洞見RSA 2021｜零信任的困境與破局之路

從RSA2021看零信任

數字化轉型中，雲端計算、大資料、物聯網、移動互聯等技術的業務應用加速落地，新技術元素的匯入，提升業務效率，同時也帶來了新的安全風險。面對傳統安全防護方案的侷限性，“零信任”提供了新的安全思想，零信任秉持 “從不信任，始終驗證”的原則，在不可信網路中構建對應用系統的安全訪問是零信任的終極目標。

 

隨著零信任安全的持續火熱和嶄新的安全理念，吸引越來越多的企業希望向零信任轉型，本次RSA大會，零信任也成為此次會議的熱門話題之一，眾多廠商從不同角度對零信任架構做出了分析；包括資料安全與個人隱私、雲安全、彈性與恢復、身份安全等其他熱門話題也都和零信任密切相關。

同時在RSA創新沙盒TOP10中有兩家公司產品和零信任相關，Axis Security公司的零信任方案（Application Access Cloud），直譯過來就是“應用訪問雲”，此方案的創新之處在於依託於雲端計算，使用無終端化方式接入，應用服務側只需部署聯結器即可，這樣大大減少了企業從傳統VPN接入方式向零信任網路遷移的技術阻礙。當然此方案也有一定的侷限性，事實上，無終端化是相對而言的，只是覆蓋了主流服務，如Web服務、RDP服務、SSH服務、Git服務和資料庫服務等。如果終端只需要訪問這些服務，就不必安裝終端。但是如果安裝終端則允許終端訪問幾乎任何形式的網路服務，應用範圍會更加的廣闊。

 

圖片摘自Axis Security公司官網

STRATA公司的企業多雲身份管理，能夠對接多種雲服務的身份資料和訪問控制策略基礎設施。同時，方案適配多種身份認證協議，在應用零改造的基礎上實現統一管理。STRATA MVERICS平臺聯動三個產品，身份發現（Identity Discovery）、連線目錄（Connector Catalog）以及身份編排引擎（Identity Orchestrator）提供關鍵能力。由於零信任架構強調“以身份為中心”，建立基於身份的細粒度訪問控制。因此此方案可以大大推動零信任架構實施，讓企業以最小的代價完成零信任架構遷移的第一步。

圖片摘自STRATA公司官網

 

關於零信任的未來思考

零信任是一種新型的網路安全架構，可以從零開始建設，也可以在現有的基礎設施之上構建新的安全防護機制。基於各類創新技術的不斷髮展對現有技術的衝擊，廠商需要做好合理的使用者引導，在未來的很長一段時間內，做好傳統安全技術和零信任技術共存的心理準備，一邊執行，一邊建設，逐步替換，保證新舊技術的平滑演進。

包括我們在為企業推廣零信任安全解決方案的時候，不能完全顛覆企業當前的安全建設成果，而去打造一個全新的零信任安全體系。需要充分考慮零信任方案如何和客戶當前存量安全產品相互融合，為企業的安全保駕護航。

零信任方案在設計之初，就需要包容的心態，要與各種安全能力和諧共處。圍繞零信任“永不信任，持續認證”的安全理念，將各種安全能力統一歸屬到零信任體系之下，將其作為零信任的“耳目”。透過豐富的異構產品介面，收集各安全產品的安全日誌和安全事件，進行集中分析和研判，打造全訪問鏈的動態可信訪問。

綠盟科技零信任實踐

結合上述思考，作為網路安全行業資深廠商，綠盟科技很早就開始佈局零信任領域，歷經數年從最早期的SDP研究，時至今日已經有了成熟的零信任解決方案支撐不同行業客戶的特定安全訪問場景及安全需求。

方案概述

綠盟科技零信任安全解決方案基於裝置評估，使用者認證和行為分析，持續整合分析和驗證信任關係，以此在不可信網路中構建安全系統，覆蓋了遠端安全辦公、暴露面收斂、統一安全訪問、資料安全訪問及終端安全接入等典型應用場景。

方案核心產品包括：

ü  一體化終端安全管理系統UES

ü  安全認證閘道器SAG

ü  統一身份認證平臺UIP

ü  零信任分析和控制平臺ISOP-ZTA

 

