2020年注定与一个词紧紧相连,那就是安全。新冠疫情全球蔓延,几乎让所有人都谨慎减少外出,保持与他人的社交距离。相应地,人们有更多的时间花在电子设备和网络世界上。与病毒肆虐对人身健康造成的威胁相比,网络世界的安全威胁更加难以察觉。然而,随着企业和个人越来越多地将自己最重要的数据资产存储在网络侧和云端,网络安全面临的威胁也越来越严峻。2月底,SaaS服务商微盟的业务数据被内部员工故意删除,导致300万平台商户小程序全部宕机,众多商户损失惨重,微盟市值缩水急剧地。该事件被业界视为企业数据安全的拐点事件。4月初,受疫情影响用户激增的远程视频软件Zoom被曝存在重大安全漏洞,引发股东集体诉讼。漏水的房子恰逢连夜雨。近日,Zoom被曝有53万份用户网络证书在暗网低价出售。尽管此次Zoom数据泄露的原因被指为黑客撞库攻击,但由于视频会议软件Zoom涉及会议内容、摄像头、远程桌面等隐私问题,此次数据泄露再次引发抵制和抵制。被媒体和许多企业组织禁止。.结合国内众多企业在用户数据安全和隐私保护方面暴露出的种种问题,我们会发现网络安全仍然是产品研发和运营中的一大短板。现在,随着远程协同办公的兴起,企业内网面临着新的安全威胁。传统的VPN和防火墙组成的网络安全架构已经难以满足企业员工大量访问外部网络的需求。10年前提出并风头正劲的“零信任安全”已经成为企业网络安全选择的新架构。不信任是迈向最佳安全的第一步?一场关于信任的安全危机,可能起源于古希腊神话中的“特洛伊木马”。希腊人制定的特洛伊木马计划欺骗了特洛伊人的信任。特洛伊人被自己领进了特洛伊,希腊人从内部攻破了它。这一经典策略激发了互联网时代最猖獗的网络攻击。通过在正常程序中植入木马程序,可以实现对被感染计算机的远程控制。对于现在很多企业的数据中心来说,传统意义上的网络安全就是通过一系列的防火墙或者杀毒软件来抵御这些外部威胁。但是,如果拥有合法凭据和权限的用户进入系统,这些外围防御系统就会自动松手,系统内部隐含了对他们的信任关系,很难杜绝这些用户的不良行为。一是用户账号被盗后的黑客行为;另一种是用户自身的违规行为,比如对微盟内部人员的“删帖”,这种内部损害也可能更为严重。真正实现系统内数据保护的最可行的方法是零信任网络访问模型。这种安全架构将改变现有的企业数据保护规则。所谓的零信任网络访问(Zero-TrustNetworkAccess,简称ZTNA)是由研究公司Forrester副总裁兼首席分析师JohnKindervag于2010年提出的。含义:进出网络的任何事物都不可信任。应使用强大的身份验证技术保护数据,从而创建一个新的以数据为中心的边界。简单地说,“从不信任,总是验证”。为什么企业需要实现零信任网络访问?首先,全球因网络安全问题造成的经济损失逐年增加。据估计,到2021年,全球因网络犯罪造成的经济损失总额将达到6万亿美元。世界上发生的重大数据泄露事件,都是黑客突破企业防火墙后,对内部网络进行全面访问造成的。尽管企业在信息网络安全方面的支出逐年增加,但传统的安全手段已难以应对日益严峻的安全威胁。改变安全边界保护的旧思维和方法成为解决问题的办法。此外,最重要的变化之一是企业的安全边界正在模糊。受企业数字化转型和云计算业务增长的影响,以防火墙、VPN为代表的传统安全技术构建的企业边界正在被云业务的场景模式瓦解。大量的外部访问扩大了攻击渗透到企业内部的威胁。如此一来,传统的“对内即可信”、“外部即不可信”的网络安全观念需要被打破,零信任网络接入“先认证后可信”的优势将得到凸显。如何实现零信任网络安全?零信任网络访问要求企业根据用户、位置等数据条件建立微隔离和细粒度的边界规则,以判断请求访问企业特定范围的用户是否可信。、主机或应用程序。要实现零信任网络访问,需要做到以下几点:首先,确认用户身份,通过交叉验证确保登录操作是用户自己的;第二,确保用户使用的终端安全;第三,建立条件限制政策,明确访问权限;第四,访问控制需要遵循最小权限原则进行细粒度授权,基于尽可能多的属性进行信任和风险度量,实现动态自适应访问控制。