务侧只需部署连接器即可,这样大大减少了企业从传统VPN接入方式向零信任网络迁移的技术阻碍。当然此方案也有一定的局限性,事实上,无终端化是相对而言的,只是覆盖了主流服务,如Web服务、RDP服务、SSH服务、Git服务和数据库服务等。如果终端只需要访问这些服务,就不必安装终端。但是如果安装终端则允许终端访问几乎任何形式的网络服务,应用范围会更加的广阔。
图片摘自Axis Security公司官网
STRATA公司的企业多云身份管理,能够对接多种云服务的身份数据和访问控制策略基础设施。同时,方案适配多种身份认证协议,在应用零改造的基础上实现统一管理。STRATA MVERICS平台联动三个产品,身份发现(Identity Discovery)、连接目录(Connector Catalog)以及身份编排引擎(Identity Orchestrator)提供关键能力。由于零信任架构强调“以身份为中心”,建立基于身份的细粒度访问控制。因此此方案可以大大推动零信任架构实施,让企业以最小的代价完成零信任架构迁移的第一步。
图片摘自STRATA公司官网
二、关于零信任的未来思考
零信任是一种新型的网络安全架构,可以从零开始建设,也可以在现有的基础设施之上构建新的安全防护机制。基于各类创新技术的不断发展对现有技术的冲击,厂商需要做好合理的用户引导,在未来的很长一段时间内,做好传统安全技术和零信任技术共存的心理准备,一边运行,一边建设,逐步替换,保证新旧技术的平滑演进。
包括我们在为企业推广零信任安全解决方案的时候,不能完全颠覆企业当前的安全建设成果,而去打造一个全新的零信任安全体系。需要充分考虑零信任方案如何和客户当前存量安全产品相互融合,为企业的安全保驾护航。
零信任方案在设计之初,就需要包容的心态,要与各种安全能力和谐共处。围绕零信任“永不信任,持续认证”的安全理念,将各种安全能力统一归属到零信任体系之下,将其作为零信任的“耳目”。通过丰富的异构产品接口,收集各安全产品的安全日志和安全事件,进行集中分析和研判,打造全访问链的动态可信访问。
2.1 绿盟科技零信任实践
结合上述思考,作为网络安全行业资深厂商,绿盟科技很早就开始布局零信任领域,历经数年从最早期的SDP研究,时至今日已经有了成熟的零信任解决方案支撑不同行业客户的特定安全访问场景及安全需求。
2.1.1 方案概述
绿盟科技零信任安全解决方案基于设备评估,用户认证和行为分析,持续集成分析和验证信任关系,以此在不可信网络中构建安全系统,覆盖了远程安全办公、暴露面收敛、统一安全访问、数据安全访问及终端安全接入等典型应用场景。
方案核心产品包括:
- 一体化终端安全管理系统UES
- 安全认证网关SAG
- 统一身份认证平台UIP
- 零信任分析和控制平台ISOP-ZTA
2.1.2 方案特点
- 方案产品灵活组合,分层解耦,可独立部署,支持根据客户实际需求分阶段或选择性建设。
- 通过客户端和安全认证网关从访问主体到访问客体之间,建立安全访问通道。
- 采用SDP方案,实现业务应用的彻底隐身,让攻击无从下手。
- 绿盟零信任大脑作为总分析和控制中心,由终端安全管理平台,统一身份认证平台,分析和控制平台组成,构建风险和信任综合分析能力,动态决策响应能力,实现纵深防御。
2.1.3 核心能力
- 全面感知
上下文环境感知。终端安全状态感知,网络环境上下文感知,威胁情报输入的感知等。
- 最小授信
终端可信,用户可信,网络可信,应用可信,最小化权限访问资源,实现最小授信。
- 持续评估
从认证系统,安全设备,网络流量,终端安全等多维度获取信息,持续分析用户和实体行为,确保用户在访问过程中的行为可信。
- 动态决策
根据用户及终端的安全风险,自动化的下发策略,执行阻断,二次验证,隔离等操作,实现基于风险的自适应安全访问控制。
2.1.4 客户价值
统一安全可信访问
- 全面隐藏应用,减少暴露面
- 统一MFA认证,杜绝弱口令,避免未授权访问
- 细粒度会话控制,防止越权访问,攻击横向扩散
- 全面日志审计,关联分析,闭环处置
零改造快速合规
- 统一多因素认证,满足等保2.0对身份认证因子相关要求
- 国密加密,满足等保2.0,密码法对关键基础设施传输和存储加密的要求
- 无需大批量业务改造和替换,快速合规
全方位降本提效
- 节约管理&运维&人员成本
- 提高办公访问效率,提高员工工作效率
- 账户&权限统一管理,业务灵活扩展,数字化转型无忧
一致便捷的用户体验
- 访问低延迟,更少等待
- 无密码认证,无需记忆繁杂密码
2.1.5 推荐建设步骤
三、总结
“网络安全的未来在云端”,随着信息化数字化办公的兴起,越来越多的企业将自身应用迁移到了云端,或者直接购买云上的SaaS服务。这种方式大大提升了办公效率,任何个人都可以通过BYOD设备快速访问企业应用,做到随时随地办公。但同时也增加了企业应用的安全风险,由于应用部署在云端,企业不得不去考虑这些应用的安全性,包括访问权限、服务隔离、数据放泄露、安全审计等。
基于这种背景,Gartner于2019年提出一个全新的安全概念SASE(Secure Access Service Edge),即“安全访问服务边缘”。 SASE是一种整合各种云原生的安全功能,例如SWG、IPS、NGFW、CASB等,基于零信任网络访问(Zero Trust Network Access,ZTNA)模型建立推出的一种管理型服务,从而满足企业在数字化转型过程中的动态安全访问需求。SASE 是一种基于实体的身份,实时上下文分析、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。
SASE同样是以身份为驱动,ZTNA架构为核心,这些理念和零信任高度一致,可以看做零信任在云场景的扩展和演进。因此在关注零信任的发展和趋势时,有条件的情况下可以和SASE方案做适度的融合,贴合更多的用户场景。
绿盟科技也将于近期发布SASE安全解决方案,分别推出两款产品NIA(NSFOCUS Internet Access)和NPA(NSFOCUS Private Access),涵盖不同的应用场景,为企业的数据中心和云上应用安全保驾护航。
NPA是基于零信任的云安全内网访问服务,适用于用户到私有数据/程序的连接,基于零信任原则,云端控制器根据上下文做接入控制,提供多因子认证、三方身份认证、暴露面隐藏等能力。NIA依托服务化的云上安全网关,基于防火墙、IPS、沙箱等为客户提供针对Web和Internet的威胁保护。
如需更多信息,敬请关注绿盟科技官网发布。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。