2020年初,新型冠狀病毒席卷全球,在疫情沒有得到有效的控制前,各大企業(yè)積極響應(yīng)國(guó)家號(hào)召開始啟動(dòng)遠(yuǎn)程辦公模式。在遠(yuǎn)程辦公的熱潮中,中大型企業(yè)的VPN遠(yuǎn)程辦公也暴露了諸多安全問題,其中最讓人印象深刻的是某上市公司生產(chǎn)環(huán)境遭到惡意破壞;某公司的運(yùn)維員工通過VPN進(jìn)入公司內(nèi)網(wǎng)的跳板機(jī),在權(quán)限管控缺失的情況下,報(bào)復(fù)性破壞公司的數(shù)據(jù)庫,憑一己之力蒸發(fā)公司市值近20億元。在此情況下,企業(yè)如何更安全的實(shí)現(xiàn)遠(yuǎn)程辦公,是諸多企業(yè)關(guān)注的重點(diǎn)。特別是后疫情時(shí)代的到來,遠(yuǎn)程辦公成為當(dāng)下的主旋律。

而零信任在解決遠(yuǎn)程辦公的同時(shí),避免了網(wǎng)絡(luò)攻擊對(duì)企業(yè)應(yīng)用、數(shù)據(jù)資產(chǎn)造成的威脅,是企業(yè)解決遠(yuǎn)程辦公的極好選擇。本文將針對(duì)于此給出詳細(xì)有力的解釋!

遠(yuǎn)程辦公危機(jī)四伏

遠(yuǎn)程辦公憑借著能夠提升辦公協(xié)作和企業(yè)管理效率、減少人群接觸風(fēng)險(xiǎn)等特點(diǎn),在疫情期間成為企業(yè)實(shí)現(xiàn)安全復(fù)工復(fù)產(chǎn)的重要方式。但是,對(duì)于大部分企業(yè)來說,因疫情而臨時(shí)搭建出來的遠(yuǎn)程辦公系統(tǒng)盡管可以解決企業(yè)員工的辦公需求,但是也帶來了大量的危機(jī)。

員工異地訪問的身份識(shí)別、多地分散的終端安全防護(hù)、網(wǎng)絡(luò)信息加密的不確定性,使接入環(huán)境變得異常復(fù)雜,不利于運(yùn)維人員的管理和追溯;同時(shí)一些企業(yè)所使用的傳統(tǒng)網(wǎng)絡(luò)架構(gòu),也讓大量高風(fēng)險(xiǎn)業(yè)務(wù)端口暴露在外,使企業(yè)的核心業(yè)務(wù)和數(shù)據(jù)容易遭到黑客的攻擊而泄露。

在傳統(tǒng)的VPN難以繼續(xù)滿足企業(yè)的需求時(shí),基于零信任理念打造的企業(yè)安全訪問體系開始被廣泛使用,下面我們將分析零信任的優(yōu)勢(shì)和如何解決現(xiàn)階段遠(yuǎn)程辦公的問題。

遠(yuǎn)程辦公的未來趨勢(shì)

零信任amp;VPN

虛擬專用網(wǎng)絡(luò)VPN等傳統(tǒng)遠(yuǎn)程訪問技術(shù)無法滿足當(dāng)今無邊界數(shù)字化企業(yè)日益增長(zhǎng)的需求。且傳統(tǒng)的VPN對(duì)企業(yè)安全也會(huì)構(gòu)成一定的威脅,因?yàn)閂PN本身在防火墻上就會(huì)形成漏洞,從而提供不受限制的網(wǎng)絡(luò)訪問。一旦攻擊者位于內(nèi)部,其就可以自由地橫向移動(dòng)以訪問和利用網(wǎng)絡(luò)中的任何系統(tǒng)或應(yīng)用程序。

傳統(tǒng)VPN作為提供遠(yuǎn)程服務(wù)的虛擬專用網(wǎng)絡(luò)訪問功能未跟上安全性要求和當(dāng)今不斷變化的威脅格局。遠(yuǎn)程訪問通過創(chuàng)建加密的點(diǎn)對(duì)點(diǎn)連接IP流量流經(jīng)的“隧道”。但是,VPN使企業(yè)更容易受到攻擊和數(shù)據(jù)的泄漏,因?yàn)榻M織內(nèi)的用戶都可以訪問整個(gè)內(nèi)部網(wǎng)絡(luò)以進(jìn)行訪問公司資源。用戶不限于特定網(wǎng)絡(luò)資源,使VPN成為最弱的一種有關(guān)身份訪問的故障點(diǎn)和憑證管理,在使用中沒有細(xì)分、審核和控制。除此之外,VPN還有用戶體驗(yàn)不佳、拓展性差等問題存在。

陳本峰表示,零信任的安全理念是建立在身份驗(yàn)證、設(shè)備驗(yàn)證、網(wǎng)絡(luò)隔離和訪問控制的基礎(chǔ)上,是保護(hù)管理應(yīng)用和數(shù)據(jù)的關(guān)鍵。傳統(tǒng)保護(hù)網(wǎng)絡(luò)安全的方式是先訪問資源再驗(yàn)證身份,而零信任的理念則是先驗(yàn)證身份,再授權(quán)進(jìn)行訪問。

