一、企业网络安全现状
现有老牌企业的信息化建设,大多起源于2000年前后,而某些业务系统由于数据量庞大,升级改造的脚步一直很缓慢。在安全形势越来越严峻的今天,企业目前信息化主要面临以下问题:
1.企业部分系统技术架构老旧
在二十年前进行系统开发,往往只关注其可用性,安全性与保密性的考量并不多。这便带来了一个问题,若企业某些业务系统运用了二十年,无论期间进行过多少次安全升级,都是基于最初的技术架构,安全性只是作为防御性措施,无法进行全局性的考量。这些系统最初并未进行过“三同时”制度的考验,即便进行修补、整改,也与目前的中间件、数据库、操作系统、安全标准存在极大的差异,数据的安全性无法得到切实的保障。
2.网络安全过于依赖安全设备
目前,安全管理做的出色的企业,往往依托于大量安全设备的堆积。用网闸做好数据链路层的隔离,用防火墙做好网络层和传输层的访问控制,用应用防火墙、防病毒在考虑成本的前提下,网络安全所有设备的采购、授权、管理、维护成本,对企业提出了一定的挑战;而且所有设备并不都一定可以做到完全可信,近年来频发的安全设备零日漏洞,便凸显了这一点矛盾,往往越信任越依赖的设备,会造成越严重的后果。
3.信任域往往不够安全
在过去设计的信息系统架构中,往往通过防火墙将网络区分为内网和外网;外网是遍布安全隐患的“黑暗森林”,要随时严格提防;而内网便相对来说被信任的多。而事实上,在技术发展到今天,除了被严格制度隔离使用的内外网系统,内网也是属于重灾区。一封钓鱼邮件,一个上传木马,一次社工的文件发送,便能轻易的打穿内网的防护,让内网终端作为内应,把堆积在互联网上的安全设备架空,轻易的从背面攻陷信息系统。
二、引入零信任概念后的安全管理
基于以上的理由,引入零信任的信息架构势在必行。零信任技术主要有以下特点。
1.多层次比对用户访问系统的信息
用户访问时,系统会从CA、IP、MAC、会话等多维度进行认证。这样,即便用户被冒用,全方位的冒用也极难实现,从而保护好系统访问的域。
2.从底层设计收敛访问面。
以往的系统往往是基于“信任”,即不被禁止的用户即可访问系统的资源,而零信任架构恰恰相反,基于“不信任”,若用户未得到事先授权,便无法访问系统的任何资源。这样大幅收敛了系统的默认权限,使得所有的访问都是基于“预先的设定”,从而避免权限的越界。
3.持续性的保护。
零信任不止关注系统安全,同样关注连接安全、终端安全,实现整体的访问保护。现有的技术系统,用户端、服务端、网络端往往是割裂的,互相并不传递信息,也就意味着终端的失陷未能及时被发现,造成服务端与网络端的同时失陷。而基于零信任技术,可以从用户的状态、网络的状态、连接的状态进行全面监控,对于每次的新连接均进行验证,对于重要参数的变化实时响应,做出切断连接或屏蔽终端的响应,避免多点连续失陷。
4.有助于云服务的安全。
在传统的安全理念中,云安全实现较为困难,若部署私有云,仍要投入大量的维护成本,与传统的IDC机房无很大差异。引入零信任安全架构后,在链路网关进行鉴权后,基于用户身份、设备安全、可信应用、目标业务系统的访问控制等粒度中,可以简单轻便的实现安全访问的目标。
三、引入零信任网络安全的技术路线
基于零信任架构的特点,现有信息化架构可以以如下技术路线引入零信任。
1.建设统一的SDP架构
SDP架构的零信任方式,可以最轻松的匹配现有的网络架构。采购SDP的控制器,包括零信任网关、授权平台等设备,做好人与用户的身份认证,通过集权平台进行统一授信,通过多维度监控进行安全监控,通过SOC等设备进行统一日志收集,设置难以匿名的访问控制框架,确保所有的访问应用基于实名化、授信化、可追溯化。
2.进行服务端服务模块化拆解
对于现有的信息服务进行拆解,将系统统一控制的数据库、应用平台、计算资源、中间件等资源进行模块化拆解,基于用户权限定制最小化的服务模块,仅服务于个体用户的个体需求,同时进行服务间访问的授信管控,以低权限模式进行服务隔离,避免单点失陷造成的扩散效应。
3.进行客户端的安全管控
在所有访问客户端上安装统一的安全管控软件。该软件实现安全基线检查、使用人员身份认证、基础信息收集等功能,确保终端与用户的一致性,确保建立连接时的安全可信,确保终端信息的不可冒用性,从而进一步缩减安全风险。
4.引入区块链及人工智能技术
目前零信任技术的框架十分先进,可以针对现有的网络安全风险进行一定的控制;但仍存在管理复杂、集权系统风险较高等问题。基于管理复杂问题,可以引入AI学习算法,将用户认证、用户授信通过AI算法实时跟进,仅将异常访问行为传递给管理人员,可以大大的降低管理员的操作强度。针对集权系统风险较高的问题,可以采用去中心化的权限系统,认证策略、认证通过与否通过周边终端、路径设备、服务器等多方进行分布式判断,将集权系统分布式放置,从而避免中心被破全盘失守的潜在风险。
结语
在当今世界的网络安全局势下,只有不断创新、不断结合新技术,针对痛点进行不断的改进,针对问题敏捷的解决,才能在网络安全工作中寻得先机。零信任的概念已经提出了数年,只有及时引入,积极应用,才能做好数字化转型,保护好基于企业的算力资源,为企业健康发展保驾护航。
重庆中烟,以新质生产力推动企业高质量发展