《電子技術應用》
                                                您所在的位置:首頁 > 通信與網絡 > 業界動態 > 【零信任】零信任時代,分支機構的網絡安全該怎么搞

                                                【零信任】零信任時代,分支機構的網絡安全該怎么搞

                                                2021-04-21
                                                作者: 冀托
                                                來源: 白話零信任

                                                  1、分支機構的現狀

                                                  大中型企業一般都有分支機構,分公司、辦事處、營業網點、連鎖零售店、維修點等等。

                                                  一直以來,分支機構場景下的網絡技術都沒有什么變化,還是幾年前的那些老技術。通過MPLS專線或者IPSec  VPN,把分公司員工跟總部數據中心的業務系統連接在一起,如下圖。

                                                 1.png

                                                  2、時代變了

                                                  如果業務系統只存在于數據中心,不需要其他連接的話,這種架構看起來還不錯。

                                                  但是今天我們的IT架構已經不再是這樣了。人們需要訪問的信息不止存在于數據中心。很多內部業務系統已經遷移到了云端。

                                                 ?。?)SaaS:很多公司的HR管理系統、報銷系統都是采用了SaaS服務。

                                                 ?。?)IaaS/PaaS:很多公司內部開發的業務系統部署在了云服務上,可能是阿里云,可能是騰訊云,或者一些政務云上。享受IaaS或PaaS云服務帶來的便利。

                                                 ?。?)互聯網:上網是正常工作必備的條件。員工需要查資料,下載軟件等等。

                                                  在這種網絡架構下,分支機構的員工想訪問SaaS服務的時候,流量是從總部數據中心分流出去的,如下圖。例如,大連的員工,訪問互聯網的出口可能是在上海。

                                                 2.png

                                                  總部數據中心成了網絡中心中轉點,所有安全設備也都部署在總部,如下圖。防火墻、入侵檢測、上網行為管理、VPN等等都部署在總部的數據中心,以此保證用戶的訪問安全。

                                                 3.png

                                                  3、傳統架構的安全挑戰

                                                  上述的這種傳統的網絡安全架構并不適應新時代的需求。

                                                  整個架構顯得臃腫不堪。

                                                 ?。?)體驗問題:用戶訪問SaaS應用要先回總部再出去,連接過程中有很多不必要的額外的開銷,最終必然導致用戶體驗的降低。

                                                 ?。?)安全問題:傳統架構的基本假設是——內網安全,外網不安全。但是在今天看來,這種假設是不對的。

                                                  傳統架構的安全思路是,把分公司和總部打通成一個內網,只有員工能進內網,所以默認內網是安全的。再在內外網之間部署一堆安全設備,把威脅攔在外部,不讓威脅進入內網。這樣內網就完全安全了。

                                                 4.png

                                                  傳統的依賴于內外邊界的安全理論已經不再適用于今天的場景。

                                                 ?。?)內部威脅:各類APT攻擊的泛濫,勒索病毒的肆虐,來自企業內部的威脅日益增加。員工可能會把互聯網上的病毒帶到公司內網里來。

                                                 ?。?)云的流行:而且隨著應用上云的趨勢,業務系統也慢慢在脫離內網,無法再受到內網本地的安全設備保護。

                                                 ?。?)移動辦公:訪問者可能來自任何時間任何地點。這大大增加了企業網絡的攻擊面。

                                                 5.png

                                                  4、如何應對挑戰?

                                                  內外邊界已經不再適用,我們需要一個更靈活的安全架構。無論用戶身在何地,無論用戶要訪問什么應用,都應該能夠非常靈活的受到安全架構的保護。

                                                  目前業界最新的安全架構就是“零信任”。零信任顧名思義就是對任何人都不信任,無論用戶在哪,要訪問什么應用,只有經過最嚴格的身份認證,才能獲得授權,連接企業的數據資產。

                                                  分支機構場景下,零信任架構本身可以是基于云端的,如下圖。原來總部的安全設備都可以挪到云端,形成一個“零信任安全云”。

                                                  6.png

                                                 ?。?)分布式提升效率

                                                  零信任安全云可以是分布式的。在全國各地部署節點,讓各地的分支機構可以就近接受安全服務。這樣安全服務的效率更高,用戶訪問速度更快。

                                                  7.png

                                                  (2)先驗證,后連接,更安全

                                                  傳統架構下,分支機構員工是直接接入內網的,很多業務系統都是直接暴露的,沒有設防。

                                                  零信任架構下,無論用戶在內網還是外網,用戶都要先進行認證之后,才能連接業務系統。用戶發出的任何網絡請求都要經過“零信任安全云”的檢驗,驗證合法之后才能轉發到業務系統。

