2020年的遠端辦公大潮中,中大型企業的VPN遠端辦公暴露了諸多問題:家庭網路難連上公司VPN、VPN頻頻掉線等狀況。其中,某上市公司生產環境遭到惡意破壞的事件尤其讓人印象深刻。其運維人員透過VPN登入公司內網跳板機,在許可權管控缺失的情況下,報復性破壞客戶資料,導致公司市值縮水近20億元。
大中型企業需要思考,企業遠端辦公的核心訴求是什麼。
2010年起,Google發起BeyondCorp專案,目標是“讓所有Google員工從不受信任的網路中不接入VPN就能順利工作”。該專案用零信任理念打造安全便捷的遠端辦公系統,發展至今谷歌員工已經可以從世界各地訪問大部分公司應用,只有少部分場景仍依賴VPN。
Gartner預測,到2023年,全球將有60%的企業淘汰大部分VPN,轉向使用零信任訪問網路。
形成這種轉變趨勢的根本原因,是遠端辦公對安全、穩定且易用的訴求:
1、 安全。除通訊加密外,實施員工操作最小化授權,使用者行為風險可控;
2、 穩定。訪問企業應用通暢高效;
3、 易用。不限運營商服務,保障客戶全國分支機構員工均可低時延訪問企業應用。
基於零信任理念打造的企業安全訪問體系,有哪些重要的價值點?下面我們就從上述三個方面來詳細描述零信任遠端辦公方案(相較於 VPN)在企業遠端辦公場景下的優勢,分析它的優勢能力如何解決現階段遠端辦公問題。
突出的安全能力優勢
讓我們以一次具體的工作流程來看零信任如何提升遠端辦公安全性:
員工在家中訪問零信任單點登入平臺,使用者認證成功後預設情況下不可見任何應用,在管理員基於角色/屬性授權後,使用者可訪問最小化授權的應用、使用最小授權的功能。使用者訪問應用過程中,安全風險會被持續評估,如果零信任系統發現終端環境、使用者行為存在風險,或使用者將進行敏感高危操作,則會觸發動態授權、二次認證等,進一步可進入審批環節,從而將風險降到最低。
總結零信任遠端辦公方案在安全性上的優勢,主要有以下幾個方面:
• 訪問零信任化
賬戶、應用、認證授權統一管理,實現所有使用者接入前統一認證,即先認證、再連線,隱藏應用,減少攻擊暴露面。
• 多層級細粒度的授權
具備細粒度多層級的的授權控制能力,支援應用級、功能級、資料多層級細粒度授權,實現全面最小化授權。
• 動態風險評估
實時評估終端環境、使用者行為等安全風險,發現異常立刻觸發訪問控制,提供豐富詳盡的日誌供審計追溯,形成安全事件響應閉環。
• 統一多因素認證
多因素認證已經被驗證為大幅提升資產安全性的方式,沒有一種身份識別技術是萬能的,但結合起來時卻能本質上提升安全等級。
安全研究機構SANS新發布了一篇論文《Incident Response In A Zero Trust World》,最終證明零信任網路比傳統網路有更強的安全事件響應能力。特別是在安全事件響應效率上具有明顯的優勢。隨著測試環境發展到更復雜的應用程式和終端組成,基於邊界防護的安全體系將失去有效的洞察力和控制力。
論文中,研究人員使用PC+防火牆組成傳統網路測試床,用PC+數個雲元件組成零信任網路測試床。再用五個常見安全事件分別測試傳統模型和零信任模型的事件響應效率,基於兩類防禦模型對事件的響應程度給出分數,彙總評分表如下:
從彙總的評分表可以看出,在雲服務使用場景中,零信任架構在識別檢測和遏制處置上,對比傳統邊界防禦模型有了明顯優勢。論文最後還給出了網路建設建議,包括統一應用身份管理、關聯多個元件快速響應事件等,並表示當前的威脅態勢幾乎已經逼迫使用雲服務的企業儘早開始建設零信任安全體系。
美國近期也開始了大規模遠端辦公, CISA(美國國土安全部的網路安全和基礎設施安全域性)於3月釋出企業VPN安全警告,對VPN安全問題做了多條分析,可見VPN在安全性上的多方不足。(附CISA 企業VPN安全警告原文https://www.us-cert.gov/ncas/alerts/aa20-073a)
零信任和VPN在通用遠端辦公場景的對比,我們簡要總結如下:
