重构安全：企业“零信任”数据安全防护体系

提到数据安全，人们立马想到的会是“加密软件”、“DLP”、“vpn”、“防火墙”和“IPS”等等；但随着5G等信息化技术的发展，办公无边界，面对分散各地的员工远程办公的需求，企业不断被迫重构安全边界，“零信任”已经成为网络安全的最新流行语之一。到底什么是零信任呢？

起源

零信任（Zero Trust）最早是由约翰·金德瓦格（John Kindervag）担任Forrester Research副总裁兼首席分析师期间创建的。这是一次对传统安全模型假设的彻底颠覆。

传统模型假设：组织网络内的所有事物都应受到信任。事实上，一旦进入网络，用户（包括威胁行为者和恶意内部人员）可以自由地横向移动、访问甚至泄露他们权限之外的任何数据。这显然是个很大的漏洞。

零信任网络访问(Zero-Trust Network Access，以下称ZTNA)则认为：不能信任出入网络的任何内容。应创建一种以数据为中心的全新边界，通过强身份验证技术保护数据。

让正确的人，在正确的时间，在正确的终端，出于正确的理由，访问正确的数据。

为什么需要ZTNA

来看一组Gartner统计的企业办公&应用管理场景数据：

25%的公司让其40%的员工远程办公

超过67%的员工使用他们自己的设备办公

80%的自带设备(BYOD)均为完全非托管设备

企业约50%的时间都在运行基于云的应用程序

只有不到10%的组织表示他们完全了解哪些设备访问了他们的网络

可以看出，数字化转型和云计算推动的业务生态无形中扩大了可攻击面。以传统安全技术(防火墙和VPN)构建的企业边界，无法阻挡不断向企业内部渗透的威胁。企业边界本身也在云业务场景下瓦解。

“内部等于可信任”和“外部等于不可信任”的旧安全观念需要被打破。由此，ZTNA应运而生。

ZTNA环境下，企业应用程序在公网上不再可见，可以免受攻击者的攻击。通过信任代理建立企业应用程序和用户之间的连接，根据身份、属性和环境动态授予访问权限，从而防止未经授权的用户进入并进一步防止数据泄露。对于数字化转型的企业，基于云的 ZTNA 产品，又提供了可扩展性和易用性。

零信任既不是技术也不是产品，而是一种安全理念：持续验证，永不信任。

办公场景：

  在零信任安全网络架构下，无论访问人员在哪，使用何种终端是否安装客户端，访问任何企业应用都无需使用VPN；通过终端可信评估、多因素可信认证和动态鉴权访问控制，实现无边界的安全办公。

IT人员：

使IT运维团队无缝接入零信任安全系统进行远程运维，对运维人员可信身份识别和动态授权，并能对运维操作进行限制和审计。

数据管理：

通过零信任访问网关的隧道联通技术，将分散在不同云环境的应用系统统一管理，有效防御数据泄露、数据丢失、DDoS攻击、APT攻击等安全威胁。

应用场景：

我们能提供的能力

数据安全防泄密

 数据生成既是加密状态，全生命周期管理数据的安全性，保护数据不被泄密。

可视化了解网络中的所有人员和设备

  识别并保护未知的物联网端点和进入网络的设备。集成式端点可视性、控制和高级保护能够确保组织安全无虞。借助设备识别、分析和漏洞扫描，查看网络中的所有设备。 

身份与访问管理

识别进入网络的用户，确保高可靠性。安全身份验证是实施有效安全策略的关键 — 如今许多最具破坏性的安全漏洞皆因用户帐户和密码遭到攻击所致。提供集中身份验证服务，包括单点登录服务、证书管理和访客管理。

新一代沙箱技术

深度与操作系统融合，支持多平台架构， 安全高效体验平滑。学习成本低对环境依赖低，任何时间地点办公体验一致。

网络边界上智能分析

网络访问过程中，对于未知的网络访问操作，通过蜜罐分析后，自动阻止威胁行为，减少攻击事件发生。