数字时代,企业该如何构建“零信任”架构?
作者:刘沙 | 来源:计算机世界
2021-06-21
企业需要新的手段来面对未来的安全挑战,也就是零信任网络安全。
2020年突然暴发的新冠肺炎疫情不仅改变了我们的生活方式,也改变了我们的工作方式。为了保障业务的连续性,很多企业不得不加快数字化转型的步伐,将业务迁移上云,或通过一些技术手段让员工能够随时随地进行远程办公。而随着云上的应用增多,数据几乎无处不在。这些改变打破了企业原有的安全“边界”,企业面临的新的安全挑战越来越多。
“传统的安全模式已经没有办法适应企业现在的发展要求,企业需要新的手段来面对未来的安全挑战。”Palo Alto Networks(派拓网络)大中华区总裁陈文俊向记者强调,这个新的手段就是零信任网络安全。
颠覆以往安全概念的“零信任”
陈文俊介绍,零信任的概念是2010年由美国的John kindervag提出的,在国外一些发达地区发展得比较快。根据Cybersecurity Insider近期对“零信任”进行的调查,有15%的受访IT团队已经采用了零信任的SaaS服务,有44%的受访IT团队表示他们正准备部署零信任。而在国内,零信任是从2015年开始兴起的,最先采用零信任的是大型互联网公司,目前国内企业对零信任的兴趣点也在慢慢提高。
派拓网络中国区商业市场技术总监张晨解释到,零信任的核心理念是不再主动相信网络中的任何人、任何设备或任何应用,除非他能够证明他现在的身份,以及他的访问意图。“零信任完全颠覆了过去企业以边界为主要防线的网络安全概念。”
零信任架构下,企业何去何从?
那么,在零信任的网络安全架构下,企业到底应该从哪些方面重点考虑网络安全问题呢?对此,派拓网络归纳了四个维度:
第一个维度是SaaS安全。随着云技术的普及和业务快速扩展的需要,现在越来越多企业会借助SaaS应用来快速、便捷的开展新兴业务。“这个领域的安全隐患会成为企业里越来越重要的一部分。”
第二个维度是Web安全。过去企业防范攻击是靠不断更新病毒定义码和攻击特征库来实现,但是现在很多Web攻击应用的手段已经变得非常高明。有这样一组不容忽视的数据:2020年有878起网络攻击事件,其中18%的攻击事件来自勒索软件;企业平均支付的赎金从2019年的115,123美元增加到2020年的312,493美元,同比增长171%。张晨指出,企业之所以中了勒索软件的攻击,很大程度上都是因为企业在一开始没能主动识别出最初始的钓鱼邮件或供应链上隐含的安全攻击,并进行阻断,进而让攻击在企业范围内成功实施,影响了企业内部的安全问题。所以这也是企业需要防范的一个重点。
第三个维度是云身份。对云端业务的访问,要能与企业自建数据中心内的服务器相互进行快速的身份认证同步,进而能够识别来访问的远程员工和第三方供应商人员,看他们是不是有权限来访问这些应用。“混合云环境下的身份安全管理问题,也是要重新定义企业网络安全中非常重要的一部分。”
第四个维度是防火墙。防火墙仍然是企业网络安全架构中非常重要的环节。现在很多企业的防火墙已经从过去以IP地址和端口为控制对象,逐渐演变为以保护应用为对象的七重防火墙,防火墙需要的安全防御功能越来越广泛,已经远远超越了原来的防火墙概念。“如何把更先进的机器学习等技术快速移植到防火墙这个硬件平台上,会成为企业需要考虑的另一部分。”张晨谈到。
