零信任應(yīng)該更便宜
作為一種新的網(wǎng)絡(luò)安全范式,,零信任被全球熱捧的主要原因之一,,就是可以更省錢,。相較于傳統(tǒng)的基于攻防對(duì)抗的亡羊補(bǔ)牢式的網(wǎng)絡(luò)安全范式,零信任將工作重點(diǎn)轉(zhuǎn)向構(gòu)建起精細(xì)化的最小權(quán)限的網(wǎng)絡(luò)結(jié)構(gòu),。這樣做從成本角度看有兩個(gè)明顯的影響:
(一)從無(wú)限螺旋轉(zhuǎn)為有限收斂
基于攻防的網(wǎng)絡(luò)安全,,就像是永無(wú)止境的貓鼠游戲,Tom總在嘗試抓住Jerry,,Jerry永遠(yuǎn)有新的逃逸手段,,在Tom和Jerry無(wú)休止的追逐博弈中,主人的家被搞得支離破碎,。這種無(wú)休止的追與逃的過(guò)程,,漸漸的已經(jīng)把用戶壓得喘不過(guò)氣來(lái),他們?nèi)找鎱捑肽酥列纳鷳嵟?,這就是美國(guó)為啥要搞零信任的原因,。零信任的指導(dǎo)原則就是“以不變應(yīng)萬(wàn)變”。安全管理者,,不再花心思研究攻擊者又出啥幺蛾子了,,他拒絕成為攻擊者的舞伴。相反,,他反過(guò)來(lái)仔細(xì)地研究自己的業(yè)務(wù)需求,,以及內(nèi)部用戶的身份以及行為特征。在了解了這一切之后,,他要做到的就是,,只有他充分理解,有基于數(shù)學(xué)計(jì)算的信任水平的訪問(wèn)才允許發(fā)生,,否則就絕不可以,。在這場(chǎng)新的戰(zhàn)役中,管理者首次掌握了戰(zhàn)場(chǎng)主動(dòng)權(quán),,而且他還得到了來(lái)自業(yè)務(wù)團(tuán)隊(duì)與內(nèi)部用戶的友軍支援,。雖然,研究和管理內(nèi)部業(yè)務(wù)也是個(gè)需要成本的過(guò)程,,但是理論上這個(gè)過(guò)程是有盡頭的,,從局部到整體,從個(gè)人到部門,,從一個(gè)業(yè)務(wù)到全部業(yè)務(wù),,終究是在有限集合里面的可收斂行為,無(wú)限開口的預(yù)算轉(zhuǎn)化為有限的投入,,這是一次質(zhì)的飛躍,,正如美國(guó)聯(lián)邦首席信息官所言:“零信任是隧道盡頭的曙光”。
?。ǘ墓魧?duì)抗轉(zhuǎn)向攻擊抑制
正如古代的武俠小說(shuō)一樣,,傳統(tǒng)的網(wǎng)絡(luò)安全行業(yè)往往津津樂(lè)道于攻擊過(guò)程中的高強(qiáng)度對(duì)抗,刀光劍影你來(lái)我往,,浪漫而低效,。而事實(shí)上,,早在春秋時(shí)期,兵圣孫武就提出:“不戰(zhàn)而屈人之兵”,、“善戰(zhàn)者無(wú)赫赫之功”的戰(zhàn)略指導(dǎo)原則,。當(dāng)戰(zhàn)斗已經(jīng)打響,那么無(wú)論作戰(zhàn)過(guò)程是多么的精彩,,其總體成本都是極其高昂的,,其總體效果只能是傷敵一千自損八百。
相較而言,,零信任體現(xiàn)了更為先進(jìn)的戰(zhàn)略理念,,它以極強(qiáng)大的體系性戰(zhàn)略優(yōu)勢(shì),在最大的可能上抑制了攻擊的發(fā)生,。零信任首先要做的就是“隱藏”,。所謂最小權(quán)限訪問(wèn),所謂暴露面管理,,目的都是隱藏,。讓業(yè)務(wù)與數(shù)據(jù)只被盡量少的用戶看到,甚至就連用戶在使用過(guò)程中也并沒(méi)有真正“看到”,,連“看”都看不到,還怎么攻擊呢,。傳統(tǒng)的網(wǎng)絡(luò)安全體系,,在網(wǎng)絡(luò)層面上放的極寬,這使得攻擊者很容易看到攻擊目標(biāo)并展開攻擊,,勝負(fù)完全取決于擋(只是對(duì)抗,,但無(wú)法隱藏)在攻擊目標(biāo)前面的安全設(shè)備的能力。而零信任網(wǎng)絡(luò)本身成為了無(wú)法被看穿,、無(wú)法被穿透的異次元空間,,這使得攻擊完全無(wú)法發(fā)生,正如孫子兵法所言:“善守者,,藏于九地之下”,。
