本网站含有烟草内容,未成年人谢绝访问

烟业智汇

零售户在线

微薰

手机版

您的位置:  首页 > 资讯 > 商业渠道 > 正文

试论基于零信任的企业网络安全

2021年09月09日 来源:烟草在线 作者:胡振
A+ A

一、企业网络安全现状

现有老牌企业的信息化建设,大多起源于2000年前后,而某些业务系统由于数据量庞大,升级改造的脚步一直很缓慢。在安全形势越来越严峻的今天,企业目前信息化主要面临以下问题:

1.企业部分系统技术架构老旧

在二十年前进行系统开发,往往只关注其可用性,安全性与保密性的考量并不多。这便带来了一个问题,若企业某些业务系统运用了二十年,无论期间进行过多少次安全升级,都是基于最初的技术架构,安全性只是作为防御性措施,无法进行全局性的考量。这些系统最初并未进行过“三同时”制度的考验,即便进行修补、整改,也与目前的中间件、数据库、操作系统、安全标准存在极大的差异,数据的安全性无法得到切实的保障。

2.网络安全过于依赖安全设备

目前,安全管理做的出色的企业,往往依托于大量安全设备的堆积。用网闸做好数据链路层的隔离,用防火墙做好网络层和传输层的访问控制,用应用防火墙、防病毒在考虑成本的前提下,网络安全所有设备的采购、授权、管理、维护成本,对企业提出了一定的挑战;而且所有设备并不都一定可以做到完全可信,近年来频发的安全设备零日漏洞,便凸显了这一点矛盾,往往越信任越依赖的设备,会造成越严重的后果。

3.信任域往往不够安全

在过去设计的信息系统架构中,往往通过防火墙将网络区分为内网和外网;外网是遍布安全隐患的“黑暗森林”,要随时严格提防;而内网便相对来说被信任的多。而事实上,在技术发展到今天,除了被严格制度隔离使用的内外网系统,内网也是属于重灾区。一封钓鱼邮件,一个上传木马,一次社工的文件发送,便能轻易的打穿内网的防护,让内网终端作为内应,把堆积在互联网上的安全设备架空,轻易的从背面攻陷信息系统。

二、引入零信任概念后的安全管理

基于以上的理由,引入零信任的信息架构势在必行。零信任技术主要有以下特点。

1.多层次比对用户访问系统的信息

用户访问时,系统会从CA、IP、MAC、会话等多维度进行认证。这样,即便用户被冒用,全方位的冒用也极难实现,从而保护好系统访问的域。

2.从底层设计收敛访问面。

以往的系统往往是基于“信任”,即不被禁止的用户即可访问系统的资源,而零信任架构恰恰相反,基于“不信任”,若用户未得到事先授权,便无法访问系统的任何资源。这样大幅收敛了系统的默认权限,使得所有的访问都是基于“预先的设定”,从而避免权限的越界。

3.持续性的保护。

零信任不止关注系统安全,同样关注连接安全、终端安全,实现整体的访问保护。现有的技术系统,用户端、服务端、网络端往往是割裂的,互相并不传递信息,也就意味着终端的失陷未能及时被发现,造成服务端与网络端的同时失陷。而基于零信任技术,可以从用户的状态、网络的状态、连接的状态进行全面监控,对于每次的新连接均进行验证,对于重要参数的变化实时响应,做出切断连接或屏蔽终端的响应,避免多点连续失陷。

4.有助于云服务的安全。

在传统的安全理念中,云安全实现较为困难,若部署私有云,仍要投入大量的维护成本,与传统的IDC机房无很大差异。引入零信任安全架构后,在链路网关进行鉴权后,基于用户身份、设备安全、可信应用、目标业务系统的访问控制等粒度中,可以简单轻便的实现安全访问的目标。

三、引入零信任网络安全的技术路线

基于零信任架构的特点,现有信息化架构可以以如下技术路线引入零信任。

1.建设统一的SDP架构

SDP架构的零信任方式,可以最轻松的匹配现有的网络架构。采购SDP的控制器,包括零信任网关、授权平台等设备,做好人与用户的身份认证,通过集权平台进行统一授信,通过多维度监控进行安全监控,通过SOC等设备进行统一日志收集,设置难以匿名的访问控制框架,确保所有的访问应用基于实名化、授信化、可追溯化。

2.进行服务端服务模块化拆解

对于现有的信息服务进行拆解,将系统统一控制的数据库、应用平台、计算资源、中间件等资源进行模块化拆解,基于用户权限定制最小化的服务模块,仅服务于个体用户的个体需求,同时进行服务间访问的授信管控,以低权限模式进行服务隔离,避免单点失陷造成的扩散效应。

3.进行客户端的安全管控

在所有访问客户端上安装统一的安全管控软件。该软件实现安全基线检查、使用人员身份认证、基础信息收集等功能,确保终端与用户的一致性,确保建立连接时的安全可信,确保终端信息的不可冒用性,从而进一步缩减安全风险。

4.引入区块链及人工智能技术

目前零信任技术的框架十分先进,可以针对现有的网络安全风险进行一定的控制;但仍存在管理复杂、集权系统风险较高等问题。基于管理复杂问题,可以引入AI学习算法,将用户认证、用户授信通过AI算法实时跟进,仅将异常访问行为传递给管理人员,可以大大的降低管理员的操作强度。针对集权系统风险较高的问题,可以采用去中心化的权限系统,认证策略、认证通过与否通过周边终端、路径设备、服务器等多方进行分布式判断,将集权系统分布式放置,从而避免中心被破全盘失守的潜在风险。

结语

在当今世界的网络安全局势下,只有不断创新、不断结合新技术,针对痛点进行不断的改进,针对问题敏捷的解决,才能在网络安全工作中寻得先机。零信任的概念已经提出了数年,只有及时引入,积极应用,才能做好数字化转型,保护好基于企业的算力资源,为企业健康发展保驾护航。


声明:本文系烟草在线用户的原创作品,所有内容均代表作者个人观点,并仅供学习和交流之目的。本文内容未经授权,严禁任何形式的转载。如有转载需求,请通过微信号“tobacco_yczx”联系客服烟小蜜,以获取正式授权。

热文榜

更多

视频

更多

专题

分享到微信朋友圈×
打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。