五大创新功能助企业构建零信任
针对上述四个维度,为了帮助企业快速构建自己的零信任网络安全架构,近日,派拓网络推出了五项创新功能:SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙。
张晨指出,现在市场上主流的SaaS应用已经有1000多个,这些应用很多时候都是通过加密流量进来的。过去企业只看流量中已知的威胁手段,现在仅仅这样是远远不够的,现在企业需要对SaaS应用有很强的可控性,能满足当地的法规要求,并防止数据泄露。
派拓网络的做法是把SaaS应用以及数据防泄露等需求完全集成到派拓网络的网络安全平台上,通过对已有SaaS应用的识别,能够快速识别出企业中以及网络中开启的新型SaaS应用。在云端,派拓网络可以快速识别出超过1500种主流SaaS应用。通过本身内置的大量基于不同SaaS应用的策略,派拓网络可以帮助企业快速提供及时有效的安全防护措施。
此外,该网络安全平台还集成了数据防泄露功能和安全代理功能。数据防泄露功能可以满足不同行业的数据防泄露需求,企业可以通过相应的定义来选择使用。而有了安全代理功能,不管企业员工或第三方访问人员需要什么样的SaaS应用,都需要通过这个平台进行相应的策略检查,通过数据防泄露的筛查才能进行相应的访问;如果不符合,流量就会被阻断。张晨指出,它可以集成原有的功能,把SaaS应用的识别,以及针对SaaS应用的DLP功能都涵盖到一个网络安全平台上,可以根据用户部署在自建的数据中心、或虚拟化环境下、或云端、或通过SaaS方式接入第三方的访问流量。IT运维可以通过一个产品的管理界面达到跨平台的SaaS应用管理。
针对越来越多的Web攻击,如规避传统的URL过滤、DNS攻击,派拓网络利用先进的URL过滤技术可以实时防御新型的未知Web攻击,全面的DNS安全功能可以阻止新型DNS攻击类型。
派拓网络推出的业界首款基于机器学习的下一代防火墙,可以把机器学习的模型和分析能力移植到防火墙上。张晨指出,这个高精准的、性能消耗非常小的机器学习模型可以针对很多Web攻击、DNS攻击、可执行文件进行快速、有效、准确的分析,而且误报率极低,也不需要IT管理人员有太多人工介入。分析确认是攻击后,还会把结果和云端同步,这样派拓网络其他客户也可以实时得到最新的攻击识别信息。
针对混合云环境下的身份管理,派拓网络建立了一个新的云身份引擎,它可以在网络安全平台上自动启用,把在本地和云端的身份认证系统同步。无论企业加入了新的SaaS应用或是新的云端应用,都可以通过云身份引擎,和企业里自己相应的身份认证系统进行同步。张晨强调,它最大的好处是可以跨越不同的基础设施,可以简化IT部门在不同业务平台上把复杂的身份认证系统进行同步的问题。
据介绍,随着这些新技术的发布,派拓网络的硬件平台也进行了更新迭代,既有可满足对性能要求较高、吞吐量较大的客户需求的中高端系列,也有台式机大小的中低端系列,适合中小型企业,或分支机构、远程小型办公室来部署。
零信任不只是“授人以鱼”
那么,如果企业要部署零信任网络安全架构,还需要注意哪些事项?