                                                  未認證時,用戶只能連接到“零信任安全云”,連接不到內網的業務系統。

                                                  在內網零信任架構下,不經過零信任的身份認證的話,用戶連登錄頁都打不開。TCP的三次握手都會被拒絕連接都建立不起來。

                                                  零信任安全云的檢驗包括兩部分:身份驗證和授權驗證。證明自己是誰,什么部門,什么角色,確實有訪問權限,才能碰觸到業務系統。

                                                 8.png

                                                  (3)應用層準入,減小攻擊面

                                                  分支機構里面的電腦一般很難有效管控。

                                                  針對這種非管控設備,企業可以讓員工使用零信任的應用層準入方案。只給分支機構員工訪問web頁面的權限,不暴露其他協議和端口的資源。

                                                  這樣安全風險就降到了最低。

                                                 9.png

                                                  而且,只提供應用層的準入的話,用戶是不需要安裝客戶端的。這大大降低了分支機構員工的使用難度。IT部推廣的難度也降低了。;-)

                                                  分支機構需要使用的系統一般都是B/S架構的,比較輕量。所以限制分支員工只能訪問web頁面,也能滿足使用需求。

                                                 ?。?)異常檢測

                                                  門店員工的上班時間、地點和工作內容一般是比較固定的。異常行為很容易被察覺。

                                                  零信任有個理念是永遠假設用戶已經被入侵了。所以零信任要求對用戶進行持續不斷的驗證。

                                                  每次用戶發出請求,零信任安全云的異常行為識別模塊都會進行對比分析。發現可以情況隨時觸發報警,甚至把用戶隔離。

                                                  例如,店員一般都在晚上用門店的電腦上傳銷售數據。但有一天用戶突然在另一個電腦上,半夜登錄了業務系統。這就非??梢闪?。系統可以立即觸發一次短信驗證,否則不能繼續訪問。

                                                 10.png

                                                  5、與傳統安全的集成

                                                  零信任不是改朝換代的全新技術。零信任可以集成很多傳統安全設備。例如,入侵檢測、防病毒等等依然可以放在零信任安全云里面發揮作用。

                                                  零信任的身份認證可以集成MFA(多因子身份認證)來增強認證強度,集成SSO(單點登錄)來提升用戶體驗。

                                                  零信任不只是安全接入,也可以保護用戶的安全上網。通過集成上網行為管理等功能,屏蔽惡意網站,保護用戶不被互聯網上的木馬病毒和釣魚網站攻擊。

                                                 11.png

                                                  6、云原生的零信任架構

                                                  看過我文章的朋友肯定知道我對云安全非常推崇。零信任天生就該是云原生的。云的好處實在太多了。

                                                  (1)復雜性降低

                                                  分支機構的整個訪問過程都是基于互聯網的,分支機構和總部之間不用部署網絡線路,網絡結構變得非常簡單。

                                                  (2)靈活性提高

                                                  如果安全服務都能跑在普通服務器上的話,靈活性就大大增加了。例如把常用的服務打成一個鏡像。每次在一個新的省市新開門店,就在云上挑選距離當地最近的虛擬機,直接鏡像全套安全服務過去,就完事了。不用折騰硬件,不用找廠家來回調試了。

                                                 12.png

                                                  (3)威脅更遠了

                                                  當你在分支機構當地部署安全云的時候,實際上是讓安全服務離分支更近,讓威脅離總部更遠。

                                                  威脅從分支機構開始,要打穿當地的安全云節點,再入侵到總部的安全接入點,再殺進去才是業務系統。

                                                  整個戰線拉長了,戰略縱深增加了。

                                                 13.png

                                                  7、總結

                                                  分支機構場景非常適合零信任架構的落地。零信任安全云跟傳統的IPSec VPN硬件相比,有很多優勢。

                                                 ?。?)首先就是更安全,不再是直接將用戶置于內網,而是通過零信任策略驗證后接入。

                                                 ?。?)其次就是體驗的提升,零信任安全云可以支持更大的并發,用戶訪問速度會提升

                                                 ?。?)最后是成本上的降低,用了安全云就不用硬件了,會省掉很多麻煩

                                                 


                                                本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306116;郵箱:aet@chinaaet.com。
                                                亚洲精品少妇30P