不難看出,零信任方案的安全性多個方面都優於VPN。
更低的網路質量要求
大規模遠端辦公大勢下,不得不啟用的VPN被公司員工廣泛吐槽的情況屢見不鮮。主要原因我們認為還是在於辦公體驗。而這主要受這兩方面限制:
一是國內大網環境硬傷。網路多層NAT導致VPN跨網能力差。
二是易用性不佳。無論是SSL VPN還是IPSEC VPN,均需使用者在客戶端安裝軟體或外掛,以此實現撥號,建立維持隧道,且仍受網路質量影響。且一旦掉線所有連線需要重連,使用者體驗差。
而基於零信任理念的遠端辦公方案,可以最大程度讓員工擁有內外網一致的辦公體驗。透過反向代理,零信任方案讓終端使用者可以直接公網進行認證後,訪問授權的企業應用,而不會因網路連通性影響辦公效率。運維人員也不會再接到員工“連不上VPN”的抱怨。
此外,特殊時期遇上突增的遠端辦公需求,很難有公司能立馬滿足,畢竟正常情況下遠端辦公能力僅是預備給部分人使用的。這種情況下,遠端辦公方案能否適配高併發場景、能否快速擴容就成了關鍵。
在架構設計上, VPN的隧道機制決定了其需要消耗效能在新建和維持大量隧道上。而零信任的安全認證閘道器不新建維持大量隧道,連線更穩定,能更好的支援高併發。零信任安全認證閘道器可以軟/硬體形式部署在本地或雲上。虛擬版對硬體配置要求不高,可以在普通效能的伺服器上快速擴容,完美支援高併發場景。
顯著提升的使用體驗
過去,在安全和便捷之間,我們很難達到一個理想的平衡。綠盟科技基於零信任理念的遠端辦公方案(由安全認證閘道器SAG和統一身份認證平臺UIP組合而成),無論是對終端使用者還是安全運營人員,都在易用性上有明顯的提升。
於遠端辦公的使用者而言:
· 無需客戶端安裝任何軟體/外掛,避開繁瑣安裝配置流程,電腦或手機只需瀏覽器+Internet即可輕鬆遠端辦公。
·
支援單點登入,使用者一次認證授權成功即可訪問與授權相恰的應用,無需反覆登入,後續的零信任校驗於使用者無感知。
·
於安全運營人員而言:賬戶、應用、認證授權統一管理,並有詳盡的日誌記錄,方便運營人員統一管理,為應用配置統一的安全策略,提高運營效率。
綠盟零信任遠端辦公解決方案
針對遠端辦公場景,綠盟科技推出了零信任遠端辦公方案,方案由安全認證閘道器(NSFOCUS SAG)和統一身份認證平臺(NSFOCUS UIP)組合而成。
綠盟零信任遠端辦公方案
該方案旨在為企業打造穩定、易用、安全的零信任遠端辦公網路,使用者可在任意位置、使用任意裝置,透過UIP提供的單點登入訪問與其授權相恰的應用。同時,SAG & UIP會校驗每次訪問請求,結合細粒度授權控制,實現使用者的最小化授權,以防止攻擊內部橫向移動,防範內外部的安全風險,保障遠端辦公安全。
結合綠盟科技20年來的資訊保安技術實踐與積累,相對傳統遠端辦公方案,綠盟零信任遠端辦公方案優勢總結如下:
1、 訪問安全零信任化
• 賬戶、應用、認證授權統一管理,所有訪問先認證、再建立連線;
• 隱藏業務暴露面、具備細粒度多層級的的授權控制能力,實現全面最小化授權。
2、 角色授權細粒度化
• 支援基於使用者角色的授權;
• 支援應用級、功能級、API級、資料級多層級細粒度授權;
• 支援多重風險評估,並相應做出動態調整授權。
3、 統一認證接入高效化
• 支援標準的協議和單點登入,統一應用接入口;
• 一個賬戶打通所有應用,統一多因素認證,降低管理成本提高。
4、 使用者行為追溯與響應閉環化
• 細粒度、多維度的業務日誌與系統日誌記錄;
• 持續、實時的信任評估與驗證,動態調整授權控制,審計預警聯動,形成響應閉環;
5、 終端使用者體驗最佳化
• 網路連通性佳,使用者遠端訪問企業應用對網路質量要求不高;
• 易用性好,使用者側零安裝零配置即可用,支援各類終端裝置;
• 穩定性好不掉線,完美支援高併發場景,虛擬版本可快速擴容。
此外,從成本投入角度,該方案對於客戶而言改造成本更低,見效更快,可立即投入實際生產,改善企業的遠端辦公條件,也是功能性外的一大優勢所在。