《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 在后疫情時代通過零信任邊緣確保安全

在后疫情時代通過零信任邊緣確保安全

2021-09-06
作者:Robert Blumofe博士
來源:Akamai
關(guān)鍵詞: Akamai 零信任

德爾塔毒株的出現(xiàn)打破了中國成千上萬人原本穩(wěn)步恢復(fù)的工作和生活,,使得許多企業(yè)只能回到在家辦公的模式,。許多學(xué)校,尤其是在出現(xiàn)疫情的地區(qū)的學(xué)校都發(fā)布了推遲秋季開學(xué)的通知,。事實上,遠程工作應(yīng)用程序已經(jīng)成為繼續(xù)防控疫情和維護經(jīng)濟社會正常運行的重要互聯(lián)網(wǎng)工具,,其用戶數(shù)量正在迅速增長,。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第47次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》,截至2020年12月,,中國遠程辦公用戶規(guī)模達3.46億,,占網(wǎng)民整體的34.9%。


向遠程生活的轉(zhuǎn)變使得員工越來越多地將工作設(shè)備用于個人用途,,同時企業(yè)也提供更多的網(wǎng)絡(luò)訪問,,使員工可以在家順利工作。隨著遠程工作成為常態(tài),,中國有成千上萬人在企業(yè)安全邊界之外通過多個設(shè)備訪問應(yīng)用程序,,使得企業(yè)信息或系統(tǒng)安全遭到破壞的風(fēng)險大大增加。但是,,這些因為可訪問性方面的優(yōu)點而提供網(wǎng)絡(luò)訪問的企業(yè)并不總是知道誰在使用哪些應(yīng)用程序,。即使經(jīng)過培訓(xùn),員工也不一定能識別老練網(wǎng)絡(luò)罪犯的可疑活動。


上述所有這些都令企業(yè)的安全變得搖搖欲墜,。為了加強自身安全,,更好地保護自己的數(shù)字資產(chǎn)免于新遠程辦公世界中出現(xiàn)的威脅和攻擊,企業(yè)應(yīng)實施零信任策略,。零信任安全模式不存在安全與員工應(yīng)用程序訪問便捷性之間的“取舍”,,因此適合幾乎所有類型的企業(yè)。


零信任:新現(xiàn)實中的關(guān)鍵組成部分


零信任是一項簡單的策略,,其核心是古老的最小特權(quán)網(wǎng)絡(luò)安全原則的加強版,。但與這個名字恰恰相反的是,零信任是一項對員工友好的安全解決方案,,因此可以被IT專業(yè)人員和其他員工所接受,。


零信任可以真正為各種規(guī)模的企業(yè)提供更好的安全結(jié)果。今年6月中國剛剛通過了《數(shù)據(jù)安全法》,,中國企業(yè)被要求改善他們的數(shù)據(jù)保護實踐,。未能保護數(shù)據(jù)并導(dǎo)致大規(guī)模數(shù)據(jù)泄露的組織將面臨最高200萬元人民幣的罰款并可能被暫停相關(guān)業(yè)務(wù)。因此,,許多企業(yè)已經(jīng)實施或正在實施零信任,,有些甚至建立了基于零信任安全的新一代遠程辦公系統(tǒng)。


在最近一些備受矚目的網(wǎng)絡(luò)攻擊中出現(xiàn)了一種明顯的模式——惡意軟件通過網(wǎng)絡(luò)釣魚或由惡意行動者利用暴露的服務(wù)器漏洞對企業(yè)進行攻擊,。惡意軟件在進入后會在企業(yè)內(nèi)部橫向移動,,尋找高價值的目標。勒索軟件正是通過這種模式找到可以加密的目標,,然后索取解密贖金,。我們震驚地發(fā)現(xiàn),全球不乏脆弱和暴露的服務(wù)器,,也不乏勒索軟件的受害者,。


幸運的是,零信任可以在這方面有所作為,。零信任的基本理念是確保用戶只能訪問他們需要訪問的應(yīng)用程序,,而且必須在經(jīng)過驗證和授權(quán)之后才能訪問。事實上,,在采取零信任策略的情況下,,用戶在經(jīng)過驗證并被授予訪問權(quán)限之前無法訪問應(yīng)用程序,因此不會暴露應(yīng)用程序,。在零信任威脅保護下,,用戶會被自動阻止訪問釣魚網(wǎng)站或惡意軟件分發(fā)網(wǎng)站,而惡意軟件會被自動阻止訪問其命令和控制,。通過這些基本機制,,零信任使惡意軟件更難進入或傳播。


