數(shù)字化轉(zhuǎn)型新時代,安全架構(gòu)新選擇:精益信任

數(shù)字化轉(zhuǎn)型已經(jīng)成為所有企業(yè)未來10年的主旋律。 截至2018年,50%以上的中國Top1000大企業(yè)都將把數(shù)字化轉(zhuǎn)型作為公司的戰(zhàn)略核心。

尤景濤分享時表示,數(shù)字化轉(zhuǎn)型過程中,新IT系統(tǒng)的上線帶來了新的安全風(fēng)險。此外,日益嚴(yán)峻的內(nèi)外部網(wǎng)絡(luò)安全威脅,使得傳統(tǒng)基于網(wǎng)絡(luò)位置來劃分內(nèi)外網(wǎng),進(jìn)而判斷訪問合法性的安全模型很難去適應(yīng)企業(yè)的快速成長,也難以去適應(yīng)業(yè)務(wù)的快速變化,企業(yè)需要構(gòu)筑全新的網(wǎng)絡(luò)安全架構(gòu)。

零信任架構(gòu)為目前收到眾多關(guān)注的網(wǎng)絡(luò)安全新架構(gòu),它最早出現(xiàn)于2010年,由IT市場研究機(jī)構(gòu)Forrester的分析師John Kindervag首次提出,他認(rèn)為任何網(wǎng)絡(luò)連接都不可信。在2011年到2017年之間,谷歌在自身企業(yè)內(nèi)網(wǎng)進(jìn)行零信任的實踐并成功落地。此后,思科、微軟、亞馬遜等廠商也推出相關(guān)的零信任架構(gòu),零信任開始流行。

然而?？偨Y(jié)Google BeyondCorp的運(yùn)行方式,首先要對企業(yè)現(xiàn)有IT部署進(jìn)行大規(guī)模的改造,同時伴隨著大量的遷移工作,用戶對于賬號的管理方式和習(xí)慣也將會隨之發(fā)生巨大的改變。這相當(dāng)于為了實現(xiàn)“零信任”的概念,企業(yè)必須要淘汰掉此前所購買的安全設(shè)備,在為“零信任”專門部署新設(shè)備的同時,還需要投入新的管理人員、運(yùn)維人員和資源,來維護(hù)“零信任”的運(yùn)行。

因此,精益信任在零信任的基礎(chǔ)上,進(jìn)行了調(diào)優(yōu)。研究報告《Zero Trust Is an Initial Step on the Roadmap to CARTA》中,認(rèn)為網(wǎng)絡(luò)安全應(yīng)基于風(fēng)險和信任的監(jiān)測、評估、學(xué)習(xí)和調(diào)整,最終實現(xiàn)對風(fēng)險和信任的精益控制。這一目標(biāo)在報告中被描述為精益信任。而零信任只是實現(xiàn)這一目標(biāo)的第一步。

區(qū)別于零信任的“從不信任,總是驗證”的理念,在精益信任中,業(yè)務(wù)交互以信任為基石,業(yè)務(wù)的開展需要信任的建立。并且,信任與風(fēng)險相伴相生,網(wǎng)絡(luò)安全不能實現(xiàn)零風(fēng)險,只能管理風(fēng)險。風(fēng)險的管理,通過對信任的控制實現(xiàn)。進(jìn)一步,還要持續(xù)監(jiān)測評估風(fēng)險,根據(jù)業(yè)務(wù)的需要和風(fēng)險的反饋,持續(xù)調(diào)整信任。這一整個信任與風(fēng)險的精益控制回路,是精益信任的核心理念。

此外,精益信任架構(gòu)則以風(fēng)險和信任為中心,與端點檢測響應(yīng)、態(tài)勢感知、VPN等安全組件進(jìn)行聯(lián)動,統(tǒng)籌了內(nèi)外網(wǎng)的安全監(jiān)測和控制機(jī)制,實現(xiàn)安全架構(gòu)的重構(gòu)。身份安全只是精益信任架構(gòu)的一部分。

深信服精益信任架構(gòu)落地

尤景濤在分享時表示,深信服精益信任安全架構(gòu)在零信任的基礎(chǔ)上做了增強(qiáng)。精益信任安全架構(gòu)基于信任和風(fēng)險的閉環(huán),整合終端、邊界、外網(wǎng)的已有安全設(shè)備,進(jìn)行統(tǒng)一聯(lián)動,形成自主調(diào)優(yōu)、快速處置的統(tǒng)一安全架構(gòu),通過信任的精益控制,最終實現(xiàn)風(fēng)險的精益管理。

整體而已,深信服精益信任安全架構(gòu)主要由全面身份化、多源信任評估、動態(tài)訪問控制、統(tǒng)一安全、可成長等五點組成:

1.全面身份化

精益信任安全架構(gòu)通過前置安全接入網(wǎng)關(guān),強(qiáng)制所有訪問都必須經(jīng)過認(rèn)證、授權(quán)和加密;精益信任安全架構(gòu)的關(guān)鍵是身份化,把用戶、設(shè)備和應(yīng)用都進(jìn)行全面的身份化,從原先的先訪問資源再認(rèn)證身份,變?yōu)橄日J(rèn)證身份再訪問資源,從而確保內(nèi)部網(wǎng)絡(luò)的安全。

2.多源信任評估

通過軟件定義邊界的形式,對前端的身份認(rèn)證、終端環(huán)境及行為,實時評估前端用戶的狀態(tài),檢測內(nèi)部的威脅,有效發(fā)現(xiàn)木馬、病毒等攻擊行為,并且能實時聯(lián)動訪問控制系統(tǒng)調(diào)整信任等級,控制接入和訪問權(quán)限。

3、動態(tài)訪問控制

前端用戶的及訪問的主體的權(quán)限是動態(tài)的,身份、環(huán)境、行為共同構(gòu)成了6個信任級別,訪問權(quán)限隨著信任等級訪問過程中的變化而變化。

后端應(yīng)用相對靜態(tài),但是也會有一些調(diào)整,相對前端的調(diào)整,力度會粗放一些,例如:會根據(jù)應(yīng)用的安全狀態(tài),進(jìn)行對前端訪問進(jìn)行調(diào)整,應(yīng)用有高危漏洞爆發(fā),前端有異常的訪問會直接給他降級,甚至拒絕。

4、統(tǒng)一安全

精益信任安全架構(gòu)可以和各類安全產(chǎn)品融合聯(lián)動,實現(xiàn)統(tǒng)一的安全,包括并不僅僅限于EDR、IAM、UEBA、NAC等系統(tǒng),還會通過多種安全模型的建模,多維度地去針對各類行為做好標(biāo)簽化分類,最終與精益信任安全架構(gòu)進(jìn)行對接,促使安全從割裂走向融合。

5、可成長

深信服精益信任安全架構(gòu)可根據(jù)企業(yè)的不同發(fā)展階段,結(jié)合按需部署的功能組件,私有化、云化等多種部署方式,自適應(yīng)的去匹配企業(yè)發(fā)展的各個場景和階段,從而為企業(yè)量身打造一個統(tǒng)一安全體系。

結(jié)語:當(dāng)下的企業(yè)大多對數(shù)字化轉(zhuǎn)型寄予厚望,確保安全性比以往任何時候都更加重要。而精益信任安全架構(gòu)幫助企業(yè)更好地實現(xiàn)風(fēng)險的精益管理,確保內(nèi)部網(wǎng)絡(luò)的安全,助力企業(yè)更加順暢地?fù)肀?shù)字化轉(zhuǎn)型變革。

xiesc