安全挑戰(zhàn)
隨著信息技術的快速發(fā)展,云計算,、大數據,、物聯網,、移動互聯,、人工智能等新興技術為政府部門及各類企業(yè)的信息化發(fā)展及現代化建設帶來了新的生產力,但同時也給信息安全帶來了新挑戰(zhàn):一方面,,云計算,、移動互聯導致的企業(yè)邊界瓦解,難以繼續(xù)基于邊界構筑企業(yè)的安全防線,;另一方面,,外部攻擊和內部攻擊愈演愈烈,以APT攻擊為代表的高級持續(xù)攻擊仍然能找到各種漏洞突破企業(yè)的邊界,,同時,,內部業(yè)務的非授權訪問、雇員犯錯,、有意的數據竊取等內部威脅層出不窮,;另外,國家和行業(yè)層面對企業(yè)安全的監(jiān)管力度逐步加強,,也對企業(yè)安全提出了更高的要求……只有充分的認識到這些新IT時代的安全挑戰(zhàn),,才能更好地進行應對。
1.企業(yè)邊界瓦解傳統(tǒng)的安全架構基于邊界思維,,假定企業(yè)存在一個“內網”,,存在一個邊界對內外網進行隔離,假定內網是安全的,、外網是不安全的,,基于如上假設,企業(yè)在邊界處部署防火墻,、WAF,、入侵檢測等設備進行防御,并期望借此打造企業(yè)的安全護城河,。然而,,隨著移動辦公、云計算等技術的廣泛采用,,企業(yè)的邊界已經模糊甚至瓦解: 一方面,,企業(yè)業(yè)務和數據的訪問者已經超出了企業(yè)的邊界。借助以智能手機為支撐的移動計算技術,,傳統(tǒng)的工作方式從固定辦公轉變?yōu)橐苿踊?、碎片化的辦公方式,,各種設備需隨時隨地進行數據訪問;隨著企業(yè)分工與對外協(xié)作的愈漸復雜,,非企業(yè)內部員工也將對企業(yè)數據進行訪問,。 另一方面,企業(yè)的業(yè)務和數據也超出了企業(yè)的邊界,。在數字化轉型過程中,,企業(yè)大量采用了云計算和大數據技術,甚至大量將業(yè)務和數據遷移到公有云之上,,這些云和大數據中心因為其數據的集中,,也導致了這些傳統(tǒng)的企業(yè)物理邊界之外的數據和基礎設施成為高價值的攻擊目標。 2.外部攻擊防不勝防隨著大數據技術的發(fā)展,,數據也趨于集中,,數據的集中意味著價值的集中,自然也成為攻擊者的首要攻擊目標,。 一方面,,攻擊者大量利用弱口令、口令爆破等管用伎倆,,輕易突破企業(yè)邊界,。來自于企業(yè)網絡外部的攻擊,無論是基于登錄過程的用戶弱口令或密碼爆破,,還是對于傳輸過程中的憑證截獲或偽造,,其攻擊的根本目標是繞過或攻破企業(yè)網絡的訪問權限限制,其后在企業(yè)信息內部進行橫向攻擊破壞,。這種攻擊看似低級,,卻是最易得手的伎倆之一。美國移動運營商Verizon報告分析指出,,81%的黑客成功利用了偷來的口令或者弱口令,,就能輕而易舉地獲得數據的訪問權限,成功竊取數據,。 另外,,以APT為代表的高級攻擊層出不窮。大型組織甚至國家發(fā)起的大規(guī)模網絡攻擊事件中,,攻擊者可以利用大量的漏洞“武器”,,對重要目標進行攻擊,這類攻擊往往防不勝防,,切不可掉以輕心,。 3.內部威脅加劇傳統(tǒng)的企業(yè)安全體系是建立在內外部網絡邊界的基礎之上,假定了內網中的用戶、設備和流量通常都是可信的,。因此,,在這種邊界思維的指導下,企業(yè)內部網絡中缺乏足夠的安全訪問控制,,一旦被攻擊者滲入,,數據將會完全暴露,極易泄漏,,并且,,企業(yè)內部員工對數據的惡意竊取事件也時有耳聞。往往因為非授權訪問,、雇員犯錯,、外包員工犯錯等等原因,,導致 “合法用戶”可以非法訪問特定的業(yè)務和數據資源,,造成組織內部數據泄漏。 4.監(jiān)管力度加大當前國家對數據信息安全越來越重視,,已出臺《中華人民共和國網絡安全法》《信息安全技術 網絡安全等級保護基本要求》《國家電子政務標準化指南》等相關政策標準,。為滿足國家對于企業(yè)信息數據安全建設要求,企業(yè)需要以業(yè)務需求為導向,,規(guī)范建設企業(yè)數據信息安全保障體系,,形成科學實用的規(guī)范化安全管理能力、體系化安全技術防護能力,、綜合化安全監(jiān)管運維能力,,以滿足相關部門對于企業(yè)信息安全的監(jiān)管要求。 |
解決方案
為應對新IT時代的網絡安全挑戰(zhàn),,零信任安全應運而生,。零信任的雛形源于2004年成立的耶利哥論壇(Jericho Forum),其成立的使命正是為了定義無邊界趨勢下的網絡安全問題并尋求解決方案,。2010年,,Forrester的分析師約翰·金德維格(John Kindervag)正式使用了零信任這個術語,并在其研究報告中指出,,所有的網絡流量都是不可信的,,需要對訪問任何資源的任何請求進行安全控制。