如果隱藏的努力失敗了,零信任下面的努力在于快速發(fā)現(xiàn)與精細(xì)化隔離,。零信任發(fā)現(xiàn)攻擊的思路與傳統(tǒng)的攻防對(duì)抗也完全不一樣,,攻防對(duì)抗研究的是攻擊本身,那是個(gè)永遠(yuǎn)在變化的對(duì)象,,因此研究也永無(wú)止境,,成本永遠(yuǎn)在支出。而零信任研究的是業(yè)務(wù)體自身,,通過(guò)比對(duì)攻擊與業(yè)務(wù)的區(qū)別來(lái)發(fā)現(xiàn)攻擊,。首先業(yè)務(wù)本身是穩(wěn)定的,,獲取其特征的成本在攻防兩端極度不對(duì)稱,防御者對(duì)它的獲取是一個(gè)完全可以自動(dòng)化無(wú)成本執(zhí)行的過(guò)程(DEVSECOPS負(fù)責(zé)搞這一塊),。其次,,業(yè)務(wù)的復(fù)雜性一點(diǎn)也不比攻擊的復(fù)雜性低,這個(gè)復(fù)雜性反過(guò)來(lái)成為攻擊者必須要去對(duì)抗的東西,,一下子成本優(yōu)勢(shì)就來(lái)到了防御者一方,,所以基于業(yè)務(wù)特征的對(duì)抗要遠(yuǎn)比基于攻擊特征的對(duì)抗便宜得多。而一旦發(fā)現(xiàn)了攻擊的存在,,零信任的處置手段是非常精細(xì)化的,,因?yàn)榱阈湃伪緛?lái)就要求有最小粒度的數(shù)據(jù)獲取與控制能力,因此在處置的時(shí)候就能做到“微創(chuàng)”,、“無(wú)痛”,,避免在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行“動(dòng)態(tài)清零”的過(guò)程中形成“次生危害”。
綜上,,零信任的工作邏輯從攻擊對(duì)抗轉(zhuǎn)向攻擊抑制,,進(jìn)一步極大地降低了網(wǎng)絡(luò)安全的總體成本。
零信任成本構(gòu)成分析
零信任可以極大降低網(wǎng)絡(luò)安全總體成本,,但是零信任自身也是需要成本的,。對(duì)于零信任理念的探討,在國(guó)內(nèi)外已經(jīng)比較充分了,,但是對(duì)于零信任自身成本的探討,,還非常少見。這一方面是因?yàn)榱阈湃蔚某晒?shí)踐還較少,,給不出太多的數(shù)據(jù),,另一方面也是因?yàn)閺S商對(duì)這塊視為機(jī)密,一直采取三緘其口諱莫如深的態(tài)度,,甚至還在有意無(wú)意地塑造“零信任就應(yīng)該花許多錢”的刻板印象,,從而達(dá)成其獲利目的。在這方面,,薔薇靈動(dòng)的看法與眾不同,,我們認(rèn)為只有讓廣大用戶明白無(wú)誤地了解零信任的成本構(gòu)成,準(zhǔn)確地了解零信任投入產(chǎn)出的性價(jià)比,,才有可能真正放大國(guó)內(nèi)的零信任市場(chǎng),,加快網(wǎng)絡(luò)安全行業(yè)的零信任轉(zhuǎn)型。因此我們很愿意和大家一起分析下零信任的成本構(gòu)成,。
