在后疫情世界通过零信任边缘确保安全
发布时间:2022-06-27 15:45:08 所属栏目:安全 来源:互联网
导读:德尔塔毒株的出现打破了中国成千上万人原本稳步恢复的工作和生活,使得许多企业只能回到在家办公的模式。许多学校,尤其是在出现疫情的地区的学校都发布了推迟秋季开学的通知。事实上,远程工作应用程序已经成为继续防控疫情和维护经济社会正常运行的重要互
|
德尔塔毒株的出现打破了中国成千上万人原本稳步恢复的工作和生活,使得许多企业只能回到在家办公的模式。许多学校,尤其是在出现疫情的地区的学校都发布了推迟秋季开学的通知。事实上,远程工作应用程序已经成为继续防控疫情和维护经济社会正常运行的重要互联网工具,其用户数量正在迅速增长。据中国互联网络信息中心发布的第47次《中国互联网络发展状况统计报告》,截至2020年12月,中国远程办公用户规模达3.46亿,占网民整体的34.9%。 零信任:新现实中的关键组成部分 零信任是一项简单的策略,其核心是古老的最小特权网络安全原则的加强版。但与这个名字恰恰相反的是,零信任是一项对员工友好的安全解决方案,因此可以被IT专业人员和其他员工所接受。 零信任可以真正为各种规模的企业提供更好的安全结果。今年6月中国刚刚通过了《数据安全法》,中国企业被要求改善他们的数据保护实践。未能保护数据并导致大规模数据泄露的组织将面临最高200万元人民币的罚款并可能被暂停相关业务。因此,许多企业已经实施或正在实施零信任,有些甚至建立了基于零信任安全的新一代远程办公系统。 零信任的核心是非常严格的访问控制,能够确保只向经过验证和授权的用户授予访问权限,而且只用于必要的用途。尽管该策略的名称是“零信任”,但它并不吓人。这个概念十分简单,可以被认为是一种添加了环境变量的最小权限访问形式。 零信任网络访问“名不副实” 尽管零信任并不复杂并且可以被看作是最小权限访问这一古老安全原则的加强版,但其实两者并不相似。事实上,它与最小权限访问最显著的区别之一在于零信任基于应用程序访问,而不是网络访问。了解网络访问和应用程序访问之间的区别至关重要。 传统的企业应用程序访问基于网络访问。您需要在企业网络上才能访问企业应用程序。如果您在企业的某幢办公大楼里,那么您就会连接该企业的Wi-Fi网络或以太网并且可能还需要通过一个额外的网络访问控制(NAC)步骤。如果您在其他地方,那么您将使用虚拟私人网络(VPN)。无论哪种方式,都会有某种形式的验证和授权允许您在企业网络上访问。此时,如果您有较高的权限,就可以访问企业的应用程序。 但这种伴随着网络访问的高级权限也会给您带来不需要的额外功能。具体而言,您可以看到该网络连接的每个应用程序。您可能无法登录到每一个这样的应用程序,但可以看到它们。也就是说,您可以将数据包发送给它们。这个区别十分重要。如果您能看到一个应用程序,您就可以让它执行代码(例如显示登录屏幕或启动一些其他形式的登录挑战)。如果您能让它执行代码,您就可以利用漏洞。 这明显违反了最小权限原则。您需要访问某些应用程序,但无需看到其他应用程序,更不用说扫描网络漏洞。零信任通过使用基于应用程序的访问模式来解决这个问题。 通过零信任访问,用户和应用程序之间不存在直接路径,所有访问均通过代理进行。一般情况下,零信任访问作为一种服务提供,代理位于多个互联网地点。这样,用户只需要连接互联网,而不需要连接企业网络。 为什么需要在边缘部署零信任 在这个用户、威胁和应用程序无处不在的时代,所有流量都必须通过一个可靠的安全堆栈。但回传流量会破坏性能,而且回传攻击流量会造成更大的破坏。那么我们如何在不进行回传的情况下实现这一目标?答案是部署零信任安全并将其作为一项边缘服务提供。 在深入研究传统部署模式时,我们应首先考虑员工访问基于互联网的网络应用程序这一情况。此类应用程序可能是工作所需的SaaS应用程序,也可能是在工作环境中使用或者用于个人活动的网络应用程序。为了确保这些流量的安全,我们需要一个安全网络网关(SWG)。 SWG可确保可接受的使用政策得到执行,员工不会意外尝试访问钓鱼网站,恶意软件不会被下载到员工的设备上等等。SWG是安全堆栈的一个重要组成部分,而在强大的网络安全态势下,所有对基于互联网的网络应用程序的访问都要经过SWG。 但由于员工经常远程工作并且一般通过远程访问VPN,所以流量必须回传到SWG。这会破坏性能并带来其他扩展挑战。此外,SWG并不是安全堆栈的唯一重要组成部分。在强大的网络安全态势下,所有流量都必须接受访问控制和检查,而不仅仅是那些通过SWG的互联网流量。该要求是零信任的一个基本原则。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号