基於零信任架構的IDaaS實現

派拉軟體發表於2021-07-16

圖片

隨著網際網路的持續發展,便捷的共享方式極大地提高了企業的生產力和工作效率,但隨之也給企業內網帶來了極大的安全隱患。企業內網承載大量的核心資產和機密資料,一旦受到攻擊可能會造成大量損失,因此,如何透過零信任內網安全解決方案保障企業資料安全,加強企業資訊化建設,是提高企業資訊保安管理水平的關鍵。



01

企業內網安全面臨的問題與挑戰


數字經濟時代,數字應用是推動經濟社會發展的必要生產要素,其重要性日益凸顯。面對新基建的歷史機遇,隨著5G網路、人工智慧、工業網際網路等產業的成熟,移動網際網路、物聯網、工業網際網路、車聯網等新型應用場景的持續推廣也隨之帶來了許多安全問題,企業內網安全面臨以下挑戰:



針對企業網路邊界的猛烈攻擊

攻擊者大量利用弱口令、口令爆破等慣用伎倆,在登入過程中突破企業邊界、在傳輸過程中截獲或偽造登入憑證。大型組織甚至國家發起的APT高階攻擊,還可以繞過或攻破企業網路防護邊界在企業內部進行橫向訪問。  


企業資源暴露程度大幅度增加

在非授權訪問、員工無意犯錯等情況下,“合法使用者”非法訪問特定的業務和資料資源後,造成企業內部資料洩漏,甚至可能發生內部員工“獲取”管理員許可權,導致更大範圍、更高階別的企業資訊保安災難性事故。


傳統安全防禦體系已經無法適應安全管控需求

傳統的安全架構以“縱深防禦+邊界防禦”為主,企業在成長過程中,安全邊界逐步被打破,並徹底走向模糊化,基於邊界的安全防護體系逐漸失效,已經難以適應企業快速成長,難以應對業務的快速變化。



02

企業內網安全場景分析


企業內部業務一方面實現了多部門、多平臺、多業務的資料融合;另一方面業務訪問方面打破了業務之間、部門之間的網路邊界,實現互通互訪。其主要的零信任業務場景包括:


企業分支機構實現內網訪問

通常企業有一個總部和一個或多個位置分散的分支機構,這些機構沒有由企業自有的物理網路連線,員工可透過內網訪問企業內部應用,其應用系統會暴露於各種安全威脅下,易受到各種形式的攻擊,包括暴力破解、DDoS、XSS和任何TLS漏洞。


企業內部員工出差實現內網訪問

員工在出差過程中,經常透過不同的環境或裝置遠端訪問企業內網進行公文處理、郵件收發或資料上傳下載,因不安全的環境和裝置非常容易導致惡意軟體透過內網進行傳播,帶來巨大的安全風險。


企業運維人員透過遠端實現內網訪問

企業內部運維人員在非工作時間,為快速支援和解決業務的應急問題,需要透過遠端訪問後臺伺服器的埠和訪問許可權進行管理,而粗放式的埠授權和訪問機制,導致攻擊者可快速掃描其伺服器漏洞,增加了被攻擊風險。


企業內部人員透過外網直接訪問被暴露的應用系統

一部分企業為方便應用系統被全球使用者或分支機構訪問,採取直接透過NAT方式對映至網際網路,並開通其訪問埠和訪問路徑,其安全隱患一是應用系統無法應對各種攻擊和病毒入侵,二是攻擊者使用DDoS等攻擊手段導致業務癱瘓。



03

零信任內網安全解決方案


派拉零信任身份安全系統是基於“零信任”架構,整合賬戶管理、統一認證、訪問授權、集中審計、特權管理、應用安全等,實現內網安全管理功能和服務。


SDP方式實現BYOD分支機構訪問

基於零信任資源門戶部署方式,對使用者的自有裝置實現裝置、人員和許可權的綜合鑑權與訪問,其中門戶閘道器可以是單個資源或資源集,並且不需要在客戶端裝置安裝代理軟體。

圖片


SDP方式實現不支援BYOD分支機構訪問

基於零信任裝置代理/閘道器部署方式,對使用者的非自有裝置實現裝置、人員和許可權的綜合鑑權與訪問,其中每個資源都具備一個閘道器,並且在客戶端裝置安裝代理軟體。

圖片


SDP方式實現運維管理及業務應用遠端訪問

使用SDP閘道器,針對運維管理人員及企業內部使用者,透過遠端訪問或直接訪問形式,首先進行SPA單包認證,只有使用者身份、訪問許可權和裝置透過驗證且可信,則建立相應的TCP連線,同時開放伺服器運維埠及應用系統訪問埠等許可權。

圖片


使用微隔離技術加強企業內部業務安全訪問

透過新一代防火牆NGFW技術,實現針對企業內部以應用維度進行網路隔離,主要包括兩種實現模式:

  • 第三方防火牆微隔離:透過第三方防火牆供應商提供的虛擬防火牆進行隔離,其特點包括具備豐富的安全能力、支援自動化編排和豐富的分析報告;

圖片


  • 基於代理模式微隔離:透過使用將代理軟體部署至主機或虛擬機器中,實現動態方式控制代理主機間的通訊和安全,其特點包括適用各種線下線下平臺、支援自動化編排和安全策略的快速遷移。

圖片



企業內部使用者身份管理與訪問控制

透過對企業多身份源的統一、可信終端管控以及不同網路訪問場景的安全管控,促進企業對內部、外部、客戶、消費者、合作伙伴等不同群體和物件的管理。同時基於主體、客體和環境等層面的角色動態管理和最小許可權管控,滿足安全治理要求。透過AI風險分析與監測,動態感知安全邊界的變化,更多的使用者透過手機、Pad等不同可信終端進行業務訪問,進一步擴大安全管理邊界。基於可信裝置的准入和身份鑑別,保障裝置可信接入和安全環境的合規訪問。

圖片




04

零信任內網安全訪問業務價值


構建更安全的內部安全網路

透過實施“從不信任並始終驗證”,不同型別使用者只能按照預先確定的信任級別,訪問預先申請的企業資源,未預先申請的企業資源將無法被訪問,阻止企業內部“漫遊”情況。


增強對企業應用和資料的保護

在實施“按需受控訪問”的基礎上,有效整合資源保護相關的資料加密、網路分段、資料防洩露等技術,保護應用資源、資料在網路中的傳輸和儲存,並優先保護高價值資源。


大面積減少攻擊企業內部風險

使用者透過訪問認證之前,資源對使用者隱身;即便在使用者透過訪問認證和授權,成功進入網路以後,零信任架構也將阻止使用者漫遊到未經授權的區域。零信任思維從根本上降低了外部(網際網路可發現)和內部(內部威脅)攻擊面。


縮減企業安全管理成本和建設成本

零信任架構終結了安全防護手段各自為政的現狀,在零信任架構實施時,可以透過與現有工具的整合,大幅度降低零信任潛在建設成本。



據舊金山電腦保安研究所的統計,60%到80%的網路濫用事件來自內部網路,對內部人的信任所造成的危害程度,遠遠超過駭客攻擊和病毒造成的損失。展望未來,隨著網路防護從傳統邊界安全理念向零信任理念演進,零信任將成為數字安全時代的主流架構。



圖片


相關文章