张晨强调,零信任并不是简简单单实施一个网络产品就可以,企业一定要对自己的IT资产进行优先级别的排序,分别梳理出来哪些是最重要的需要保护的数据、应用、资产和相应的运行服务。“安全一定是从最重要的IT资产先开始。”等企业梳理完以后,派拓网络可以通过相应的技术监控,帮企业客户检查这些重要资产和被访问的对象之间的访问关系、访问策略是否恰当,有了梳理基础之后,派拓网络就可以有的放矢的帮助企业实施相应的技术产品。
“派拓网络非常注重对于客户网络重要IT资源的梳理,也有配套的针对于零信任的咨询规划服务,可以帮助客户进行有逻辑、有系统的梳理、规划咨询,之后再有计划的部署相应的技术和平台。”张晨谈到。
此外,还有些企业可能会担心实施零信任网络安全架构的成本比较高。对此,张晨建议,企业可以从最重要、最需要保护的IT资源和网络开始,先做这些网络的隔离,或者是在网络隔离上实施相应的策略。把这些做好,进入到良性循环之后,再往下进行,这样可以在零信任的规划和成本上得到一个比较好的平衡。
“传统的安全模式已经没有办法适应企业现在的发展要求,企业需要新的手段来面对未来的安全挑战。”Palo Alto Networks(派拓网络)大中华区总裁陈文俊向记者强调,这个新的手段就是零信任网络安全。
Palo Alto Networks(派拓网络)大中华区总裁陈文俊
颠覆以往安全概念的“零信任”
陈文俊介绍,零信任的概念是2010年由美国的John kindervag提出的,在国外一些发达地区发展得比较快。根据Cybersecurity Insider近期对“零信任”进行的调查,有15%的受访IT团队已经采用了零信任的SaaS服务,有44%的受访IT团队表示他们正准备部署零信任。而在国内,零信任是从2015年开始兴起的,最先采用零信任的是大型互联网公司,目前国内企业对零信任的兴趣点也在慢慢提高。
派拓网络中国区商业市场技术总监张晨解释到,零信任的核心理念是不再主动相信网络中的任何人、任何设备或任何应用,除非他能够证明他现在的身份,以及他的访问意图。“零信任完全颠覆了过去企业以边界为主要防线的网络安全概念。”
派拓网络中国区商业市场技术总监张晨
零信任架构下,企业何去何从?
那么,在零信任的网络安全架构下,企业到底应该从哪些方面重点考虑网络安全问题呢?对此,派拓网络归纳了四个维度:
第一个维度是SaaS安全。随着云技术的普及和业务快速扩展的需要,现在越来越多企业会借助SaaS应用来快速、便捷的开展新兴业务。“这个领域的安全隐患会成为企业里越来越重要的一部分。”
第二个维度是Web安全。过去企业防范攻击是靠不断更新病毒定义码和攻击特征库来实现,但是现在很多Web攻击应用的手段已经变得非常高明。有这样一组不容忽视的数据:2020年有878起网络攻击事件,其中18%的攻击事件来自勒索软件;企业平均支付的赎金从2019年的115,123美元增加到2020年的312,493美元,同比增长171%。张晨指出,企业之所以中了勒索软件的攻击,很大程度上都是因为企业在一开始没能主动识别出最初始的钓鱼邮件或供应链上隐含的安全攻击,并进行阻断,进而让攻击在企业范围内成功实施,影响了企业内部的安全问题。所以这也是企业需要防范的一个重点。
第三个维度是云身份。对云端业务的访问,要能与企业自建数据中心内的服务器相互进行快速的身份认证同步,进而能够识别来访问的远程员工和第三方供应商人员,看他们是不是有权限来访问这些应用。“混合云环境下的身份安全管理问题,也是要重新定义企业网络安全中非常重要的一部分。”
第四个维度是防火墙。防火墙仍然是企业网络安全架构中非常重要的环节。现在很多企业的防火墙已经从过去以IP地址和端口为控制对象,逐渐演变为以保护应用为对象的七重防火墙,防火墙需要的安全防御功能越来越广泛,已经远远超越了原来的防火墙概念。“如何把更先进的机器学习等技术快速移植到防火墙这个硬件平台上,会成为企业需要考虑的另一部分。”张晨谈到。
五大创新功能助企业构建零信任
