安全挑戰(zhàn)
隨著信息技術(shù)的快速發(fā)展,,云計算、大數(shù)據(jù),、物聯(lián)網(wǎng),、移動互聯(lián)、人工智能等新興技術(shù)為政府部門及各類企業(yè)的信息化發(fā)展及現(xiàn)代化建設(shè)帶來了新的生產(chǎn)力,,但同時也給信息安全帶來了新挑戰(zhàn):一方面,,云計算、移動互聯(lián)導(dǎo)致的企業(yè)邊界瓦解,,難以繼續(xù)基于邊界構(gòu)筑企業(yè)的安全防線,;另一方面,外部攻擊和內(nèi)部攻擊愈演愈烈,,以APT攻擊為代表的高級持續(xù)攻擊仍然能找到各種漏洞突破企業(yè)的邊界,,同時,內(nèi)部業(yè)務(wù)的非授權(quán)訪問,、雇員犯錯,、有意的數(shù)據(jù)竊取等內(nèi)部威脅層出不窮;另外,,國家和行業(yè)層面對企業(yè)安全的監(jiān)管力度逐步加強,,也對企業(yè)安全提出了更高的要求……只有充分的認(rèn)識到這些新IT時代的安全挑戰(zhàn),,才能更好地進行應(yīng)對。
1.企業(yè)邊界瓦解傳統(tǒng)的安全架構(gòu)基于邊界思維,,假定企業(yè)存在一個“內(nèi)網(wǎng)”,,存在一個邊界對內(nèi)外網(wǎng)進行隔離,假定內(nèi)網(wǎng)是安全的,、外網(wǎng)是不安全的,,基于如上假設(shè),企業(yè)在邊界處部署防火墻,、WAF,、入侵檢測等設(shè)備進行防御,并期望借此打造企業(yè)的安全護城河,。然而,,隨著移動辦公、云計算等技術(shù)的廣泛采用,,企業(yè)的邊界已經(jīng)模糊甚至瓦解: 一方面,,企業(yè)業(yè)務(wù)和數(shù)據(jù)的訪問者已經(jīng)超出了企業(yè)的邊界。借助以智能手機為支撐的移動計算技術(shù),,傳統(tǒng)的工作方式從固定辦公轉(zhuǎn)變?yōu)橐苿踊?、碎片化的辦公方式,各種設(shè)備需隨時隨地進行數(shù)據(jù)訪問,;隨著企業(yè)分工與對外協(xié)作的愈漸復(fù)雜,,非企業(yè)內(nèi)部員工也將對企業(yè)數(shù)據(jù)進行訪問。 另一方面,,企業(yè)的業(yè)務(wù)和數(shù)據(jù)也超出了企業(yè)的邊界,。在數(shù)字化轉(zhuǎn)型過程中,企業(yè)大量采用了云計算和大數(shù)據(jù)技術(shù),,甚至大量將業(yè)務(wù)和數(shù)據(jù)遷移到公有云之上,,這些云和大數(shù)據(jù)中心因為其數(shù)據(jù)的集中,也導(dǎo)致了這些傳統(tǒng)的企業(yè)物理邊界之外的數(shù)據(jù)和基礎(chǔ)設(shè)施成為高價值的攻擊目標(biāo),。 2.外部攻擊防不勝防隨著大數(shù)據(jù)技術(shù)的發(fā)展,數(shù)據(jù)也趨于集中,,數(shù)據(jù)的集中意味著價值的集中,,自然也成為攻擊者的首要攻擊目標(biāo)。 一方面,,攻擊者大量利用弱口令,、口令爆破等管用伎倆,輕易突破企業(yè)邊界,。來自于企業(yè)網(wǎng)絡(luò)外部的攻擊,,無論是基于登錄過程的用戶弱口令或密碼爆破,,還是對于傳輸過程中的憑證截獲或偽造,其攻擊的根本目標(biāo)是繞過或攻破企業(yè)網(wǎng)絡(luò)的訪問權(quán)限限制,,其后在企業(yè)信息內(nèi)部進行橫向攻擊破壞,。這種攻擊看似低級,卻是最易得手的伎倆之一,。美國移動運營商Verizon報告分析指出,,81%的黑客成功利用了偷來的口令或者弱口令,就能輕而易舉地獲得數(shù)據(jù)的訪問權(quán)限,,成功竊取數(shù)據(jù),。 另外,以APT為代表的高級攻擊層出不窮,。大型組織甚至國家發(fā)起的大規(guī)模網(wǎng)絡(luò)攻擊事件中,,攻擊者可以利用大量的漏洞“武器”,對重要目標(biāo)進行攻擊,,這類攻擊往往防不勝防,,切不可掉以輕心。 3.內(nèi)部威脅加劇傳統(tǒng)的企業(yè)安全體系是建立在內(nèi)外部網(wǎng)絡(luò)邊界的基礎(chǔ)之上,,假定了內(nèi)網(wǎng)中的用戶,、設(shè)備和流量通常都是可信的。