零信任的核心是非常嚴格的訪問控制,能夠確保只向經(jīng)過驗證和授權(quán)的用戶授予訪問權(quán)限,,而且只用于必要的用途,。盡管該策略的名稱是“零信任”,但它并不嚇人,。這個概念十分簡單,,可以被認為是一種添加了環(huán)境變量的最小權(quán)限訪問形式。


零信任網(wǎng)絡(luò)訪問“名不副實”


盡管零信任并不復(fù)雜并且可以被看作是最小權(quán)限訪問這一古老安全原則的加強版,,但其實兩者并不相似,。事實上,它與最小權(quán)限訪問最顯著的區(qū)別之一在于零信任基于應(yīng)用程序訪問,,而不是網(wǎng)絡(luò)訪問,。了解網(wǎng)絡(luò)訪問和應(yīng)用程序訪問之間的區(qū)別至關(guān)重要。


傳統(tǒng)的企業(yè)應(yīng)用程序訪問基于網(wǎng)絡(luò)訪問,。您需要在企業(yè)網(wǎng)絡(luò)上才能訪問企業(yè)應(yīng)用程序,。如果您在企業(yè)的某幢辦公大樓里,那么您就會連接該企業(yè)的Wi-Fi網(wǎng)絡(luò)或以太網(wǎng)并且可能還需要通過一個額外的網(wǎng)絡(luò)訪問控制(NAC)步驟,。如果您在其他地方,,那么您將使用虛擬私人網(wǎng)絡(luò)(VPN)。無論哪種方式,,都會有某種形式的驗證和授權(quán)允許您在企業(yè)網(wǎng)絡(luò)上訪問,。此時,如果您有較高的權(quán)限,,就可以訪問企業(yè)的應(yīng)用程序,。


但這種伴隨著網(wǎng)絡(luò)訪問的高級權(quán)限也會給您帶來不需要的額外功能。具體而言,,您可以看到該網(wǎng)絡(luò)連接的每個應(yīng)用程序,。您可能無法登錄到每一個這樣的應(yīng)用程序,但可以看到它們,。也就是說,您可以將數(shù)據(jù)包發(fā)送給它們,。這個區(qū)別十分重要,。如果您能看到一個應(yīng)用程序,您就可以讓它執(zhí)行代碼(例如顯示登錄屏幕或啟動一些其他形式的登錄挑戰(zhàn)),。如果您能讓它執(zhí)行代碼,,您就可以利用漏洞。


這明顯違反了最小權(quán)限原則,。您需要訪問某些應(yīng)用程序,,但無需看到其他應(yīng)用程序,更不用說掃描網(wǎng)絡(luò)漏洞。零信任通過使用基于應(yīng)用程序的訪問模式來解決這個問題,。


通過零信任訪問,,用戶和應(yīng)用程序之間不存在直接路徑,所有訪問均通過代理進行,。一般情況下,,零信任訪問作為一種服務(wù)提供,代理位于多個互聯(lián)網(wǎng)地點,。這樣,,用戶只需要連接互聯(lián)網(wǎng),而不需要連接企業(yè)網(wǎng)絡(luò),。


即使在遠程訪問的情況下,,也不需要VPN。當用戶試圖連接一個應(yīng)用程序時,,他們會被轉(zhuǎn)到這些代理之一,。只有在代理對用戶進行認證并確定用戶被授權(quán)使用該應(yīng)用程序后,它才會建立與該應(yīng)用程序的前向連接并允許用戶與該應(yīng)用程序進行通信,。


我們現(xiàn)在已了解基于網(wǎng)絡(luò)的傳統(tǒng)訪問模式和基于應(yīng)用程序的零信任訪問模式之間的明顯區(qū)別,。在基于網(wǎng)絡(luò)的訪問中,應(yīng)用程序被暴露在網(wǎng)絡(luò)中(無論是整個互聯(lián)網(wǎng)還是企業(yè)網(wǎng)絡(luò)),,因此對任何可能需要訪問的人都是可見的,。相反,在基于應(yīng)用程序的訪問中,,應(yīng)用程序是不可見的,,只有確實需要訪問的人在經(jīng)過驗證和授權(quán)后才能看見應(yīng)用程序。


為什么需要在邊緣部署零信任


在這個用戶,、威脅和應(yīng)用程序無處不在的時代,,所有流量都必須通過一個可靠的安全堆棧。但回傳流量會破壞性能,,而且回傳攻擊流量會造成更大的破壞,。那么我們?nèi)绾卧诓贿M行回傳的情況下實現(xiàn)這一目標?答案是部署零信任安全并將其作為一項邊緣服務(wù)提供,。