方案特點：

²  方案產品靈活組合，分層解耦，可獨立部署，支援根據客戶實際需求分階段或選擇性建設。

²  透過客戶端和安全認證閘道器從訪問主體到訪問客體之間，建立安全訪問通道。

²  採用SDP方案，實現業務應用的徹底隱身，讓攻擊無從下手。

²  綠盟零信任大腦作為總分析和控制中心，由終端安全管理平臺，統一身份認證平臺，分析和控制平臺組成，構建風險和信任綜合分析能力，動態決策響應能力，實現縱深防禦。

核心能力

ü  全面感知

上下文環境感知。終端安全狀態感知，網路環境上下文感知，威脅情報輸入的感知等。

ü  最小授信

終端可信，使用者可信，網路可信，應用可信，最小化許可權訪問資源，實現最小授信。

ü  持續評估

從認證系統，安全裝置，網路流量，終端安全等多維度獲取資訊，持續分析使用者和實體行為，確保使用者在訪問過程中的行為可信。

ü  動態決策

根據使用者及終端的安全風險，自動化的下發策略，執行阻斷，二次驗證，隔離等操作，實現基於風險的自適應安全訪問控制。

客戶價值

統一安全可信訪問

‒      全面隱藏應用，減少暴露面

‒      統一MFA認證，杜絕弱口令，避免未授權訪問

‒      細粒度會話控制，防止越權訪問，攻擊橫向擴散

‒      全面日誌審計，關聯分析，閉環處置

零改造快速合規

‒      統一多因素認證，滿足等保2.0對身份認證因子相關要求

‒      國密加密，滿足等保2.0，密碼法對關鍵基礎設施傳輸和儲存加密的要求

‒      無需大批次業務改造和替換，快速合規

全方位降本提效

‒      節約管理&運維&人員成本

‒      提高辦公訪問效率，提高員工工作效率

‒      賬戶&許可權統一管理，業務靈活擴充套件，數字化轉型無憂

一致便捷的使用者體驗

‒      訪問低延遲，更少等待

‒      無密碼認證，無需記憶繁雜密碼

推薦建設步驟

寫在最後

“網路安全的未來在雲端”，隨著資訊化數字化辦公的興起，越來越多的企業將自身應用遷移到了雲端，或者直接購買雲上的SaaS服務。這種方式大大提升了辦公效率，任何個人都可以透過BYOD裝置快速訪問企業應用，做到隨時隨地辦公。但同時也增加了企業應用的安全風險，由於應用部署在雲端，企業不得不去考慮這些應用的安全性，包括訪問許可權、服務隔離、資料放洩露、安全審計等。

基於這種背景，Gartner於2019年提出一個全新的安全概念SASE（Secure Access Service Edge），即“安全訪問服務邊緣”。 SASE是一種整合各種雲原生的安全功能，例如SWG、IPS、NGFW、CASB等，基於零信任網路訪問（Zero Trust Network Access，ZTNA）模型建立推出的一種管理型服務，從而滿足企業在數字化轉型過程中的動態安全訪問需求。SASE 是一種基於實體的身份，實時上下文[3] 分析、企業安全/合規策略，以及在整個會話中持續評估風險/信任的服務。

SASE同樣是以身份為驅動，ZTNA架構為核心，這些理念和零信任高度一致，可以看做零信任在雲場景的擴充套件和演進。因此在關注零信任的發展和趨勢時，有條件的情況下可以和SASE方案做適度的融合，貼合更多的使用者場景。

綠盟科技也將於近期釋出SASE安全解決方案，分別推出兩款產品NIA（NSFOCUS Internet Access）和NPA（NSFOCUS Private Access），[4] [5] 涵蓋不同的應用場景，為企業的資料中心和雲上應用安全保駕護航。

  

NPA是基於零信任的雲安全內網訪問服務，適用於使用者到私有資料/程式的連線，基於零信任原則，雲端控制器根據上下文做接入控制，提供多因子認證、三方身份認證、暴露面隱藏等能力。NIA依託服務化的雲上安全閘道器，基於防火牆、IPS、沙箱等為客戶提供針對Web和Internet的威脅保護。

如需更多資訊，敬請關注綠盟科技官網釋出。