隨著全球數(shù)字化和萬物互聯(lián)的加速,,傳統(tǒng)網(wǎng)絡安全邊界將消失,,外部網(wǎng)絡攻擊逐漸加劇,以“零信任”理念重構(gòu)安全防御體系越來越多地被認可與重視,。日前,,全球網(wǎng)絡安全領(lǐng)導企業(yè) Palo Alto Networks(派拓網(wǎng)絡)舉行線上媒體會,推出包括SaaS安全,、高級URL過濾,、DNS安全,、云身份引擎及新型機器學習防火墻在內(nèi)的五項重要創(chuàng)新功能,以幫助客戶輕松在其網(wǎng)絡安全棧中采用零信任架構(gòu),。派拓網(wǎng)絡大中華區(qū)總裁陳文俊和派拓網(wǎng)絡中國區(qū)商業(yè)市場技術(shù)總監(jiān)張晨出席會議,,與媒體分享了近期派拓網(wǎng)絡業(yè)務發(fā)展動態(tài)和其推出的全面零信任網(wǎng)絡。
派拓網(wǎng)絡大中華區(qū)總裁 陳文俊
派拓網(wǎng)絡中國區(qū)商業(yè)市場技術(shù)總監(jiān) 張晨
為什么選擇零信任網(wǎng)絡,?
零信任代表了新一代的網(wǎng)絡安全防護理念,。派拓網(wǎng)絡中國區(qū)商業(yè)市場技術(shù)總監(jiān)張晨介紹,零信任概念的核心思想是企業(yè)不再主動相信網(wǎng)絡中的任何一個人,,或者任何一個設(shè)備,,或者任何一個應用,除非他能夠證明他現(xiàn)在的身份,,以及他的訪問意圖,。這完全顛覆了原來企業(yè)以邊界為主要防線的網(wǎng)絡安全概念。派拓網(wǎng)絡大中華區(qū)總裁陳文俊介紹,,零信任的概念是在2010年由美國的John Kindervag提出,,在國外一些發(fā)達地區(qū)發(fā)展得比較快,已經(jīng)有一些使用的案例,。在國內(nèi),零信任安全2015年開始興起,,隨著移動互聯(lián)網(wǎng)的高速發(fā)展,,近年來越來越多的大型互聯(lián)網(wǎng)公司開始部署零信任,在企業(yè)客戶內(nèi)部,,零信任也逐漸被關(guān)注與重視,,慢慢在國內(nèi)興起。
現(xiàn)階段,,云技術(shù)的廣泛應用,,可能導致各種人員通過不同方式接入企業(yè)網(wǎng)絡,打破了傳統(tǒng)網(wǎng)絡邊界,,純內(nèi)部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不再存在,,為企業(yè)網(wǎng)絡安全防護帶來新的挑戰(zhàn),所以急需一種能適應云服務的全新架構(gòu),,而零信任架構(gòu)能滿足這個需求,。另一方面,勒索攻擊這幾年一直呈爆炸式增長,。據(jù)派拓網(wǎng)絡報告,,2020年勒索病毒的攻擊比2019年增加了171個百分點,企業(yè)支付的最高贖金從2019年的500萬美金提高到2020年的1000萬美金,。如果僅僅依靠現(xiàn)有安全方法并不足以應對愈趨嚴峻的安全態(tài)勢,,而零信任模型恰好能得到更好的效果,。
派拓網(wǎng)絡推出全面零信任網(wǎng)絡安全
零信任這個概念如何在企業(yè)環(huán)境下有力地開展,勢必要借助很多技術(shù)手段,。應該從哪些方面來考慮企業(yè)的網(wǎng)絡安全,,張晨給出了以下四個方面的維度:
首先,很多企業(yè)會借助SaaS類的應用來快速開展新業(yè)務,,因為這是非常便捷的,。所以SaaS的安全,也即人們說的影子IT,,其安全隱患會成為現(xiàn)在企業(yè)中越來越重要的一部分,。
其次是Web類的安全。以前對攻擊的防范是靠不斷更新病毒定義碼,、更新攻擊特征庫來實現(xiàn),,但是現(xiàn)在很多Web攻擊應用的手段非常高明,傳統(tǒng)防范方式已無法應對,。
