? 2020年初,新型冠狀病毒席卷全球,在疫情沒有得到有效的控制前,各大企業(yè)積極響應(yīng)國家號召開始啟動遠程辦公模式。在遠程辦公的熱潮中,中大型企業(yè)的VPN遠程辦公也暴露了諸多安全問題,其中最讓人印象深刻的是某上市公司生產(chǎn)環(huán)境遭到惡意破壞;某公司的運維員工通過VPN進入公司內(nèi)網(wǎng)的跳板機,在權(quán)限管控缺失的情況下,報復(fù)性破壞公司的數(shù)據(jù)庫,憑一己之力蒸發(fā)公司市值近20億元。在此情況下,企業(yè)如何更安全的實現(xiàn)遠程辦公,是諸多企業(yè)關(guān)注的重點。特別是后疫情時代的到來,遠程辦公成為當下的主旋律。

而零信任在解決遠程辦公的同時,避免了網(wǎng)絡(luò)攻擊對企業(yè)應(yīng)用、數(shù)據(jù)資產(chǎn)造成的威脅,是企業(yè)解決遠程辦公的極好選擇。本文將針對于此給出詳細有力的解釋!

遠程辦公危機四伏

遠程辦公憑借著能夠提升辦公協(xié)作和企業(yè)管理效率、減少人群接觸風(fēng)險等特點,在疫情期間成為企業(yè)實現(xiàn)安全復(fù)工復(fù)產(chǎn)的重要方式。但是,對于大部分企業(yè)來說,因疫情而臨時搭建出來的遠程辦公系統(tǒng)盡管可以解決企業(yè)員工的辦公需求,但是也帶來了大量的危機。

員工異地訪問的身份識別、多地分散的終端安全防護、網(wǎng)絡(luò)信息加密的不確定性,使接入環(huán)境變得異常復(fù)雜,不利于運維人員的管理和追溯;同時一些企業(yè)所使用的傳統(tǒng)網(wǎng)絡(luò)架構(gòu),也讓大量高風(fēng)險業(yè)務(wù)端口暴露在外,使企業(yè)的核心業(yè)務(wù)和數(shù)據(jù)容易遭到黑客的攻擊而泄露。

在傳統(tǒng)的VPN難以繼續(xù)滿足企業(yè)的需求時,基于零信任理念打造的企業(yè)安全訪問體系開始被廣泛使用,下面我們將分析零信任的優(yōu)勢和如何解決現(xiàn)階段遠程辦公的問題。

遠程辦公的未來趨勢

零信任&VPN

虛擬專用網(wǎng)絡(luò)(VPN)等傳統(tǒng)遠程訪問技術(shù)無法滿足當今無邊界數(shù)字化企業(yè)日益增長的需求。且傳統(tǒng)的VPN對企業(yè)安全也會構(gòu)成一定的威脅,因為VPN本身在防火墻上就會形成漏洞,從而提供不受限制的網(wǎng)絡(luò)訪問。一旦攻擊者位于內(nèi)部,其就可以自由地橫向移動以訪問和利用網(wǎng)絡(luò)中的任何系統(tǒng)或應(yīng)用程序。

傳統(tǒng)VPN作為提供遠程服務(wù)的虛擬專用網(wǎng)絡(luò)訪問功能未跟上安全性要求和當今不斷變化的威脅格局。遠程訪問通過創(chuàng)建加密的點對點連接IP流量流經(jīng)的“隧道”。但是,VPN使企業(yè)更容易受到攻擊和數(shù)據(jù)的泄漏,因為組織內(nèi)的用戶都可以訪問整個內(nèi)部網(wǎng)絡(luò)以進行訪問公司資源。用戶不限于特定網(wǎng)絡(luò)資源,使VPN成為最弱的一種有關(guān)身份訪問的故障點和憑證管理,在使用中沒有細分、審核和控制。除此之外,VPN還有用戶體驗不佳、拓展性差等問題存在。

陳本峰表示,零信任的安全理念是建立在身份驗證、設(shè)備驗證、網(wǎng)絡(luò)隔離和訪問控制的基礎(chǔ)上,是保護管理應(yīng)用和數(shù)據(jù)的關(guān)鍵。傳統(tǒng)保護網(wǎng)絡(luò)安全的方式是先訪問資源再驗證身份,而零信任的理念則是先驗證身份,再授權(quán)進行訪問。