在深入研究傳統(tǒng)部署模式時,,我們應(yīng)首先考慮員工訪問基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用程序這一情況。此類應(yīng)用程序可能是工作所需的SaaS應(yīng)用程序,,也可能是在工作環(huán)境中使用或者用于個人活動的網(wǎng)絡(luò)應(yīng)用程序,。為了確保這些流量的安全,我們需要一個安全網(wǎng)絡(luò)網(wǎng)關(guān)(SWG),。


SWG可確??山邮艿氖褂谜叩玫綀?zhí)行,,員工不會意外嘗試訪問釣魚網(wǎng)站,惡意軟件不會被下載到員工的設(shè)備上等等,。SWG是安全堆棧的一個重要組成部分,,而在強大的網(wǎng)絡(luò)安全態(tài)勢下,所有對基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用程序的訪問都要經(jīng)過SWG,。


問題在于在傳統(tǒng)的SWG部署模式中需要進行回傳,,SWG作為設(shè)備或虛擬設(shè)備部署在一個或少數(shù)幾個地點。如果幾乎所有員工都在一個或少數(shù)幾個辦公地點工作,,那就可以選擇讓這些SWG地點位于這些辦公室內(nèi)或附近,,這樣就不需要進行回傳。


但由于員工經(jīng)常遠程工作并且一般通過遠程訪問VPN,,所以流量必須回傳到SWG,。這會破壞性能并帶來其他擴展挑戰(zhàn)。此外,,SWG并不是安全堆棧的唯一重要組成部分,。在強大的網(wǎng)絡(luò)安全態(tài)勢下,所有流量都必須接受訪問控制和檢查,,而不僅僅是那些通過SWG的互聯(lián)網(wǎng)流量,。該要求是零信任的一個基本原則。


Picture 1.png

回傳流量破壞性能


在零信任安全態(tài)勢下,,所有流量都需要通過安全堆棧,;而在傳統(tǒng)部署模式下,該要求會迫使回傳流量及其所有相關(guān)問題,?;貍鞑坏杀靖甙翰⑶視茐男阅埽耶斊渲幸恍┝髁勘还魰r,,情況會變得更糟,。


處理攻擊流量是安全堆棧的功能之一。在流量到達安全堆棧之前,,我們不知道哪些流量是攻擊流量,。回傳攻擊流量只是給了它更多的機會與網(wǎng)絡(luò)鏈接和設(shè)備互動,,而這反過來也給了它進行破壞的機會,,例如破壞關(guān)鍵的上游鏈接并使整個安全堆棧無法訪問。


Screen Shot 2021-09-06 at 4.51.28 pm.png

當安全問題被部署在邊緣時的回傳


那么我們應(yīng)該怎么做呢,?與其將流量回傳到安全堆棧,不如將安全堆棧部署在流量所在的邊緣,。在這種模式下,,一個完整的零信任安全堆??梢宰鳛橐豁椃?wù)在邊緣基礎(chǔ)設(shè)施上運行。由于安全堆棧位于邊緣,,因此它靠近在任何地點工作的用戶/員工,,無論他們是在辦公室、家中還是在路上工作,。同樣,,它還靠近被部署在任何位置的應(yīng)用程序,無論它們是在數(shù)據(jù)中心,、云端,,還是在其他位置。


靠近用戶和應(yīng)用程序的邊緣正是安全堆棧的“用武之地”——這里是流量所在,,不需要回傳,。此外,安全堆棧還靠近位于邊緣的任何攻擊者,,比如被破壞的企業(yè)設(shè)備或蠕蟲,,因此可以在攻擊流量有機會造成任何破壞之前在源頭阻止它。


結(jié)語

隨著企業(yè)繼續(xù)面臨更加先進和惡性的網(wǎng)絡(luò)威脅,,同時還需要管理遠程工作團隊,,與一個值得信賴的網(wǎng)絡(luò)安全合作伙伴合作可以為企業(yè)提供實現(xiàn)完整零信任安全架構(gòu)的工具,從而在新的辦公世界取得成功,。鑒于上述這些優(yōu)點以及目前市場上產(chǎn)品的成熟度,,在向后疫情時代邁進時,您沒有理由不使用零信任解決方案來保護您的企業(yè),。


Picture 1.png

Akamai執(zhí)行副總裁&首席技術(shù)官 

Robert Blumofe博士 


WechatIMG454.jpeg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]