重构安全:企业“零信任”数据安全防护体系
提到数据安全,人们立马想到的会是“加密软件”、“DLP”、“vpn”、“防火墙”和“IPS”等等;但随着5G等信息化技术的发展,办公无边界,面对分散各地的员工远程办公的需求,企业不断被迫重构安全边界,“零信任”已经成为网络安全的最新流行语之一。到底什么是零信任呢?
起源
零信任(Zero Trust)最早是由约翰·金德瓦格(John Kindervag)担任Forrester Research副总裁兼首席分析师期间创建的。这是一次对传统安全模型假设的彻底颠覆。
传统模型假设:组织网络内的所有事物都应受到信任。事实上,一旦进入网络,用户(包括威胁行为者和恶意内部人员)可以自由地横向移动、访问甚至泄露他们权限之外的任何数据。这显然是个很大的漏洞。
零信任网络访问(Zero-Trust Network Access,以下称ZTNA)则认为:不能信任出入网络的任何内容。应创建一种以数据为中心的全新边界,通过强身份验证技术保护数据。
让正确的人,在正确的时间,在正确的终端,出于正确的理由,访问正确的数据。
为什么需要ZTNA
来看一组Gartner统计的企业办公&应用管理场景数据:
25%的公司让其40%的员工远程办公
超过67%的员工使用他们自己的设备办公
80%的自带设备(BYOD)均为完全非托管设备
企业约50%的时间都在运行基于云的应用程序
只有不到10%的组织表示他们完全了解哪些设备访问了他们的网络
可以看出,数字化转型和云计算推动的业务生态无形中扩大了可攻击面。以传统安全技术(防火墙和VPN)构建的企业边界,无法阻挡不断向企业内部渗透的威胁。企业边界本身也在云业务场景下瓦解。
“内部等于可信任”和“外部等于不可信任”的旧安全观念需要被打破。由此,ZTNA应运而生。
ZTNA环境下,企业应用程序在公网上不再可见,可以免受攻击者的攻击。通过信任代理建立企业应用程序和用户之间的连接,根据身份、属性和环境动态授予访问权限,从而防止未经授权的用户进入并进一步防止数据泄露。对于数字化转型的企业,基于云的 ZTNA 产品,又提供了可扩展性和易用性。
零信任既不是技术也不是产品,而是一种安全理念:持续验证,永不信任。
办公场景:
在零信任安全网络架构下,无论访问人员在哪,使用何种终端是否安装客户端,访问任何企业应用都无需使用VPN;通过终端可信评估、多因素可信认证和动态鉴权访问控制,实现无边界的安全办公。
IT人员:
使IT运维团队无缝接入零信任安全系统进行远程运维,对运维人员可信身份识别和动态授权,并能对运维操作进行限制和审计。
数据管理:
通过零信任访问网关的隧道联通技术,将分散在不同云环境的应用系统统一管理,有效防御数据泄露、数据丢失、DDoS攻击、APT攻击等安全威胁。
应用场景:
我们能提供的能力
数据安全防泄密
数据生成既是加密状态,全生命周期管理数据的安全性,保护数据不被泄密。
可视化了解网络中的所有人员和设备
识别并保护未知的物联网端点和进入网络的设备。集成式端点可视性、控制和高级保护能够确保组织安全无虞。借助设备识别、分析和漏洞扫描,查看网络中的所有设备。
身份与访问管理
识别进入网络的用户,确保高可靠性。安全身份验证是实施有效安全策略的关键 — 如今许多最具破坏性的安全漏洞皆因用户帐户和密码遭到攻击所致。提供集中身份验证服务,包括单点登录服务、证书管理和访客管理。
新一代沙箱技术
深度与操作系统融合,支持多平台架构, 安全高效体验平滑。学习成本低对环境依赖低,任何时间地点办公体验一致。
网络边界上智能分析
网络访问过程中,对于未知的网络访问操作,通过蜜罐分析后,自动阻止威胁行为,减少攻击事件发生。