零信任網(wǎng)絡(luò)則可以在任何時候都限制對所有用戶的訪問,隨著網(wǎng)絡(luò)攻擊者的攻擊手段變得越來越先進,VPN不足以阻止他們,但是基于零信任網(wǎng)絡(luò),無論攻擊者是否已經(jīng)獲得用戶的授權(quán)憑證,他們的行動都將受到限制,遵循最小授權(quán)原則,所有其他資源對用戶不可見。零信任網(wǎng)絡(luò)可以劃定一個清晰的邊界,在網(wǎng)絡(luò)中使用微分段創(chuàng)建安全區(qū)域以此加強網(wǎng)絡(luò)的安全性。

零信任& WAF

現(xiàn)代網(wǎng)絡(luò)攻擊具有高度針對性,惡意攻擊者利用電子郵件、社交媒體、即時消息等社交工具,通過高度相關(guān)和個性化誘餌來攻擊個人。網(wǎng)絡(luò)罪犯會尋找具有所需資歷、技能集和訪問級別的特定用戶,然后發(fā)起針對這些用戶權(quán)限的應(yīng)用程序攻擊。雖然大部分的公司使用WAF來保護面向外部的應(yīng)用程序及其背后的數(shù)據(jù)免受應(yīng)用程序?qū)雍妥⑷牍?但網(wǎng)絡(luò)罪犯將以設(shè)備為目標,將其轉(zhuǎn)變?yōu)榻┦瑱C器,并利用它攻擊防火墻后方被認為安全的應(yīng)用程序。而且在使用WAF時還存在幾點弊端:

1)WAF對HTTP協(xié)議實現(xiàn)了自解析,無法和容器背后的Web應(yīng)用保持對協(xié)議的理解一致,在誤殺和漏報之間不能很好的平衡;

2)WAF對每個請求都要進行解析和識別會導(dǎo)致占用內(nèi)存過多的情況;

3)WAF協(xié)議單臺服務(wù)器部署,并且存在影響正常業(yè)務(wù)和被繞過的風(fēng)險,不適合大型網(wǎng)站的防護使用,存在一定的局限性。

零信任遵從永不信任且驗證的原則,在認證之前,所有資源均不可見。此外,零信任通過細粒度的訪問控制手段、可視化的策略管理能力和不落地的數(shù)據(jù)防泄露技術(shù),提供按需、動態(tài)的可信訪問,同時基于身份實行嚴格的訪問權(quán)限控制和對所有入網(wǎng)設(shè)備的安全可控。WAF是SQL注入攻擊的第一道防線,而零信任可以在最初就減少這種現(xiàn)象發(fā)生的概率,零信任與WAF相比可以為企業(yè)提供更加廣泛的保護。

零信任遠程辦公方案的優(yōu)勢

隨著當下環(huán)境發(fā)展到由更復(fù)雜的應(yīng)用程序和終端組成,基于邊界防護的安全體系將失去有效的洞察力和控制力,而零信任安全被認為是解決現(xiàn)階段網(wǎng)絡(luò)安全問題的最佳解決方案。零信任在遠程辦公的安全性上的優(yōu)勢,主要有以下幾個方面:

1)零信任訪問:實現(xiàn)所有用戶接入前統(tǒng)一認證,即先認證、再連接,隱藏應(yīng)用減少攻擊面。

2)細粒度的按需授權(quán):進行多層級細粒度的授權(quán),實現(xiàn)全面最小按需授權(quán)。

3)動態(tài)風(fēng)險評估:實時評估終端環(huán)境、用戶行為等風(fēng)險,發(fā)現(xiàn)異常立刻觸發(fā)響應(yīng),形成閉環(huán)。

基于零信任理念的遠程辦公方案,可以最大程度的讓員工擁有內(nèi)外網(wǎng)一致的辦公體驗。通過零信任方案,讓終端用戶可以直接在公網(wǎng)進行認證之后,訪問授權(quán)的企業(yè)應(yīng)用,而不會因為網(wǎng)絡(luò)的連通性而影響辦公效率。

過去,在安全和便捷之間,我們總是很難達到一個理想的平衡,但是現(xiàn)在基于零信任理念而產(chǎn)生的遠程辦公方案,對企業(yè)來說可以提高安全性,對企業(yè)員工來說有更高的易用性,擁有更完美的體驗,提高工作效率。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）