零信任項(xiàng)目的目標(biāo),,是實(shí)現(xiàn)對(duì)核心業(yè)務(wù)與數(shù)據(jù)的保護(hù),要求對(duì)每一個(gè)能訪問(wèn)到業(yè)務(wù)和數(shù)據(jù)的流量都做基于身份的訪問(wèn)控制,一般來(lái)說(shuō),,需要IAM+SDP+微隔離這三大塊,。
(一)IAM
IAM在零信任里作為概念,,定位比較清楚,,但是作為項(xiàng)目中的產(chǎn)品,就可大可小了,,可以展開如下:
1.1 身份管理系統(tǒng)(必須,,不一定花錢)
負(fù)責(zé)身份的全生命周期管理,這塊可以由用戶系統(tǒng)內(nèi)現(xiàn)存的身份體系來(lái)?yè)?dān)任(比如AD),。一般來(lái)說(shuō),,企業(yè)要經(jīng)營(yíng),最基本的IT需求就是身份服務(wù),,所以,,身份服務(wù)系統(tǒng)的存在是普遍的,當(dāng)然傳統(tǒng)的身份服務(wù)系統(tǒng)能力不那么全,,但畢竟可用,。
1.2 身份安全系統(tǒng)(必須,不一定花錢)
這個(gè)是零信任的基石,,傳統(tǒng)身份服務(wù)系統(tǒng)的身份管理能力較強(qiáng),,但身份安全能力較弱,最好有個(gè)獨(dú)立的身份安全系統(tǒng),,去識(shí)別校驗(yàn)身份的可靠性,。行業(yè)客戶一般會(huì)自己采購(gòu)和建設(shè)這套東西,中小企業(yè)有很多免費(fèi)工具可用,,比如企業(yè)微信和釘釘,。
● 1.2.1 身份系統(tǒng)對(duì)接與遷移(不必須,,得花錢)
如果你是重新建立了一套新的身份服務(wù)+身份安全系統(tǒng),,一般來(lái)說(shuō),意味著你需要把過(guò)去的身份體系遷移上來(lái),,或者讓新系統(tǒng)和老系統(tǒng)之間做個(gè)對(duì)接,,這個(gè)過(guò)程取決于你的用戶規(guī)模以及對(duì)接或遷移方案,但無(wú)論如何,,這部分成本還是比較可觀的,,用時(shí)也較長(zhǎng),不應(yīng)該被忽視,。
1.3 基于身份的授權(quán)管理(必須,,不一定花錢)
零信任就是面向身份的最小授權(quán)。一般來(lái)說(shuō),在建設(shè)零信任系統(tǒng)之前,,企業(yè)內(nèi)部沒(méi)有這套東西,,而這套東西是零信任的核心,所以這個(gè)肯定得弄,。這套系統(tǒng)可能在IAM體系里,,也可能在SDP或者微隔離體系里,但不管物理上存在在哪里,,邏輯上得有這個(gè)東西,。如果你除了微隔離和SDP所需資源權(quán)限之外還希望能管理其他權(quán)限,你當(dāng)然需要獨(dú)立買一套授權(quán)管理系統(tǒng),,但如果你就是給SDP和微隔離用的話,,建議就別單獨(dú)買了,SDP或者微隔離系統(tǒng)一般都帶這套東西,。
1.4 單點(diǎn)登錄(SSO)系統(tǒng)(不必須,,得花錢)
SSO有兩個(gè)作用,一個(gè)是提升用戶工作效率,,另一個(gè)是提升老業(yè)務(wù)的整體身份安全水平,。作用一挺有價(jià)值,但不是零信任的必須,,作用二也挺有價(jià)值,,但是與SDP沖突。所以,,整體看,,SSO這個(gè)功能在零信任項(xiàng)目里可有可無(wú)。
● 1.4.1 業(yè)務(wù)系統(tǒng)身份驗(yàn)證模塊對(duì)接(不必須,,得花錢)
如果選擇了SSO,,就有一個(gè)工作必須得做,那就是讓SSO系統(tǒng)與每一個(gè)需要被支持的系統(tǒng)進(jìn)行對(duì)接,。這塊取決于你現(xiàn)有的業(yè)務(wù)規(guī)模,,以及其標(biāo)準(zhǔn)化程度,當(dāng)然也取決于你選取的SSO系統(tǒng)的兼容性水平,。