傳統(tǒng)的基于邊界的網絡安全架構在某種程度上假設或默認了內網是安全的,,認為安全就是構筑企業(yè)的數字護城河,,通過防火墻、WAF,、IPS等邊界安全產品或方案對企業(yè)網絡出口進行重重防護而忽略了企業(yè)內網的安全,。零信任安全針對傳統(tǒng)邊界安全架構思想進行了重新評估和審視,并對安全架構思路提出了新的建議,是應對新IT時代的網絡安全挑戰(zhàn)的全新戰(zhàn)略,。零信任安全架構理念簡單概括即為:應該始終假設網絡充滿威脅,;外部和內部威脅每時每刻都充斥著網絡;不能僅僅依靠網絡位置來建立信任關系,;所有設備,、用戶和網絡流量都應該被認證和授權;訪問控制策略應該動態(tài)地,、基于盡量多的數據源進行計算和評估,。
零信任安全架構從本質可概括為以身份為基石的動態(tài)訪問控制,是在不可信的現代網絡環(huán)境下,,通過動態(tài)訪問控制技術,,以細粒度的應用、接口,、數據為核心保護對象,,遵循最小權限原則,構筑端到端的邏輯身份邊界,。
奇安信零信任身份安全解決方案正是基于零信任架構所實現的訪問控制安全整體實踐,。通過以身份為基石、業(yè)務安全訪問,、持續(xù)信任評估和動態(tài)訪問控制這四大關鍵能力,,基于對網絡所有參與實體的數字身份,對默認不可信的所有訪問請求進行加密,、認證和強制授權,,匯聚關聯各種數據源進行持續(xù)信任評估,并根據信任的程度動態(tài)對權限進行調整,,從而在訪問主體和訪問客體之間建立一種動態(tài)的信任關系,。
方案優(yōu)勢
1.以身份為基石
零信任的本質是以身份為基石進行動態(tài)訪問控制,全面身份化是實現零信任的前提和基石,。方案基于全面身份化,,為用戶、設備,、應用程序,、業(yè)務系統(tǒng)等物理實體,建立統(tǒng)一的數字身份標識和治理流程,。
2.業(yè)務安全訪問
在零信任架構下,,所有的業(yè)務訪問請求(包括用戶對業(yè)務應用的訪問、應用API之間的接口調用訪問等等)都應該被認證,、授權和加密,。
3.持續(xù)信任評估
零信任架構認為一次性的身份認證無法確保身份的持續(xù)合法性,,即便是采用了強度較高的多因子認證,也需要通過度量訪問主體的風險,,持續(xù)進行信任評估,。例如,主體的信任評估可以依據采用的認證手段,、設備的健康度,、應用程序是否企業(yè)分發(fā)、主體的訪問行為,、操作習慣等等,;環(huán)境的信任評估則可能包括訪問時間、來源IP地址,、來源地理位置,、訪問頻度、設備相似性等各種時空因素,。
4.動態(tài)訪問控制
在零信任架構下,,主體的訪問權限不是靜態(tài)的,而是根據主體屬性,、客體屬性,、環(huán)境屬性和持續(xù)的信任評估結果進行動態(tài)計算和判定。傳統(tǒng)的訪問控制機制是宏觀的二值邏輯,,大多基于靜態(tài)的授權規(guī)則、黑白名單等技術手段進行一次性的評估,。零信任架構下的訪問控制基于持續(xù)度量,、自動適應的思想,是一種動態(tài)微觀判定邏輯,。
基于以上四大核心特性,,奇安信零信任身份安全解決方案進一步將安全理念落地為具體的安全能力,為企業(yè)提供構建零信任安全體系的基礎產品組件和整體解決方案,,助力企業(yè)遷移到零信任安全架構,。
應用價值
1.革新安全架構,樹立行業(yè)標桿
? 采用零信任安全架構解決企業(yè)數據訪問的安全性問題,,樹立行業(yè)安全標桿,。
? 具備已實踐的標準化落地方案,可實現企業(yè)快速升級部署,。
? 重構企業(yè)信息安全邊界,,從根源上解決數據訪問的安全性問題。
2.提升安全能力,,應對實時風險
? 采用統(tǒng)一的數字化身份信息,,實現訪問用戶身份的全面認證,。
? 通過細粒度以及動態(tài)化的授權方式,滿足實時的安全性要求,。
? 集中業(yè)務代理,,提供通道加密以及攻擊防護功能,有效保護傳輸數據安全,。
? 獲取實時的環(huán)境安全狀態(tài),、訪問行為數據,智能分析風險并調整訪問控制策略,。
3.實現自動管理,,降低運維成本
? 通過自動化的身份管理、認證及授權能力,,有效減少企業(yè)IT人員工作量及人為出錯,。
? 從安全架構層面解決安全的源頭問題,投入低,,可靠性高,,避免重復建設。
4.提高工作效率,,提升用戶體驗
? 消除物理邏輯邊界,,提供隨時隨地的企業(yè)數據訪問。
? 自動獲取用戶身份安全狀態(tài)進行訪問授權,,安全用戶無感接入,。