數(shù)字化轉型新時代,安全架構新選擇:精益信任

數(shù)字化轉型已經(jīng)成為所有企業(yè)未來10年的主旋律。 截至2018年,50%以上的中國Top1000大企業(yè)都將把數(shù)字化轉型作為公司的戰(zhàn)略核心。

尤景濤分享時表示,數(shù)字化轉型過程中,新IT系統(tǒng)的上線帶來了新的安全風險。此外,日益嚴峻的內外部網(wǎng)絡安全威脅,使得傳統(tǒng)基于網(wǎng)絡位置來劃分內外網(wǎng),進而判斷訪問合法性的安全模型很難去適應企業(yè)的快速成長,也難以去適應業(yè)務的快速變化,企業(yè)需要構筑全新的網(wǎng)絡安全架構。

零信任架構為目前收到眾多關注的網(wǎng)絡安全新架構,它最早出現(xiàn)于2010年,由IT市場研究機構Forrester的分析師John Kindervag首次提出,他認為任何網(wǎng)絡連接都不可信。在2011年到2017年之間,谷歌在自身企業(yè)內網(wǎng)進行零信任的實踐并成功落地。此后,思科、微軟、亞馬遜等廠商也推出相關的零信任架構,零信任開始流行。

然而。總結Google BeyondCorp的運行方式,首先要對企業(yè)現(xiàn)有IT部署進行大規(guī)模的改造,同時伴隨著大量的遷移工作,用戶對于賬號的管理方式和習慣也將會隨之發(fā)生巨大的改變。這相當于為了實現(xiàn)“零信任”的概念,企業(yè)必須要淘汰掉此前所購買的安全設備,在為“零信任”專門部署新設備的同時,還需要投入新的管理人員、運維人員和資源,來維護“零信任”的運行。

因此,精益信任在零信任的基礎上,進行了調優(yōu)。研究報告《Zero Trust Is an Initial Step on the Roadmap to CARTA》中,認為網(wǎng)絡安全應基于風險和信任的監(jiān)測、評估、學習和調整,最終實現(xiàn)對風險和信任的精益控制。這一目標在報告中被描述為精益信任。而零信任只是實現(xiàn)這一目標的第一步。

區(qū)別于零信任的“從不信任,總是驗證”的理念,在精益信任中,業(yè)務交互以信任為基石,業(yè)務的開展需要信任的建立。并且,信任與風險相伴相生,網(wǎng)絡安全不能實現(xiàn)零風險,只能管理風險。風險的管理,通過對信任的控制實現(xiàn)。進一步,還要持續(xù)監(jiān)測評估風險,根據(jù)業(yè)務的需要和風險的反饋,持續(xù)調整信任。這一整個信任與風險的精益控制回路,是精益信任的核心理念。

此外,精益信任架構則以風險和信任為中心,與端點檢測響應、態(tài)勢感知、VPN等安全組件進行聯(lián)動,統(tǒng)籌了內外網(wǎng)的安全監(jiān)測和控制機制,實現(xiàn)安全架構的重構。身份安全只是精益信任架構的一部分。

深信服精益信任架構落地

尤景濤在分享時表示,深信服精益信任安全架構在零信任的基礎上做了增強。精益信任安全架構基于信任和風險的閉環(huán),整合終端、邊界、外網(wǎng)的已有安全設備,進行統(tǒng)一聯(lián)動,形成自主調優(yōu)、快速處置的統(tǒng)一安全架構,通過信任的精益控制,最終實現(xiàn)風險的精益管理。

整體而已,深信服精益信任安全架構主要由全面身份化、多源信任評估、動態(tài)訪問控制、統(tǒng)一安全、可成長等五點組成:

1.全面身份化

精益信任安全架構通過前置安全接入網(wǎng)關,強制所有訪問都必須經(jīng)過認證、授權和加密;精益信任安全架構的關鍵是身份化,把用戶、設備和應用都進行全面的身份化,從原先的先訪問資源再認證身份,變?yōu)橄日J證身份再訪問資源,從而確保內部網(wǎng)絡的安全。

2.多源信任評估

通過軟件定義邊界的形式,對前端的身份認證、終端環(huán)境及行為,實時評估前端用戶的狀態(tài),檢測內部的威脅,有效發(fā)現(xiàn)木馬、病毒等攻擊行為,并且能實時聯(lián)動訪問控制系統(tǒng)調整信任等級,控制接入和訪問權限。

3、動態(tài)訪問控制

前端用戶的及訪問的主體的權限是動態(tài)的,身份、環(huán)境、行為共同構成了6個信任級別,訪問權限隨著信任等級訪問過程中的變化而變化。

后端應用相對靜態(tài),但是也會有一些調整,相對前端的調整,力度會粗放一些,例如:會根據(jù)應用的安全狀態(tài),進行對前端訪問進行調整,應用有高危漏洞爆發(fā),前端有異常的訪問會直接給他降級,甚至拒絕。

4、統(tǒng)一安全

精益信任安全架構可以和各類安全產品融合聯(lián)動,實現(xiàn)統(tǒng)一的安全,包括并不僅僅限于EDR、IAM、UEBA、NAC等系統(tǒng),還會通過多種安全模型的建模,多維度地去針對各類行為做好標簽化分類,最終與精益信任安全架構進行對接,促使安全從割裂走向融合。

5、可成長

深信服精益信任安全架構可根據(jù)企業(yè)的不同發(fā)展階段,結合按需部署的功能組件,私有化、云化等多種部署方式,自適應的去匹配企業(yè)發(fā)展的各個場景和階段,從而為企業(yè)量身打造一個統(tǒng)一安全體系。

結語:當下的企業(yè)大多對數(shù)字化轉型寄予厚望,確保安全性比以往任何時候都更加重要。而精益信任安全架構幫助企業(yè)更好地實現(xiàn)風險的精益管理,確保內部網(wǎng)絡的安全,助力企業(yè)更加順暢地擁抱數(shù)字化轉型變革。

分享到

xiesc

相關推薦