德尔塔病毒株的出现,打破了中国数以万计正在稳步复工复产的中国人的工作和生活,很多企业只能回到在家办公的模式。许多学校,特别是发生疫情地区的学校,已经发出推迟秋季学期开学的通知。事实上,远程办公应用已经成为持续防控疫情、维护经济社会正常运行的重要互联网工具,其用户规模正在快速增长。据中国互联网络信息中心发布的第47条《中国互联网络发展状况统计报告》信息,截至2020年12月,中国远程办公用户规模达3.46亿,占网民总数的34.9%。向远程生活的转变让员工越来越多地将工作设备用于个人用途,而企业提供了更多的网络访问,使员工能够在家工作。随着远程工作成为常态,中国成千上万的人正在从企业安全边界之外的多个设备访问应用程序,增加了企业信息或系统安全漏洞的风险。但是那些因为可访问性优势而提供Web访问的企业并不总是知道谁在使用哪些应用程序。即使经过培训,员工也不一定能够发现老练的网络犯罪分子的可疑活动。以上种种,都让企业安全摇摇欲坠。为了加强自身安全并更好地保护数字资产免受新远程办公世界中出现的威胁和攻击,企业应实施零信任战略。零信任安全模型在安全性和员工应用程序访问的便利性之间没有“权衡”,使其适用于几乎任何类型的业务。零信任:新现实中的一个关键组成部分零信任是一种简单的策略,其核心是古老的最小特权网络安全原则的强化版本。但与名称相反,零信任是一种对员工友好的安全解决方案,因此受到IT专业人员和其他员工的欢迎。零信任可以真正为各种规模的企业带来更好的安全成果。中国今年6月刚刚通过《数据安全法》,要求中国企业完善数据保护措施。未能保护数据并导致大规模数据泄露的组织将面临最高200万元的罚款,并可能暂停相关业务。因此,很多企业已经或正在实施零信任,有的甚至建立了基于零信任安全的新一代远程办公系统。在最近一些备受瞩目的网络攻击中出现了一个清晰的模式——恶意软件通过网络钓鱼或恶意行为者利用暴露的服务器漏洞来攻击组织。一旦进入,恶意软件就会在企业内横向移动,寻找高价值目标。勒索软件正是通过这种模式找到可以加密的目标,然后索要赎金进行解密。我们震惊地发现,全球不乏易受攻击和暴露的服务器以及勒索软件的受害者。幸运的是,零信任可以在这方面有所作为。零信任的基本思想是确保用户只能访问他们需要访问的应用程序,并且只有在经过身份验证和授权后才能访问。事实上,使用零信任策略,用户在通过身份验证并获得访问权限之前无法访问应用程序,因此应用程序不会暴露。在零信任威胁保护下,用户被自动阻止访问网络钓鱼或恶意软件分发站点,并且恶意软件被自动阻止访问他们的命令和控制。通过这些基本机制,零信任使恶意软件更难进入或传播。零信任的核心是非常严格的访问控制,确保访问仅授予经过身份验证和授权的用户,并且仅用于必要的目的。尽管该策略名为“零信任”,但它并不可怕。这个概念非常简单,可以将其视为一种添加了环境变量的最小权限访问形式。零信任网络访问用词不当尽管零信任并不复杂,并且可以被认为是古老的最小权限访问安全原则的增强版本,但这两者并不完全相同。事实上,它与最小权限访问之间最显着的区别之一是零信任基于应用程序访问,而不是网络访问。了解Web访问和应用程序访问之间的区别至关重要。传统的企业应用访问是基于网络访问的。您需要在公司网络上才能访问公司应用程序。如果您在公司大楼内,您将连接到公司Wi-Fi网络或以太网,并且可能需要通过额外的网络访问控制(NAC)步骤。如果您在其他地方,则您使用的是虚拟专用网络(VPN)。无论哪种方式,都会有某种形式的身份验证和授权允许您访问公司网络。此时,如果您具有提升的权限,则可以访问公司应用程序。但是,这种随Web访问而来的高级权限还为您提供了您不需要的额外功能。具体来说,您可以看到连接到该网络的每个应用程序。您可能无法登录这些应用程序中的每一个,但您可以看到它们。也就是说,您可以向他们发送数据包。这个区别非常重要。如果您可以看到某个应用程序,则可以让它执行代码(例如显示登录屏幕或启动某种其他形式的登录挑战)。