零信任网络访问需要依赖多因素认证、身份和访问管理、编排、分析、加密、安全评级和文件系统权限等技术来完成上述工作。许多企业的IT部门在其网络环境中部署了多重身份验证、身份和访问管理以及权限管理,通常采用软件定义边界(SDP)和微隔离技术来有效阻隔服务器或网段之间的流量。访问权限。更细粒度的控制、更灵活的扩展、更高的可靠性,软件定义边界正在改变传统的远程连接方式。网络微隔离是在传统的区域结构下,将区域中的网络进一步细分,以增强安全性。微隔离常用于数据中心网络,对一个区域的应用进行细分,可以实现工作流层面的细粒度隔离和可视化管理。它正在成为虚拟化环境中网络隔离的首选解决方案。当然,零信任安全环境的建立不仅仅是实现这种单点技术,更要在这些技术的应用中贯彻“无验证,无信任”的理念。零信任作为一种全新的安全理念,理应成为未来企业决策者坚持的一项举措。据旧金山计算机安全研究所统计,60%到80%的网络滥用事件来自内部网络,对内部人员的信任造成的危害程度远远超过黑客攻击和病毒造成的损失。企业需要调整思维方式,让零信任理念也成为管理者和员工自觉遵守的行为准则。事实上,零信任架构更适合企业在上云环境中搭建。而那些IT环境复杂、老旧系统较多的大型企业,需要将零信任架构迁移作为一个多阶段、长期的整体工程来对待。作为企业整体数字化转型战略的一部分,零信任架构实现了有助于在云迁移过程中实现零信任的技术,然后淘汰那些旧的遗留系统。即先有总体设计,再采用相应的技术。零信任网络安全的应用实践2018年,Gartner提出零信任是持续自适应风险与信任评估(CARTA)的第一步。零信任应根据需要对不同身份(设备、用户、网络流量)赋予差异化、最小化的访问权限,通过持续认证改变“认证可信”的保护模式。基于对零信任安全框架的认识,国内外企业进行了技术探索和部署。在软件定义的边界上,Google的BeyondCorp实现了基于设备、用户、动态访问控制和行为感知策略的零信任概念。所有流量通过统一的访问代理进行认证和授权,信息数据库中的用户和设备实时更新。、状态、历史用户行为可信度等相关信息,并采用动态多轮评分机制对请求源的信任等级进行划分,进一步实现等级内的最小权限控制。笔者在这里有一个相当惨痛的教训。我一直在尝试取回我十多年前注册的Gmail帐户,但我一直无法通过任何其他验证方式取回它,因为我使用的电话号码已被注销。这也可能意味着谷歌的零信任验证过于谨慎。此外,思科、Verizon、中国的云神互联网等公司都推出了基于零信任的SDP服务解决方案。在微分段技术方面,网络安全初创公司Illumio的自适应安全平台就是基于微分段技术。在隔离策略配置方面,应用人工智能学习网络流量模式,提供多种便捷的配置方式和可视化展示。强威灵动、山石网科等国内企业也在积极探索微隔离、可视化的安全解决方案。根据Gartner在《零信任网络访问市场指南》中做出的战略规划假设,到2022年,80%开放给生态合作伙伴的新数字业务应用将通过零信任网络接入;到2023年,60%的企业将被淘汰大多数VPN改为使用零信任网络访问。目前,在我国企业数字化转型和业务上云趋势的推动下,业务模型转换上云将为零信任网络安全提供一个实用的平台,进而充分利用内部业务、数据、设备等信息形成连续、动态、细粒度的零信任安全保护方案。同时,对于传统安全厂商,应积极推动新的网络安全技术和安全理念的变革,将零信任理念与传统身份管理和访问控制技术相结合,充分发挥传统安全优势。身份管理领域的供应商。零信任理念与传统技术的深度融合,使得基于零信任的动态身份管理和访问控制解决方案有望加速落地。正如之前微盟和Zoom的案例所示,如果企业对网络安全不够重视,在网络安全意识和观念上仍然沿用传统的技术思路,那么一个失误就会引发非常严重的安全危机,巨大的经营风险。面对事关企业生存发展的重大问题,将网络安全视为企业的生命线一点都不为过,推动零信任模式的网络安全体系升级必须提上日程许多企业的。