第三,,云平臺的使用,使很多新興的業(yè)務應用遷移到了云平臺,,對云端業(yè)務進行訪問時,,如何與企業(yè)自建數(shù)據(jù)中心內(nèi)部的服務器相互進行快速的身份認證的同步,也成為企業(yè)重新定義網(wǎng)絡安全當中非常重要的一部分,。
最后,,防火墻部署的位置仍然是企業(yè)網(wǎng)絡安全整個架構(gòu)中非常重要的一個環(huán)節(jié),如何把更先進的機器學習,、人工智能技術(shù)快速移植到防火墻這個硬件平臺本身,,也成為企業(yè)網(wǎng)絡安全需要考慮的一部分。
派拓網(wǎng)絡從上述四個維度不斷去加強和優(yōu)化技術(shù)方案,,能夠幫助客戶快速在企業(yè)網(wǎng)絡中實現(xiàn)零信任架構(gòu),。其推出的SaaS安全、高級URL過濾,、DNS安全,、云身份引擎和新型機器學習防火墻讓企業(yè)能夠輕松、有效地實施零信任網(wǎng)絡安全,,并獲得四項重要優(yōu)勢:
(1)安全訪問正確的應用:業(yè)界首款集成的云訪問安全代理(CASB),,讓客戶主動擴展對所有SaaS應用的安全訪問,包括那些前所未見的應用,。
(2)安全訪問正確的用戶:業(yè)界首款云身份引擎讓客戶在企業(yè)網(wǎng)絡,、云和應用中輕松驗證和授權(quán)其用戶,不受身份存儲位置影響,。
(3)增強安全性:高級URL過濾服務通過本地機器學習功能提供業(yè)界首創(chuàng)的零日網(wǎng)絡攻擊防御,,擴展的DNS安全功能可以防御其他解決方案無法防御的新興DNS攻擊,。
(4)全面普及安全訪問:所有形式的防火墻(硬件、軟件和云端)均可使用這些新功能,,無論用戶位于何處,,均可進行安全訪問。除了現(xiàn)有防火墻外,,新型號機器學習下一代防火墻也能使用這些創(chuàng)新功能,,以實現(xiàn)企業(yè)級零信任網(wǎng)絡安全——從小型分支機構(gòu)(使用PA-400系列)到大型園區(qū)和超大規(guī)模數(shù)據(jù)中心(使用PA-5450平臺)。
企業(yè)采取零信任架構(gòu),,需要關(guān)注哪些環(huán)節(jié),?
派拓網(wǎng)絡在去年的一項調(diào)查中發(fā)現(xiàn),有將近一半的客戶已經(jīng)在自己的網(wǎng)絡中考慮和規(guī)劃零信任網(wǎng)絡,。那么企業(yè)如果需要采取零信任架構(gòu),,當前最需要關(guān)注哪些環(huán)節(jié)?企業(yè)實施零信任安全架構(gòu)時,,是否存在比如成本方面的挑戰(zhàn),?對此張晨表示,企業(yè)一定要對自己的IT資產(chǎn)進行優(yōu)先級別的排序,,在這些數(shù)據(jù),、應用、資產(chǎn)和相應的運行服務中,,分別梳理出哪些是最重要最需要保護的,。安全一定是從最重要的IT資產(chǎn)最先開始。其次還要梳理這些重要資產(chǎn)和訪問對象之間的訪問關(guān)系,、訪問策略是否恰當。有了梳理基礎(chǔ)之后,,才會有的放矢地實施相應的技術(shù)產(chǎn)品來進行零信任架構(gòu)的落地,。從最重要的IT資產(chǎn)開始,進入到良性循環(huán)之后,,再往下一步落實,,這樣就可以在零信任的規(guī)劃和成本上做一個比較好的平衡。
張晨強調(diào),,零信任是安全建設(shè)的指導架構(gòu)和思想,,在具體的技術(shù)監(jiān)控和技術(shù)落地層面,會涉及到很多不同的技術(shù),,它們之間并不是相互替代的,,實際上也不存在所謂的單一產(chǎn)品,即零信任網(wǎng)關(guān),。建議企業(yè)在咨詢,、規(guī)劃,、梳理好業(yè)務訪問關(guān)系之后,有的放矢地根據(jù)企業(yè)需要的訪問關(guān)系和保護的IT資產(chǎn),,來有針對性地選擇簡單,、自動化、高效,、高精準度的安全管理自動化平臺,。