为什么企业数字化转型需要零信任?

大数据、云计算和物联网等技术的不断兴起,使得安全性问题变得更为突出。而在数字时代,网络安全防护并非看起来那么简单,势必要将重心放在保护客户的数据资产上。特别是今年上半年,随着全球新冠疫情的流行和蔓延,众多企业和员工选择远程办公。此时,对于企业而言,需要快速评估其身份和访问管理(IAM)系统是否可以允许远程员工在网络外围访问公司资源的问题。

企业需要快速制定数字化转型的计划,以适应不断变化的业务和远程办公的需求。然而众所周知,使用虚拟专用网络(VPN)解决远程办公问题时,存在端口暴露、数据遗失等安全问题,缺乏足够的安全性。但数字化转型不是短期投资,而是长期战略的一部分,需要更合适的解决方案。

企业可以通过零信任策略在用户访问资源前不断进行身份验证,以此来实现企业员工的安全远程访问。采用“零信任理念”可以确保请求访问的用户身份是经过授权验证的,在维护企业安全的同时,保证安全访问的过程可以正常进行。

数字化转型带来的网络变革

对于现代企业而言,安全性的风险管理是一项复杂的任务,这些风险会在多个位置不断变化。防火墙和基于网络的访问一直是企业网络安全的重要组成部分,但是,传统基于边界的安全访问模型已不再适用。

据相关数据显示,有25.7% 的公司让其 40% 以上的员工远程办公,超过 67% 的员工使用他们自己的设备工作。其中,80% 的自带设备 (BYOD) 均为完全非托管设备。企业约50% 的时间都在运行基于云的应用程序。而以边界为中心的防御需要设备和安全策略管理,以及频繁的软件升级,都无疑加重了IT 团队不堪重负的操作复杂性和压力。

与此同时,企业数字化转型推动的新业务流程也无疑扩大了攻击面。数据显示,63%的数据泄露由第三方导致,每日新增恶意程序有390000款,其中1/3的移动设备具有中高度数据曝光风险。随着攻击面的不断扩张、紧缺的 IT 资源难以管理日益复杂的网络架构、网络攻击手段也日渐更新,使得用户和设备及应用程序和数据正在向传统企业边界和控制区域之外迁移,这就是企业数字化转型带来的网络变革。

零信任是适合云时代的企业安全模型

零信任是一种战略概念,它鼓励安全团队减少对网络外围设备安全性的依赖,更多的是不管身在何处的用户通过不断进行身份验证,可直接应用于公司资源的安全过程和技术作为响应,各企业组织开始朝着一种新的以身份为中心的方法发展,而不是一种依靠公司网络来实现生产性、安全性和敏捷性的企业安全策略。

零信任模式取代了以边界为中心的安全架构。它可确保根据身份、设备和用户环境动态实施安全和访问决策。零信任安全框架还规定,只有经过身份验证和授权的用户和设备才能访问应用程序和数据。同时,它还可以保护这些应用程序和用户免遭互联网上的高级威胁。而对于零信任的原理,也有最简洁的描述:

1. 网络始终被认为是敌对的。

2. 网络上始终存在外部和内部威胁。

3. 网络局部性不足以决定对网络的信任。

4. 每个设备,用户和网络流都经过身份验证和授权。

5. 策略必须是动态的,并从尽可能多的数据源中计算得出。

构建零信任安全的六大关键功能

零信任考虑了来自内部和外部来源的威胁的可能性,并保护组织机构免受两种类型的威胁。网络安全必须与组织的网络完全集成,因为组织机构必须与经常处于“信任”位置的恶意内部人员竞争。而构建零信任安全可以更好的判断身份的真实性,起到更好的安全保护作用。机构零信任安全的6大关键功能如下:

1. 强大的标识和身份验证:从注册到每次访问请求之间的验证和身份验证,对于提高安全性至关重要。这些功能可确保无论将其部署在哪里,所有用户(特权用户和非特权用户)以及所有资源都受到保护。