零信任網(wǎng)絡(luò)則可以在任何時(shí)候都限制對(duì)所有用戶的訪問,隨著網(wǎng)絡(luò)攻擊者的攻擊手段變得越來越先進(jìn),VPN不足以阻止他們,但是基于零信任網(wǎng)絡(luò),無論攻擊者是否已經(jīng)獲得用戶的授權(quán)憑證,他們的行動(dòng)都將受到限制,遵循最小授權(quán)原則,所有其他資源對(duì)用戶不可見。零信任網(wǎng)絡(luò)可以劃定一個(gè)清晰的邊界,在網(wǎng)絡(luò)中使用微分段創(chuàng)建安全區(qū)域以此加強(qiáng)網(wǎng)絡(luò)的安全性。

零信任amp; WAF

現(xiàn)代網(wǎng)絡(luò)攻擊具有高度針對(duì)性,惡意攻擊者利用電子郵件、社交媒體、即時(shí)消息等社交工具,通過高度相關(guān)和個(gè)性化誘餌來攻擊個(gè)人。網(wǎng)絡(luò)罪犯會(huì)尋找具有所需資歷、技能集和訪問級(jí)別的特定用戶,然后發(fā)起針對(duì)這些用戶權(quán)限的應(yīng)用程序攻擊。雖然大部分的公司使用WAF來保護(hù)面向外部的應(yīng)用程序及其背后的數(shù)據(jù)免受應(yīng)用程序?qū)雍妥⑷牍?但網(wǎng)絡(luò)罪犯將以設(shè)備為目標(biāo),將其轉(zhuǎn)變?yōu)榻┦瑱C(jī)器,并利用它攻擊防火墻后方被認(rèn)為安全的應(yīng)用程序。而且在使用WAF時(shí)還存在幾點(diǎn)弊端:

1WAF對(duì)HTTP協(xié)議實(shí)現(xiàn)了自解析,無法和容器背后的Web應(yīng)用保持對(duì)協(xié)議的理解一致,在誤殺和漏報(bào)之間不能很好的平衡;

2WAF對(duì)每個(gè)請(qǐng)求都要進(jìn)行解析和識(shí)別會(huì)導(dǎo)致占用內(nèi)存過多的情況;

3WAF協(xié)議單臺(tái)服務(wù)器部署,并且存在影響正常業(yè)務(wù)和被繞過的風(fēng)險(xiǎn),不適合大型網(wǎng)站的防護(hù)使用,存在一定的局限性。

零信任遵從永不信任且驗(yàn)證的原則,在認(rèn)證之前,所有資源均不可見。此外,零信任通過細(xì)粒度的訪問控制手段、可視化的策略管理能力和不落地的數(shù)據(jù)防泄露技術(shù),提供按需、動(dòng)態(tài)的可信訪問,同時(shí)基于身份實(shí)行嚴(yán)格的訪問權(quán)限控制和對(duì)所有入網(wǎng)設(shè)備的安全可控。WAF是SQL注入攻擊的第一道防線,而零信任可以在最初就減少這種現(xiàn)象發(fā)生的概率,零信任與WAF相比可以為企業(yè)提供更加廣泛的保護(hù)。

零信任遠(yuǎn)程辦公方案的優(yōu)勢(shì)

隨著當(dāng)下環(huán)境發(fā)展到由更復(fù)雜的應(yīng)用程序和終端組成,基于邊界防護(hù)的安全體系將失去有效的洞察力和控制力,而零信任安全被認(rèn)為是解決現(xiàn)階段網(wǎng)絡(luò)安全問題的最佳解決方案。零信任在遠(yuǎn)程辦公的安全性上的優(yōu)勢(shì),主要有以下幾個(gè)方面:

1零信任訪問:實(shí)現(xiàn)所有用戶接入前統(tǒng)一認(rèn)證,即先認(rèn)證、再連接,隱藏應(yīng)用減少攻擊面。

2細(xì)粒度的按需授權(quán):進(jìn)行多層級(jí)細(xì)粒度的授權(quán),實(shí)現(xiàn)全面最小按需授權(quán)。

3動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估:實(shí)時(shí)評(píng)估終端環(huán)境、用戶行為等風(fēng)險(xiǎn),發(fā)現(xiàn)異常立刻觸發(fā)響應(yīng),形成閉環(huán)。

基于零信任理念的遠(yuǎn)程辦公方案,可以最大程度的讓員工擁有內(nèi)外網(wǎng)一致的辦公體驗(yàn)。通過零信任方案,讓終端用戶可以直接在公網(wǎng)進(jìn)行認(rèn)證之后,訪問授權(quán)的企業(yè)應(yīng)用,而不會(huì)因?yàn)榫W(wǎng)絡(luò)的連通性而影響辦公效率。

過去,在安全和便捷之間,我們總是很難達(dá)到一個(gè)理想的平衡,但是現(xiàn)在基于零信任理念而產(chǎn)生的遠(yuǎn)程辦公方案,對(duì)企業(yè)來說可以提高安全性,對(duì)企業(yè)員工來說有更高的易用性,擁有更完美的體驗(yàn),提高工作效率。