差不多在IAM這塊,,零信任需要的預(yù)算就是這些??偟目?,可以是很多錢,也可以不花錢,。
?。ǘ㏒DP
按Gartner的理解,,IAM只是前提條件,本身不是零信任的一部分,。真正的零信任就兩個(gè)東西,,一個(gè)ZTNA(也就是SDP),一個(gè)微隔離,。SDP主要解決南北向流量問(wèn)題,,微隔離解決東西向流量問(wèn)題,兩個(gè)東西在一起就把全部流量都搞完了,。
2.1 策略管理引擎(必須,,得花錢)
零信任是軟件定義的結(jié)構(gòu),其中策略定義點(diǎn)(PDP)是核心,,所以這個(gè)引擎就是SDP最重要,,也最值錢的部分,當(dāng)然得買了,。
2.2 身份安全系統(tǒng)(不必須,,得花錢)
一般來(lái)說(shuō),SDP應(yīng)該和IAM聯(lián)動(dòng),,這比較符合零信任得理念,,但是確實(shí)國(guó)內(nèi)很多用戶還沒(méi)有IAM系統(tǒng),所以,,國(guó)內(nèi)的一些SDP系統(tǒng)也可以自建身份安全系統(tǒng),,這個(gè)要看用戶了。我們的建議是最好還是獨(dú)立建設(shè)IAM,,然后別忘了讓SDP供應(yīng)商在報(bào)價(jià)時(shí)把這部分系統(tǒng)的能力刨除下去,。
2.3 終端(必須,得花錢)
SDP有兩類,,一類是基于客戶端的,,這花錢好理解,但還有一類是基于瀏覽器隔離技術(shù)的,,原則上不需要客戶端,,但是在購(gòu)買的時(shí)候還是要基于用戶接入數(shù)量支付費(fèi)用。
● 2.3.1 終端安全系統(tǒng)(不必須,,得花錢)
國(guó)外的SDP一般在終端安全上采用聯(lián)動(dòng)方案,,但國(guó)內(nèi)的SDP很多都有較重的終端安全能力,。這塊咋說(shuō)呢,,也不是說(shuō)就一定好或者不好。要看用戶現(xiàn)在有沒(méi)有終端安全,,也要看SDP自帶的終端安全能力如何,,以及計(jì)算開銷怎樣。終端License是SDP采購(gòu)成本中的大頭,而一般用戶都有一定的終端安全能力(免費(fèi)的或付費(fèi)的),,所以如果不必要的話,,把終端安全能力砍掉,只保留基本的網(wǎng)絡(luò)能力和身份能力,,既降低終端資源開銷又省錢,。
2.4 網(wǎng)關(guān)(必須,得花錢)
這個(gè)沒(méi)啥說(shuō)的,,要做服務(wù)隱藏,,要做加密通信這些都需要一個(gè)網(wǎng)關(guān)的存在,而且網(wǎng)關(guān)的能力(比如吞吐,、穩(wěn)定性啥的)是SDP系統(tǒng)的核心能力,。要說(shuō)省錢吧,建議最好用虛擬化網(wǎng)關(guān),,因?yàn)橛布懔ζ鋵?shí)很便宜了,,網(wǎng)關(guān)虛擬化后,不但不用多付硬件的錢,,而且部署和管理都更加的方便,,將來(lái)進(jìn)行資源升級(jí)也很方便(硬件就得重新買了)。
2.5 與業(yè)務(wù)系統(tǒng)對(duì)接(必須,,得花錢)