针对上述四个维度,为了帮助企业快速构建自己的零信任网络安全架构,近日,派拓网络推出了五项创新功能:SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙。
张晨指出,现在市场上主流的SaaS应用已经有1000多个,这些应用很多时候都是通过加密流量进来的。过去企业只看流量中已知的威胁手段,现在仅仅这样是远远不够的,现在企业需要对SaaS应用有很强的可控性,能满足当地的法规要求,并防止数据泄露。
派拓网络的做法是把SaaS应用以及数据防泄露等需求完全集成到派拓网络的网络安全平台上,通过对已有SaaS应用的识别,能够快速识别出企业中以及网络中开启的新型SaaS应用。在云端,派拓网络可以快速识别出超过1500种主流SaaS应用。通过本身内置的大量基于不同SaaS应用的策略,派拓网络可以帮助企业快速提供及时有效的安全防护措施。
此外,该网络安全平台还集成了数据防泄露功能和安全代理功能。数据防泄露功能可以满足不同行业的数据防泄露需求,企业可以通过相应的定义来选择使用。而有了安全代理功能,不管企业员工或第三方访问人员需要什么样的SaaS应用,都需要通过这个平台进行相应的策略检查,通过数据防泄露的筛查才能进行相应的访问;如果不符合,流量就会被阻断。张晨指出,它可以集成原有的功能,把SaaS应用的识别,以及针对SaaS应用的DLP功能都涵盖到一个网络安全平台上,可以根据用户部署在自建的数据中心、或虚拟化环境下、或云端、或通过SaaS方式接入第三方的访问流量。IT运维可以通过一个产品的管理界面达到跨平台的SaaS应用管理。
针对越来越多的Web攻击,如规避传统的URL过滤、DNS攻击,派拓网络利用先进的URL过滤技术可以实时防御新型的未知Web攻击,全面的DNS安全功能可以阻止新型DNS攻击类型。
派拓网络推出的业界首款基于机器学习的下一代防火墙,可以把机器学习的模型和分析能力移植到防火墙上。张晨指出,这个高精准的、性能消耗非常小的机器学习模型可以针对很多Web攻击、DNS攻击、可执行文件进行快速、有效、准确的分析,而且误报率极低,也不需要IT管理人员有太多人工介入。分析确认是攻击后,还会把结果和云端同步,这样派拓网络其他客户也可以实时得到最新的攻击识别信息。
针对混合云环境下的身份管理,派拓网络建立了一个新的云身份引擎,它可以在网络安全平台上自动启用,把在本地和云端的身份认证系统同步。无论企业加入了新的SaaS应用或是新的云端应用,都可以通过云身份引擎,和企业里自己相应的身份认证系统进行同步。张晨强调,它最大的好处是可以跨越不同的基础设施,可以简化IT部门在不同业务平台上把复杂的身份认证系统进行同步的问题。
据介绍,随着这些新技术的发布,派拓网络的硬件平台也进行了更新迭代,既有可满足对性能要求较高、吞吐量较大的客户需求的中高端系列,也有台式机大小的中低端系列,适合中小型企业,或分支机构、远程小型办公室来部署。
零信任不只是“授人以鱼”
那么,如果企业要部署零信任网络安全架构,还需要注意哪些事项?
张晨强调,零信任并不是简简单单实施一个网络产品就可以,企业一定要对自己的IT资产进行优先级别的排序,分别梳理出来哪些是最重要的需要保护的数据、应用、资产和相应的运行服务。“安全一定是从最重要的IT资产先开始。”等企业梳理完以后,派拓网络可以通过相应的技术监控,帮企业客户检查这些重要资产和被访问的对象之间的访问关系、访问策略是否恰当,有了梳理基础之后,派拓网络就可以有的放矢的帮助企业实施相应的技术产品。
“派拓网络非常注重对于客户网络重要IT资源的梳理,也有配套的针对于零信任的咨询规划服务,可以帮助客户进行有逻辑、有系统的梳理、规划咨询,之后再有计划的部署相应的技术和平台。”张晨谈到。
此外,还有些企业可能会担心实施零信任网络安全架构的成本比较高。对此,张晨建议,企业可以从最重要、最需要保护的IT资源和网络开始,先做这些网络的隔离,或者是在网络隔离上实施相应的策略。把这些做好,进入到良性循环之后,再往下进行,这样可以在零信任的规划和成本上得到一个比较好的平衡。
责任编辑:刘沙
专题
最新发布