因此,,在這種邊界思維的指導(dǎo)下,,企業(yè)內(nèi)部網(wǎng)絡(luò)中缺乏足夠的安全訪問控制,一旦被攻擊者滲入,,數(shù)據(jù)將會完全暴露,,極易泄漏,并且,,企業(yè)內(nèi)部員工對數(shù)據(jù)的惡意竊取事件也時有耳聞,。往往因為非授權(quán)訪問、雇員犯錯,、外包員工犯錯等等原因,,導(dǎo)致 “合法用戶”可以非法訪問特定的業(yè)務(wù)和數(shù)據(jù)資源,造成組織內(nèi)部數(shù)據(jù)泄漏,。 4.監(jiān)管力度加大當(dāng)前國家對數(shù)據(jù)信息安全越來越重視,,已出臺《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》《國家電子政務(wù)標(biāo)準(zhǔn)化指南》等相關(guān)政策標(biāo)準(zhǔn)。為滿足國家對于企業(yè)信息數(shù)據(jù)安全建設(shè)要求,,企業(yè)需要以業(yè)務(wù)需求為導(dǎo)向,,規(guī)范建設(shè)企業(yè)數(shù)據(jù)信息安全保障體系,形成科學(xué)實用的規(guī)范化安全管理能力、體系化安全技術(shù)防護能力,、綜合化安全監(jiān)管運維能力,,以滿足相關(guān)部門對于企業(yè)信息安全的監(jiān)管要求。 |
解決方案
為應(yīng)對新IT時代的網(wǎng)絡(luò)安全挑戰(zhàn),,零信任安全應(yīng)運而生,。零信任的雛形源于2004年成立的耶利哥論壇(Jericho Forum),其成立的使命正是為了定義無邊界趨勢下的網(wǎng)絡(luò)安全問題并尋求解決方案,。2010年,,F(xiàn)orrester的分析師約翰·金德維格(John Kindervag)正式使用了零信任這個術(shù)語,并在其研究報告中指出,,所有的網(wǎng)絡(luò)流量都是不可信的,,需要對訪問任何資源的任何請求進行安全控制。
傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)在某種程度上假設(shè)或默認(rèn)了內(nèi)網(wǎng)是安全的,,認(rèn)為安全就是構(gòu)筑企業(yè)的數(shù)字護城河,,通過防火墻、WAF,、IPS等邊界安全產(chǎn)品或方案對企業(yè)網(wǎng)絡(luò)出口進行重重防護而忽略了企業(yè)內(nèi)網(wǎng)的安全,。零信任安全針對傳統(tǒng)邊界安全架構(gòu)思想進行了重新評估和審視,并對安全架構(gòu)思路提出了新的建議,,是應(yīng)對新IT時代的網(wǎng)絡(luò)安全挑戰(zhàn)的全新戰(zhàn)略,。零信任安全架構(gòu)理念簡單概括即為:應(yīng)該始終假設(shè)網(wǎng)絡(luò)充滿威脅;外部和內(nèi)部威脅每時每刻都充斥著網(wǎng)絡(luò),;不能僅僅依靠網(wǎng)絡(luò)位置來建立信任關(guān)系,;所有設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)該被認(rèn)證和授權(quán),;訪問控制策略應(yīng)該動態(tài)地,、基于盡量多的數(shù)據(jù)源進行計算和評估。
零信任安全架構(gòu)從本質(zhì)可概括為以身份為基石的動態(tài)訪問控制,,是在不可信的現(xiàn)代網(wǎng)絡(luò)環(huán)境下,,通過動態(tài)訪問控制技術(shù),以細(xì)粒度的應(yīng)用,、接口,、數(shù)據(jù)為核心保護對象,遵循最小權(quán)限原則,,構(gòu)筑端到端的邏輯身份邊界,。