SDP要保護(hù)現(xiàn)有業(yè)務(wù),,必須和業(yè)務(wù)系統(tǒng)做對(duì)接,但復(fù)雜度不一樣,。一般來(lái)說(shuō),,對(duì)接分為兩塊,一塊是業(yè)務(wù)對(duì)接,,一塊是技術(shù)對(duì)接,。業(yè)務(wù)對(duì)接指的是讓SDP理解業(yè)務(wù)的訪問(wèn)需求,并基于訪問(wèn)需求設(shè)計(jì)最小權(quán)限策略(這部分是不可免的),。而技術(shù)對(duì)接的成本,,要看SDP的具體技術(shù),多數(shù)SDP產(chǎn)品采用的是七層代理,,這就要求和業(yè)務(wù)做HTTP協(xié)議對(duì)接,,除了SDP產(chǎn)品要做定制開發(fā),原有的業(yè)務(wù)往往也得做出改動(dòng),,這個(gè)成本較高,。而還有的SDP技術(shù)采用的是四層隧道技術(shù),這就不需要做任何的業(yè)務(wù)對(duì)接了,。
跟SDP有關(guān)的指出就這些,,這塊無(wú)論如何要花些錢,,畢竟這是零信任的核心部分,但根據(jù)方案的不同,,成本相差可以很大,。
(三)微隔離
3.1 引擎(必須,,得花錢)
和SDP一樣,,策略定義引擎也是微隔離產(chǎn)品的核心,因此需要花錢,。和SDP不一樣的地方是,,微隔離引擎的復(fù)雜度要高得多,根據(jù)管理規(guī)模不同,,往往要求更大規(guī)格的策略管理引擎,。這塊要注意這個(gè)引擎的可擴(kuò)展性(最多能管多少服務(wù)器,是否滿足你的需求),。如果擴(kuò)展性不強(qiáng),,將來(lái)就有可能還得重買,這部分錢就白花了,。
3.2 終端(必須,,得花錢)
微隔離的控制點(diǎn)在端上,因此這部分也是微隔離體系中不可或缺的部分,。
● 3.2.1 終端安全(不必須,,得花錢)
從國(guó)內(nèi)外的實(shí)踐看,服務(wù)器端終端安全和微隔離基本沒(méi)有什么聯(lián)系,,沒(méi)有任何供應(yīng)商,,敢基于服務(wù)器端終端安全產(chǎn)生的有很高誤報(bào)率的安全事件進(jìn)行阻斷。另外,,服務(wù)器端終端安全往往有較大系統(tǒng)開銷,,在真正的關(guān)鍵業(yè)務(wù)生產(chǎn)網(wǎng)上部署很少,即使偶有部署的案例,,后期往往由于各種問(wèn)題被卸載掉,。
3.3 業(yè)務(wù)系統(tǒng)對(duì)接(必須,得花錢)
微隔離部署完成后,,需要對(duì)業(yè)務(wù)系統(tǒng)的東西向流量進(jìn)行分析,,并根據(jù)業(yè)務(wù)構(gòu)成配置微隔離策略,這部分是不可少的,。區(qū)別在于,,有經(jīng)驗(yàn)的廠商會(huì)讓這個(gè)過(guò)程比較順暢,從而降低實(shí)施成本,。
以上,,就是我們對(duì)零信任項(xiàng)目全部成本構(gòu)成的分析,可以看出來(lái),,零信任的內(nèi)核部分其實(shí)并不大,,但可選的技術(shù)模塊較多,根據(jù)用戶的具體選擇,,成本可能有很大的不同,。
統(tǒng)一微隔離的成本分析
統(tǒng)一微隔離是薔薇靈動(dòng)在ZTNA技術(shù)和微隔離技術(shù)的基礎(chǔ)上研發(fā)的新一代零信任產(chǎn)品,可以通過(guò)一個(gè)產(chǎn)品解決用戶的全部業(yè)務(wù)訪問(wèn)的零信任安全問(wèn)題,。在具體實(shí)施統(tǒng)一微隔離項(xiàng)目的過(guò)程中,,根據(jù)用戶的不同技術(shù)選擇,統(tǒng)一微隔離項(xiàng)目的成本也會(huì)有一定的變化,,但是,,本文的標(biāo)題是“用統(tǒng)一微隔離做零信任可以多便宜”,因此我們將在這個(gè)部分給出一個(gè)投入最少但功能完整的解決方案,。
?。ㄒ唬┍尘?/p>