如果你能让它执行代码,你就可以利用漏洞。这显然违反了最小特权原则。您需要访问某些应用程序,但不需要查看其他应用程序,更不用说扫描网络漏洞了。零信任通过使用基于应用程序的访问模型解决了这个问题。使用零信任访问,用户和应用程序之间没有直接路径,所有访问都通过代理。通常,零信任访问作为服务提供,代理位于多个Internet位置。这样,用户只需要连接到互联网,而不需要连接到企业网络。即使在远程访问的情况下,也不需要VPN。当用户尝试连接到应用程序时,他们会被引用到这些代理之一。只有在代理对用户进行身份验证并确定用户有权使用应用程序后,它才会建立到应用程序的转发连接,并允许用户与应用程序进行通信。我们现在明白了传统的基于网络的访问模型和基于应用程序的零信任访问模型之间的明显区别。在基于Web的访问中,应用程序暴露在网络中(无论是整个Internet还是公司网络),因此对可能需要访问的任何人都是可见的。相比之下,在基于应用的访问中,应用是不可见的,只有真正需要访问的人在经过身份验证和授权后才能看到应用。为什么需要在边缘部署零信任在这个用户、威胁和应用程序无处不在的时代,所有流量都必须通过可靠的安全堆栈。但是回传流量会破坏性能,而回传攻击流量会造成更大的损害。那么我们如何在没有回程的情况下实现这一目标呢?答案是部署零信任安全并将其作为边缘服务提供。在深入研究传统部署模型时,我们应该首先考虑员工访问基于Internet的Web应用程序的情况。这些应用程序可能是工作所需的SaaS应用程序,或者是在工作环境或个人活动中使用的Web应用程序。为了保护此流量,我们需要安全Web网关(SWG)。SWG确保可接受的使用策略得到执行,员工不会无意中尝试访问网络钓鱼站点,恶意软件不会下载到员工的设备上,等等。SWG是安全栈的重要组成部分,在强大的网络安全态势下,所有基于互联网的Web应用的访问都必须经过SWG。问题是在传统的SWG部署模型中需要回程,其中SWG在一个或几个位置部署为设备或虚拟设备。如果几乎所有员工都在一个或几个办公地点工作,则可以选择将这些SWG地点设在这些办公室内或附近,这样就不需要回程。但由于员工经常远程工作,而且通常通过远程访问VPN,流量必须回传到SWG。这会降低性能并带来其他扩展挑战。此外,SWG并不是安全堆栈中唯一重要的部分。在强大的网络安全态势中,所有流量都必须受到访问控制和检查,而不仅仅是那些通过SWG的互联网流量。此要求是零信任的基本原则。回程流量破坏性能在零信任安全态势下,所有流量都需要通过安全堆栈;在传统部署模型中,此要求会强制回程流量及其所有相关问题。回程不仅成本高昂且会破坏性能,而且当部分流量遭到黑客攻击时,情况会变得更糟。处理攻击流量是安全堆栈的功能之一。在攻击安全堆栈之前,我们不知道哪些流量是攻击流量。回程攻击流量只会让它有更多机会与网络链路和设备进行交互,这反过来又让它有机会造成破坏,例如破坏关键的上游链路并使整个安全堆栈无法访问。当安全问题部署在边缘时回传那么我们应该做什么?不要将流量回传到安全堆栈,而是将安全堆栈部署在流量所在的边缘。在此模型中,完整的零信任安全堆栈可以作为边缘基础设施上的服务运行。由于安全堆栈位于边缘,因此无论用户/员工在哪里工作,无论他们是在办公室、家里还是在路上,它都离他们很近。同样,它接近于在任何地方部署应用程序,无论它们是在数据中心、云端还是其他地方。靠近用户和应用程序的边缘是安全堆栈“进入”的地方——这是流量所在的地方,不需要回程。此外,安全堆栈靠近边缘的任何攻击者,例如受损的公司设备或蠕虫,因此可以在攻击流量有机会造成任何损害之前在源头将其阻止。结论随着企业在管理远程员工的同时继续面临更高级和恶性的网络威胁,与值得信赖的网络安全合作伙伴合作可以为企业提供工具来实施完整的零信任安全世界取得成功。鉴于这些好处,以及当今市场上产品的成熟度,您没有理由不使用零信任解决方案来保护您在迈向大流行后时代的业务。