奇安信零信任身份安全解決方案正是基于零信任架構(gòu)所實現(xiàn)的訪問控制安全整體實踐。通過以身份為基石,、業(yè)務(wù)安全訪問,、持續(xù)信任評估和動態(tài)訪問控制這四大關(guān)鍵能力,基于對網(wǎng)絡(luò)所有參與實體的數(shù)字身份,,對默認(rèn)不可信的所有訪問請求進行加密,、認(rèn)證和強制授權(quán),匯聚關(guān)聯(lián)各種數(shù)據(jù)源進行持續(xù)信任評估,,并根據(jù)信任的程度動態(tài)對權(quán)限進行調(diào)整,,從而在訪問主體和訪問客體之間建立一種動態(tài)的信任關(guān)系。
方案優(yōu)勢
1.以身份為基石
零信任的本質(zhì)是以身份為基石進行動態(tài)訪問控制,,全面身份化是實現(xiàn)零信任的前提和基石,。方案基于全面身份化,為用戶,、設(shè)備,、應(yīng)用程序、業(yè)務(wù)系統(tǒng)等物理實體,,建立統(tǒng)一的數(shù)字身份標(biāo)識和治理流程,。
2.業(yè)務(wù)安全訪問
在零信任架構(gòu)下,所有的業(yè)務(wù)訪問請求(包括用戶對業(yè)務(wù)應(yīng)用的訪問,、應(yīng)用API之間的接口調(diào)用訪問等等)都應(yīng)該被認(rèn)證,、授權(quán)和加密。
3.持續(xù)信任評估
零信任架構(gòu)認(rèn)為一次性的身份認(rèn)證無法確保身份的持續(xù)合法性,,即便是采用了強度較高的多因子認(rèn)證,,也需要通過度量訪問主體的風(fēng)險,持續(xù)進行信任評估,。例如,,主體的信任評估可以依據(jù)采用的認(rèn)證手段、設(shè)備的健康度,、應(yīng)用程序是否企業(yè)分發(fā),、主體的訪問行為、操作習(xí)慣等等,;環(huán)境的信任評估則可能包括訪問時間,、來源IP地址、來源地理位置,、訪問頻度,、設(shè)備相似性等各種時空因素。
4.動態(tài)訪問控制
在零信任架構(gòu)下,,主體的訪問權(quán)限不是靜態(tài)的,,而是根據(jù)主體屬性、客體屬性,、環(huán)境屬性和持續(xù)的信任評估結(jié)果進行動態(tài)計算和判定,。傳統(tǒng)的訪問控制機制是宏觀的二值邏輯,,大多基于靜態(tài)的授權(quán)規(guī)則、黑白名單等技術(shù)手段進行一次性的評估,。零信任架構(gòu)下的訪問控制基于持續(xù)度量,、自動適應(yīng)的思想,是一種動態(tài)微觀判定邏輯,。
基于以上四大核心特性,,奇安信零信任身份安全解決方案進一步將安全理念落地為具體的安全能力,為企業(yè)提供構(gòu)建零信任安全體系的基礎(chǔ)產(chǎn)品組件和整體解決方案,,助力企業(yè)遷移到零信任安全架構(gòu),。
應(yīng)用價值
1.革新安全架構(gòu),樹立行業(yè)標(biāo)桿
? 采用零信任安全架構(gòu)解決企業(yè)數(shù)據(jù)訪問的安全性問題,,樹立行業(yè)安全標(biāo)桿,。
? 具備已實踐的標(biāo)準(zhǔn)化落地方案,可實現(xiàn)企業(yè)快速升級部署,。
? 重構(gòu)企業(yè)信息安全邊界,,從根源上解決數(shù)據(jù)訪問的安全性問題。
2.提升安全能力,,應(yīng)對實時風(fēng)險
? 采用統(tǒng)一的數(shù)字化身份信息,,實現(xiàn)訪問用戶身份的全面認(rèn)證。
? 通過細(xì)粒度以及動態(tài)化的授權(quán)方式,,滿足實時的安全性要求,。
? 集中業(yè)務(wù)代理,提供通道加密以及攻擊防護功能,,有效保護傳輸數(shù)據(jù)安全,。
? 獲取實時的環(huán)境安全狀態(tài)、訪問行為數(shù)據(jù),,智能分析風(fēng)險并調(diào)整訪問控制策略,。
3.實現(xiàn)自動管理,降低運維成本
? 通過自動化的身份管理,、認(rèn)證及授權(quán)能力,,有效減少企業(yè)IT人員工作量及人為出錯。
? 從安全架構(gòu)層面解決安全的源頭問題,,投入低,,可靠性高,避免重復(fù)建設(shè),。
4.提高工作效率,,提升用戶體驗
? 消除物理邏輯邊界,提供隨時隨地的企業(yè)數(shù)據(jù)訪問,。
? 自動獲取用戶身份安全狀態(tài)進行訪問授權(quán),,安全用戶無感接入,。