薔薇靈動(dòng)自己也是家中小企業(yè),因此我們對(duì)零信任當(dāng)然也是有需求的,。而作為一家網(wǎng)絡(luò)安全公司,,我們?cè)谡J(rèn)知上對(duì)于很多安全上過(guò)于激(kua)進(jìn)(zhang)的價(jià)值主張一直抱有較深的懷疑態(tài)度。因此薔薇靈動(dòng)在規(guī)劃統(tǒng)一微隔離的時(shí)候,,從自身實(shí)際需求,、企業(yè)資源限制、以及目前國(guó)內(nèi)外最佳實(shí)踐的多維角度出發(fā),,設(shè)計(jì)出了一套與眾不同,,簡(jiǎn)約而不簡(jiǎn)單的產(chǎn)品架構(gòu)。本文要給出的就是我們自己的網(wǎng)絡(luò)安全實(shí)踐,。
?。ǘ臒o(wú)限螺旋轉(zhuǎn)為有限收斂
2.1 IAM
我們用的是釘釘,其實(shí)企業(yè)微信和飛書也可以,,他們都內(nèi)建了組織架構(gòu)系統(tǒng),,而且都有極強(qiáng)的身份驗(yàn)證能力,最關(guān)鍵的是,,他們都是免費(fèi)的,。
2.2 統(tǒng)一微隔離引擎
薔薇靈動(dòng)的統(tǒng)一微隔離兼具ZTNA和微隔離能力,一套引擎干兩套引擎的活,,少用一套引擎不說(shuō),,管理、維護(hù)以及算力開銷都低了不少,。
2.3 終端
統(tǒng)一微隔離把用戶終端和數(shù)據(jù)中心終端放在一起來(lái)管理,,加起來(lái)部署了幾百個(gè)點(diǎn)吧,。
2.4 終端安全
服務(wù)器端沒(méi)有終端安全,用戶側(cè)主要依靠免費(fèi)安全軟件,。
2.5 網(wǎng)關(guān)
用兩臺(tái)4核8G虛擬機(jī)搭建起一對(duì)HA統(tǒng)一微隔離網(wǎng)關(guān),。統(tǒng)一微隔離網(wǎng)關(guān)為四層架構(gòu),因此不需要做業(yè)務(wù)適配,,可以對(duì)現(xiàn)存業(yè)務(wù)做完整的防護(hù),。
2.6 云端無(wú)網(wǎng)關(guān)
這里再介紹一個(gè)薔薇靈動(dòng)的獨(dú)門絕技。一般來(lái)說(shuō)SDP都是必須要有網(wǎng)關(guān)的,,雖說(shuō)薔薇的網(wǎng)關(guān)是虛擬化的,,花在算力上的錢比軟硬一體產(chǎn)品少多了,但是這畢竟也是錢呀,,尤其是考慮到公有云場(chǎng)景,,哪怕是建立一個(gè)2核4G的小鏡像,一年也得大幾百的成本,。不過(guò),,大家別忘了,薔薇靈動(dòng)是干微隔離出身,,我們擁有點(diǎn)到點(diǎn)直接訪問(wèn)控制的能力,,因此我們?cè)谠贫司蜎](méi)有部署網(wǎng)關(guān),而是通過(guò)工作負(fù)載上的終端直接進(jìn)行訪問(wèn)控制,,這又省了一筆錢,。
(三)效果
3.1 所有業(yè)務(wù)完成身份安全升級(jí)
過(guò)去薔薇很多自建業(yè)務(wù)(比如wiki,、代碼服務(wù)器,、文件服務(wù)器等)甚至都沒(méi)有身份安全的設(shè)計(jì),有也只是簡(jiǎn)單的用戶名密碼系統(tǒng)?,F(xiàn)在,,所有業(yè)務(wù)的訪問(wèn)都必須經(jīng)過(guò)釘釘系統(tǒng)的身份認(rèn)證,相當(dāng)于一分錢沒(méi)花,,讓這些系統(tǒng)的身份安全都達(dá)到了一個(gè)業(yè)界非常主流的水平上,。
3.2 所有業(yè)務(wù)系統(tǒng)基于身份做零信任訪控
