En 400-6655-581
5
返回列表
> 资源中心 > 文章>主题>零信任安全> 零信任互联网安全访问

零信任互联网安全访问

文章

2021-04-14浏览次数:326

“零信任 or VPN”

 

“零信任是解决安全问题的万金油”

 

零信任一词被频繁提起......

 

互联网安全迈入“新常态”

 

谁来保护网络边界安全?

 

 

 

移动互联网时代已经来临,随着新一轮科技革命和产业变革深入发展,网络安全边界也逐渐变的模糊,因此,如何在信息化社会中保障内部数据安全成为当下企业所关注的重点。

 

 

01

企业面临的问题与挑战

 

随着互联网+的深入普及和信息技术的变革,越来越多的企业互联网业务得以飞速发展,业务类型越来越多,包括移动业务、电商业务、网站信息业务等,服务用户群体对象越来越多,包括手机用户、PC用户、社交用户等,网络安全边界在不断扩展的同时变得模糊甚至消失,企业的网络安全问题随着业务的发展而急剧增加,互联网安全风险管控称为企业管理的重要部分,其面临的风险问题主要包括:

 

威胁面越来越大,防不胜防

 

程序漏洞;

 

恶意程序;

 

勒索病毒:WannaCry、Petya、Bad Rabbit;

 

 

威胁攻击种类越来越多,疲于应付

 

单机威胁:感染式病毒、二进制攻击;

 

网络病毒与黑产:木马、蠕虫;

 

流氓软件与灰产:间谍软件、广告软件;

 

流量攻击与敲诈:DDos、肉鸡;

 

黑客攻击:黑洞门、SRC;

 

高级威胁与勒索:黑客与病毒混合、漏洞与社会工程学;

 

终端种类越来越多,难于有效管理

 

PC终端;

 

移动终端;

 

物联网终端;

 

工控互联网终端;

 

 

安全防御体系错综复杂,需要联动协作

 

OSI安全体系:分层结构防护;

 

P2DR:闭环动态模型;

 

IATF:分开部署安全保障机制;

 

IEC62443:纵深防御安全防护策略;

 

NSA CGSV2:安全保护与监测能力整合;

 

NIST CSF:自身需求加强防御;

 

 

传统安全防御体系无法适应5G、云计算和物联网发展

 

传统的安全以边界防御为主,随着安全边界逐步被打破,安全防护体系逐渐失效,已经难以适应企业快速成长,难以应对业务的快速变化。

 

 

02

零信任应用场景分析

 

企业互联网业务类型多且提供服务的触点方式多种多样,其主要的零信任互联网业务场景包括以下4部分:

 

应用与服务直接暴露至互联网访问

 

企业通过复杂和繁琐的网络边界防火墙策略及设置,将信息系统和数据直接暴露至互联网提供服务,业务一旦发生变化和变更,安全防护策略需要进行大量手工调整,不利于业务的敏捷性管理。

 

基于云服务方式提供互联网访问

 

企业在面向消费者或跨区域跨地域的持续业务运作中,通常将信息系统和服务转向使用单云托管或多云托管方式,意味着依靠企业边界的安全性成为一种负担和挑战,云上数据和服务面临更多可能性的入侵攻击、病毒破坏和数据窃取的安全风险。

 

非企业人员通过互联网远程访问

 

企业通常将有限访问的资源提供给进行工作的现场访问者或服务提供商,主要包括外包运维人员、服务人员等,而这类人员通过互联网远程进行服务的提供,包括企业信息系统维护、数据库的管理和服务器的调优等。

 

企业与企业之间的业务开放与协助

 

越来越多的企业会涉及跨业务协助或项目合作,如企业的生产订单需要第三方企业进行供应链协助,需要生产系统与供应链系统的连通;如某重要项目涉及多个企业的项目成员,需要相互进行业务访问和数据的操作等,这些跨企业边界的协助同样面临安全风险的巨大挑战。

 

 

03

零信任互联网安全解决方案

 

派拉零信任身份安全系统是基于“零信任”架构,集成账户管理、统一认证、访问授权、集中审计、特权管理、应用安全等,实现互联网安全访问与信息服务。

 

SDP服务构建互联网业务隐身和安全防护

 

采用SDP方式,通过SPA单包认证、MTLS双向加密技术,所有互联网业务访问请求通过SDP网关进行连接和授权,同时所有互联网业务端口和访问地址默认不开放,只有通过授权和认证的请求并且其访问资源符合的情况建立业务连接。

图片

 

增强身份管理技术提升互联网用户安全访问

 

建立互联网用户体系的身份管理体系,包括外包人员、供应商、消费者、合作伙伴等用户群体,同时将企业的互联网业务纳入到身份管理平台进行认证、授权、风险、审计的集中管控,确保来自于用户或终端的访问身份和请求符合企业的管理要求和策略匹配。

图片

 

微隔离方式保障云上数据与服务安全管控

 

云上SaaS应用采用设备应用沙箱隔离模式部署,通过分配虚拟机隔离或使用防火墙设置隔离区域,对外服务接口采用API网关服务实现。

图片

 

SDP服务打造安全互联网企业协助与业务融合

 

为实现企业间的协助和业务访问,分别通过身份管理技术对企业的联合ID主体身份进行注册和授权配置,保障企业身份合法和权限合规,同时通过企业网络托管或云上托管方式,让企业间的网络访问通过SDP网关进行网络连接,遵循先认证后连接的零信任安全机制,确保业务互访互联的安全性。

图片

 

 

04

零信任互联网安全访问业务价值

 

增强对企业互联网应用和数据的保护

 

在实施“按需受控访问”的基础上,有效整合资源保护相关的数据加密、网络分段、数据防泄露等技术,保护应用资源、数据在网络中的传输和存储,并优先保护高价值资源。

 

大面积减小攻击企业外部风险

 

互联网用户通过访问认证之前,资源对用户隐身;即便在用户通过访问认证和授权,成功进入网络以后,零信任架构也将阻止用户漫游到未经授权的区域。零信任思维从根本上降低了互联网攻击面。

 

缩减企业安全管理成本和建设成本

 

零信任架构终结了安全防护手段各自为政的现状,在零信任架构实施时,可以通过与现有工具的集成,大幅度降低零信任潜在建设成本。

 

 

作为一种全新的理念和架构,零信任对企业的安全建设和访问控制进行高强度的安全保护,使企业数据“隐身”于互联网之中,让黑客无从发起攻击,从而实现真正的互联互通。