4008-088-622

企业数据安全领航者

为中小企业核心数据安全提供解决方案与恢复服务
“零信任”框架下的网络安全
来源: | 作者:太极风控 | 发布时间: 2022-03-31 | 555 次浏览 | 分享到:
太极风控自主研发的ERP卫士网络安全产品已经得到了市场的广泛认可。这是一款基于“零信任”安全框架下设计并研发的产品。那到底什么是“零信任”,“零信任”这个概念在行业中的应用和应用场景是什么样的?为什么ERP卫士要基于“零信任”的框架进行设计?
太极风控自主研发的ERP卫士网络安全产品已经得到了市场的广泛认可。这是一款基于“零信任”安全框架下设计并研发的产品。那到底什么是“零信任”,“零信任”这个概念在行业中的应用和应用场景是什么样的?为什么ERP卫士要基于“零信任”的框架进行设计?


今天我们就来说一下“零信任”





么是零信任?




简单地说,它是一个 IT 安全框架,它将每个人和一切都视为敌对(以一种好的方式!)。因此,零信任安全模型授予对所有 IT 资源的最低特权访问权限,这意味着除了明确授予他们访问权限的内容外,不应信任任何人。相反,只有经过验证和授权的网络、应用程序、用户、IP 地址和设备才能按照严格的协议进入网络。






不同行业的零信任应用



对政府机构,一是关注零信任的实施改造与合规要求之间的协调性;二是因存储大量关系国计民生的重要数据,通过零信任实现数据安全防护也是政务行业的重点。

对信息技术服务业,一是涉及大量开发运维工作,且外包人员众多,远程办公、远程运维是零信任实施的重要场景;二是大型企业探索业务出海,分支机构分布于全球,多分支机构的零信任接入体验是行业关注的重要方向。

对金融业,因受较强的监督管理,更加关注零信任在实现行业合规要求方面的意义和作用。对制造业,信息化设备尤其是物联网设备众多,用户希望通过零信任对各类设备进行统一安全管理。







不同场景下的零信任



远程办公场景。随着移动化办公的普及及目前疫情期间国家动态清零政策的影响。员工远程接入,访问公司内网办公,生产系统,所面临的风险也越发突显。主要面临的风险有三方面。
一是接入地点和时间复杂化。员工访问行为不局限于企业内网,接入地方范围扩大,内部资源的安全边界被打破。
二是自带办公设备增多。接入设备不局限于企业资产,设备的安全状况参差不齐。
三是数据难以管控。企业数据在不同设备、内外网之间频繁流动,也需要在个人终端留存,大大增加了数据泄露的风险。

零信任安全能够有效应对上述风险,一方面,不再根据网络位置来验证身份和提供权限,对内网和外网的一切设备默认均不可信,基于多源数据进行权限判定,保证只有安全合法的访问行为被放行;另一方面,强调按需分配和最小权限原则,大大降低了资源的可见性,减少远程攻击。


远程运维场景。为了提供良好的用户体验、满足不同区域的合规性要求,大型企业往往采用就近部署服务的方式,远程运维成为基本需求。同时,在新冠疫情冲击下,依托内网运维的企业,也不得不通过远程接入运维管理平台进行日常维护操作。在传统远程运维模式中,通过虚拟专用网络(VPN)和堡垒机进行各类资源和应用的统一管控,主要存在两大问题。
一是涉及较多高权限账号的访问和操作行为,隐秘性强、可执行权限高、影响范围广,存在身份冒用、权限管理混乱、审计薄弱等安全风险。
二是多环境平台运维不便,若涉及公有云、私有云、混合云等多个环境的运维,需要切换 VPN 连接,效率低、体验差

零信任安全以运维访问中的人和设备组合状态构建访问主体,为其设定满足需求的最小资源和最小权限,统一安全网关,在动态风险感知和安全控制下,高效地解决运维场景下面临的安全问题。

远程分支机构接入场景。为了适应企业业务发展,多分支机构成为常见的组织形式。分支机构体量增大,专线或公网 VPN 无法满足当下访问需求。
一是搭设专线价格昂贵,若分支机构规模较小、访问集团资源的需求不频繁,专线方式将导致资源浪费,无论自建或托管均耗费较高成本
二是连接稳定性不够好,尤其对于跨国访问的场景,丢包率高,访问体验差,同时 VPN 性能扩展存在瓶颈,难以适应大规模的异地接入。

零信任比传统 VPN 有更好的访问速度和稳定性体验,提供链路加密与全球接入点部署加速,满足弱网络、跨境接入网络延迟等问题,解决频繁断线重连问题,提升访问体验。

第三方协作场景。企业运营中,面临大量的第三方人员访问和第三方系统连接企业内部资源的需求。第三方接入面临更高风险。
一是各企业管理机制和能力有差异,安全能力不对等,难以保证第三方的身份与权限管理水平与企业自身要求相匹配
二是接入设备和系统的安全能力参差不齐,漏洞、木马等为黑客带来可乘之机。

在零信任安全中,一方面,限制最小访问权限,访问主体仅能访问权限内的资源,有效防止主体的越权访问,将风险影响限制到最小范围。另一方面,终端安全建立统一的安全基线,仅在第三方设备满足基线要求下才允许接入企业内部资源,降低接入设备可能引入的安全风险。





零信任未来发展趋势



我国零信任相关标准建设已初步成型,但零信任未来的发展更多将聚焦于落地实施层面,这与企业整体的业务、经济、规划、发展等方面强相关,是一个分步实施并持续优化的过程,单凭标准企业难以具象零信任理念,需要落地性指南提供细化帮助。零信任安全供应侧厂商与第三方机构应携手针对零信任安全能力落地提供更加细化的实施指南。同时,零信任安全能力应更加聚焦行业,结合行业安全需求精细化发展。

本文部分摘自于《中国信息安全》杂志 2022 年第 2 期