賬戶入侵威脅和性能瓶頸促使公司企業(yè)實(shí)現(xiàn)新的網(wǎng)絡(luò)安全模型。

多年來(lái)，虛擬專用網(wǎng) (VPN) 和防火墻的組合，是公司企業(yè)尋求安全互聯(lián)網(wǎng)連接的模型之選。而該模型也歷經(jīng)時(shí)間檢驗(yàn)，堪稱成功典型。

然而，邊界安全幾近消亡的時(shí)代，加速了兩個(gè)趨勢(shì)：

首先，利用用戶瀏覽習(xí)慣獲取企業(yè)內(nèi)網(wǎng)立足點(diǎn)的攻擊復(fù)雜性不斷增長(zhǎng)。一旦進(jìn)入，攻擊者可巡游企業(yè)內(nèi)網(wǎng)，查找可以入侵或盜取的資產(chǎn)。

其次，應(yīng)用從內(nèi)部部署到托管于云端的轉(zhuǎn)變。

通常，遠(yuǎn)程員工的流量通過(guò) VPN 回傳至企業(yè)數(shù)據(jù)中心或分公司，然后通過(guò)另一 VPN 連接從合適的互聯(lián)網(wǎng)路徑重新路由至云端 IT 服務(wù)。此類回傳很慢，且會(huì)增加額外的成本、復(fù)雜性和故障點(diǎn)。

為解決這些威脅，克服性能瓶頸，公司企業(yè)試圖找尋或多或少具備以下五個(gè)元素的 VPN 替代品：

No.1：分布式網(wǎng)絡(luò)安全

構(gòu)建 VPN 安全模型的第一步，是去除集中式防火墻及相關(guān)流量回傳的需求。該新方式將單個(gè)工作站和移動(dòng)設(shè)備連接至基于云的防火墻服務(wù)。這些連接需在后臺(tái)以始終在線的方式維護(hù)，無(wú)需終端用戶任何互動(dòng)。

這種架構(gòu)要求服務(wù)提供商具備健壯的網(wǎng)絡(luò)，保障終端用戶無(wú)論身在何處都能體驗(yàn)優(yōu)良網(wǎng)絡(luò)性能。同時(shí)，該架構(gòu)還應(yīng)使安全經(jīng)理能夠訪問(wèn)自己慣于在傳統(tǒng)防火墻中看到的那種日志、儀表板和安全控制。

No.2：應(yīng)用訪問(wèn)代理

復(fù)雜代理是該新安全架構(gòu)的基本元素。這些代理需經(jīng)恰當(dāng)設(shè)計(jì)，賦予企業(yè)用戶通過(guò) Web 瀏覽器輕松訪問(wèn)內(nèi)部應(yīng)用的能力。用戶應(yīng)能無(wú)需經(jīng)歷繁瑣 VPN 客戶端連接建立過(guò)程，僅簡(jiǎn)單輸入 URL 便可達(dá)成內(nèi)部應(yīng)用訪問(wèn)目的。

同時(shí)，這些代理還能保護(hù)應(yīng)用不受互聯(lián)網(wǎng)威脅侵?jǐn)_，讓 IT 部門(mén)完全掌握誰(shuí)在什么時(shí)候從什么地方使用哪些服務(wù)的信息——所有一切都基于企業(yè)策略、設(shè)備和用戶身份及設(shè)備配置。該架構(gòu)使 IT 在提供可靠服務(wù)的同時(shí)還能集中管理應(yīng)用。

其核心是代理需要 HTTPS 網(wǎng)關(guān)驗(yàn)證用戶身份，保護(hù)應(yīng)用。理想情況下，該網(wǎng)關(guān)基于設(shè)備及其用戶的唯一身份，為每個(gè)工作站和移動(dòng)設(shè)備自動(dòng)提供加密客戶端證書(shū)。

No.3：用戶和設(shè)備身份驗(yàn)證

想平滑安全運(yùn)行云托管的應(yīng)用，作為支撐的網(wǎng)絡(luò)安全架構(gòu)應(yīng)采用多因子身份驗(yàn)證 (MFA) 授予或拒絕用戶對(duì)應(yīng)用的訪問(wèn)權(quán)。同時(shí)，應(yīng)監(jiān)視并審計(jì)終端設(shè)備及其行為，包括系統(tǒng)狀態(tài)和配置信息。設(shè)備狀態(tài)及行為可見(jiàn)性可用于確定風(fēng)險(xiǎn)和是批準(zhǔn)還是拒絕設(shè)備訪問(wèn)權(quán)。

最后，須防止非托管設(shè)備、自帶設(shè)備和物聯(lián)網(wǎng)機(jī)器連接這些應(yīng)用。

No.4：零信任

企業(yè)網(wǎng)絡(luò)不會(huì)徹底消失，它們面臨的威脅也不會(huì)。出于這個(gè)原因，需要清除內(nèi)部網(wǎng)絡(luò)的信任，防止威脅橫向擴(kuò)散。實(shí)現(xiàn)零信任需要?jiǎng)討B(tài)網(wǎng)絡(luò)分隔，并且隨用戶和主機(jī)互動(dòng)實(shí)時(shí)在每個(gè)終端上實(shí)施防火墻策略。理想狀態(tài)下，策略應(yīng)圍繞用戶和設(shè)備身份，以及傳統(tǒng) IP 地址、端口和協(xié)議做出調(diào)整更新。

現(xiàn)實(shí)世界中，零信任分隔意味著不同團(tuán)隊(duì)的兩位不同用戶可接入同一局域網(wǎng)，而擁有對(duì)不同資源的訪問(wèn)權(quán)。此類分隔極大增強(qiáng)了安全人員響應(yīng)潛在威脅的速度和準(zhǔn)確性。

No.5：持續(xù)監(jiān)視及報(bào)告

如今，企業(yè)網(wǎng)絡(luò)安全項(xiàng)目的功能偏向于滿足合規(guī)要求。但同時(shí)，這些項(xiàng)目越來(lái)越分散，增加了 IT 部門(mén)有效監(jiān)視安全控制的難度。

后 VPN 安全架構(gòu)可很大程度上緩解，甚至全然消除此類監(jiān)視難題，方法就是持續(xù)收集每個(gè)網(wǎng)絡(luò)防火墻和終端設(shè)備上所用安全控制的數(shù)據(jù)。另外，該情報(bào)可用于證明 NIST、PCI、HIPAA、CIS 等監(jiān)管和安全框架合規(guī)情況。

盡管廣泛采用且有效，傳統(tǒng)防火墻和 VPN 很難跟上企業(yè)網(wǎng)絡(luò)架構(gòu)、用戶訪問(wèn)模式和混合現(xiàn)場(chǎng)/云端托管資源的發(fā)展。將傳統(tǒng)防火墻和 VPN 的諸多安全控制、策略實(shí)施和聯(lián)網(wǎng)元素置于云端的分布式方法，便作為很有吸引力的替代方法興起了。

文章來(lái)源公眾號(hào)安全牛