零信任:企业网络防护的升级之路
企业网络防护现状
数字化转型驱动IT技术环境快速演进,云计算、大数据、物联网和移动终端的普及推动了远程访问的常态化。然而中小企业由于处于快速发展阶段,业务增长迅速,普遍采用云服务满足需求;而大型企业则面临更为复杂的网络环境,存在大量分支机构等,这些因素共同加剧了现有企业网络架构的复杂性和管理难度。此外,用户爆发式增长、业务多样化、平台多样化,各平台之间数据持续流转,增加了网络暴露面;再加上传统边界思维过度的信任内网,也使得网络安全防护越发重要。
传统边界安全防护的局限性
传统的基于网络边界的安全防护模型,适用于网络环境比较固定,物理边界比较清晰的情况(网络安全边界即物理边界),能够一定程度上把安全威胁限制在要保护的安全区域之外,安全区域划分得越小,边界保护的精度越高。
这种传统的安全模型的缺点很明显,边界总会被绕过,传统方式通过架设防火墙堵住入口,然后建设自己的内网。当把企业的终端设备接入到内网时,接入设备就作为一个可信的设备,同时被分配了一个比较大网络权限(一般企业规划是给一个业务类型的设备一个大网络段,不可能规划太多的网络段),其可以在内网访问大量业务服务器、业务资源。好比为要守一座城,先在城的四周建立城墙,把城内与城外隔离开来,再修建城门,作为关卡检查所有进城人员,保障外来的人员都是可信任的再放行进城。
图/特大号
考虑到企业内部的终端环境,也将面临大面积暴露的风险。虽然有很多边界安全防护设备,但还是抵挡不住员工被攻击,比如使用被社工入侵内网的终端设备,这个终端设备天然被内网信任,一旦终端设备被攻陷可作为跳板,有一个大网段的企业内部服务器资源可以任意访问。
被攻陷的终端设备运行未知的恶意代码,进行内网传播、盘点服务器资源、入侵破坏服务器或者窃取数据,终端设备具备对应的网络权限,安全管理人员也不知道终端内是用什么应用在访问什么具体的目标资源,那么恶意攻击人员就可以在内网畅通无阻。这种风险的本质就是利用了合法设备-合法网络权限的弱点。
威努特零信任方案满足安全需求
业务架构无感改造
在零信任理念下,无需划分和维护特别复杂的网络策略,基于零信任网关建立高性能隧道,在总部与各分支机构架设零信任安全网关,即可实现总部和分支机构的安全连接,确保只有经过身份验证和授权的设备或用户可以访问网络资源。针对上述集团并购公司、办事处等分支职场网络的场景,零信任架构使得运营维护等工作投入成本大大降低。
更进一步地,仅需要在终端设备上安装零信任终端代理软件,实现终端的安全监测和防护,通过密码技术在公网上建立安全的通信链路连接到集团统一的零信任安全网关,访问集团的业务系统。这样可以快速、经济地适应中小型企业的多变性和分支职场网络建设和访问集团业务系统的需求。
端口隐藏收敛暴露面
由于传统安全模型不能解决更高强度的攻击场景,在对抗过程中零信任安全理念被逐渐提出和实践。零信任通过先假定人、终端、资源等都是不可信的,并构建从终端到资源的动态信任链,https://txc.qq.com/products/748280/blog/1922267来实现对资源安全可信请求,阻断攻击数据。
更具体地,基于零信任理念针对内外网边界使用SPA单包授权认证机制,只允许特定请求报文,默认丢弃非法连接,实现“先认证后连接”,通过这种SPA端口隐藏技术使得服务器的端口对未授权用户不可见,有效防止服务器被恶意扫描和横向攻击风险。
图/特大号
持续状态感知与动态信任评估
基于零信任架构的“最小权限,持续认证”理念,在主体访问资源时,无论主体和资源是否可信,都对主体和资源间信任关系进行持续的状态感知与动态信任评估,实现端到端安全的访问控制。
零信任方案在传统的网络基础建设上,屏蔽大部分非关键职位的终端直接访问内网业务服务器的通道,所有的终端都必须通过零信任系统的认证授权,受控保护,然后通过链路加密的零信任安全网关才可以访问到具体的业务系统。只有符合访问控制策略的可信用户身份、可信设备、可信应用等,才可以访问授权范围内具体业务系统,同时也会持续关注用户身份、设备安全状态、可信应用安全状态等关键对象的安全变化,保证能够及时阻断访问。
威努特零信任方案助力企业网络防护升级
在传统网络安全方案中,企业依靠边界防火墙进行边界防护,一旦流量通过防火墙进入内网,内部资源往往成段的放通,导致攻击者一旦突破边界或入侵内网终端,即可横向移动并访问大量核心资源。威努特零信任安全访问控制系统(以下简称“威努特ZTG”)是以零信任理念和架构为底座并以保护数据全生命周期安全流转为设计目标而打造的新一代零信任数据安全解决方案。
首先在部署上只需网络可达即可,在该网络拓扑中可以看到零信任设备仅部署在数据中心,无需复杂改造。零信任安全访问控制系统进一步实现以下三点:
- 灵活的访问权限管理:学校师生访问业务系统时,针对用户身份和终端环境,提供权限动态管控能力和精细的访问控制策略;
- 业务系统对外隐藏:内部对外提供服务的业务系统,需要将域名、端口、ip、软件版本等信息对外隐藏,避免遭受恶意扫描和漏洞攻击;
- 动态权限管控:当远程访问用户存在身份仿冒、存在异常的网络区域、时间、终端上存在非法的远控程序、访问频率等,需对接入的用户进行权限自动管控。
总 结
随着数字化时代的快速发展,企业面临着前所未有的网络安全挑战。传统的网络安全理念,基于静态的边界防护,已难以应对日益复杂多变的网络威胁。从传统安全理念到零信任理念的演进,不仅是技术发展的必然结果,更是企业应对现代网络环境挑战的迫切需求。