過(guò)去薔薇的業(yè)務(wù)系統(tǒng)的訪問(wèn)控制也是基于IP來(lái)做的,服務(wù)器有一個(gè)固定網(wǎng)段,,辦公網(wǎng)有一個(gè)大的網(wǎng)段,,通過(guò)開源防火墻實(shí)現(xiàn)從辦公網(wǎng)段到服務(wù)器網(wǎng)段的訪問(wèn)控制。現(xiàn)在,,已經(jīng)全部實(shí)現(xiàn)基于用戶身份(角色)到域名的細(xì)粒度訪問(wèn)控制,。
3.3 域名改造與IP地址隱藏
過(guò)去,對(duì)服務(wù)器的訪問(wèn)時(shí)直接面向IP的。現(xiàn)在,,利用統(tǒng)一微隔離的FAKEDNS能力,,實(shí)現(xiàn)了域名化改造。不但如此,,F(xiàn)AKEDNS還會(huì)對(duì)服務(wù)器IP地址進(jìn)行偽造和隱藏,,用戶通過(guò)DNS解析得到的是個(gè)虛擬IP地址,真實(shí)地址不再可見,。而且通過(guò)服務(wù)器上部署的微隔離終端與微隔離網(wǎng)關(guān)之間的策略協(xié)同,,使得一切嘗試?yán)@過(guò)網(wǎng)關(guān)的訪問(wèn)都無(wú)法成功,,徹底鎖死了業(yè)務(wù)的訪問(wèn)路徑,。
3.4 云端統(tǒng)一防護(hù)
薔薇的網(wǎng)站是部署在云端的,從接入的體驗(yàn)來(lái)說(shuō),,以及對(duì)DDOS攻擊的防御水平而言,,公有云顯然更有優(yōu)勢(shì),另外,,把對(duì)公眾的業(yè)務(wù)放在本地其實(shí)相當(dāng)于開了一個(gè)本地業(yè)務(wù)對(duì)互聯(lián)網(wǎng)的大口子,,也不是個(gè)安全的做法。但是,,因?yàn)樵贫司瓦@么一臺(tái)虛擬機(jī),,要是為了這一臺(tái)虛擬機(jī)再買一臺(tái)虛擬機(jī)做微隔離網(wǎng)關(guān)就顯得太浪費(fèi)了。于是我們采用了基于端點(diǎn)的防御能力,,把從公司員工到網(wǎng)站的運(yùn)維管理流量給管理了起來(lái),,網(wǎng)站只留一個(gè)對(duì)公網(wǎng)的443端口。
3.5 遠(yuǎn)程安全接入
薔薇的團(tuán)隊(duì),,主要分布在北京,、上海、深圳和武漢,。疫情期間,,各團(tuán)隊(duì)被反復(fù)隔離在家。但是由于部署了統(tǒng)一微隔離系統(tǒng),,使得員工在家辦公和在辦公室辦公基本沒(méi)有任何區(qū)別,。不但對(duì)于全部?jī)?nèi)部業(yè)務(wù)(包括各種測(cè)試、運(yùn)維,、遠(yuǎn)程桌面等)都能正常使用,,而且由于采用了終端分流的技術(shù),使得只有企業(yè)業(yè)務(wù)被引流回公司數(shù)據(jù)中心,,而其它業(yè)務(wù)還走原來(lái)的網(wǎng)絡(luò)路徑,,使得企業(yè)網(wǎng)的壓力也沒(méi)有太過(guò)劇烈的上升,挺住了疫情期間遠(yuǎn)程訪問(wèn)集中爆發(fā)的網(wǎng)絡(luò)壓力,。
而實(shí)現(xiàn)這一切,,我們沒(méi)花一分錢(因?yàn)榻y(tǒng)一微隔離是我們做的),。我們想,如果我們的用戶也采用我們的方案(雖然不完美,,但真的很夠用了),,那么除了統(tǒng)一微隔離,他也不用花任何額外的一分錢,。有人說(shuō),,你們這個(gè)就叫丐版零信任吧。我們說(shuō),,這咋能叫丐版零信任呢,,應(yīng)該叫普惠零信任!
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<