2. 端点安全性:合法用户经常通过使用受损设备访问资源,从而使组织面临高风险。这些功能可确保在设备受到威胁时不会提供访问权限。

3. 网络安全:防止网段之间的横向移动通常是最小化漏洞影响的最有效方法。这些功能可确保在检测到恶意行为或超过风险阈值后立即遏制违反行为并终止访问。

4. 工作负载安全性:攻击来自具有有效凭据的攻击者以及来自外部的攻击。这些功能可确保在所有授权决策中包括上下文,并确保涵盖了应用程序和API中的漏洞。

5. 交易安全性:某些类型的交易比其他类型的交易具有更大的风险,因此应将其视为此类交易。这些功能可确保用户验证高风险交易,同时还可以识别交易是否代表异常行为。

6. 数据安全性:无论其敏感IP还是被全球范围内众多隐私保护机制之一所覆盖的用户数据,数据安全性已成为许多组织的头等大事。这些功能可确保数据在需要的地方进行加密,并且用户始终可以控制其数据。

零信任带来的好处

通过用零信任策略代替网络信任,组织机构可以获得的不仅仅是改善的安全性。企业可以提高员工生产力,同时标准化了对所有公司资源的访问控制,从而实现了零信任。通过考察员工所访问设备和资源的风险状况,而不是仅通过确定员工是否在公司网络中,组织机构可以更加放心地开放对远程员工的访问权限,以使他们能够获得所需的资源。

采用零信任方法可实现业务敏捷性,以确保企业可以快速适应和利用新技术来成功满足数字化转型计划。借助零信任,企业可以根据最适合特定资源的条件,从本地数据中心,私有云,公共云以及两者之间的所有内容中进行选择。在选择最适合每种资源的部署时,组织可以通过优化托管和管理费用以及减少VPN和其他基于外围工具的许可费用来节省成本。最后,可以设置合规性。

除此之外,零信任安全还有如下几个优势:

身份验证:多重身份验证 (MFA) 提供了额外的验证和安全级别;它可确保仅经过验证的用户才能访问业务关键的应用程序。通过 MFA 对用户进行身份验证和授权后,单点登录 (SSO) 允许用户使用一组凭据登录所有应用程序。这提高了工作效率;无需重新确认每个应用程序的身份,也免除了跨应用程序的同步问题。根据诸多信号做出持续访问决策 — 包括跨IaaS、本地和 SaaS 应用程序的 MFA 和 SSO — 在为最终用户提供便利的同时,也为企业带来了更出色的保护。

安全访问:虚拟专用网络 (VPN) 等传统远程访问技术无法满足当今无边界数字化企业日益增长的需求。传统 VPN 对企业安全构成威胁,因为它本身就会在防火墙上形成漏洞,从而提供不受限制的网络访问。一旦攻击者位于内部,其就可以自由地横向移动以访问和利用网络中的任何系统或应用程序。传统 VPN 不仅会使企业面临安全风险,而且它们还是复杂的解决方案,需要大量 IT 资源来进行硬件和软件管理,同时维护和扩展的成本高昂。

零信任,仅允许用户访问其角色所需的应用程序:零信任,仅允许用户访问其角色所需的应用程序:基于授权、用户身份、设备状态、身份验证和授权的访问可以减少横向攻击,进而减少网络风险敞口。淘汰传统 VPN 将改善用户体验、提高员工工作效率。摆脱对防火墙、硬件和软件的依赖意味着可降低 IT 维护成本。此外,仅应用程序权限还可改善管理,提供对访问应用程序的人员、数据传输位置以及访问方式的可见性和洞察力。

安全性:零信任遵从永不信任且验证的原则,在认证之前,所有资源均不可见。此外,零信任通过细粒度的访问控制手段、可视化的策略管理能力和不落地的数据防泄露技术,提供按需、动态的可信访问,同时基于身份实行严格的访问权限控制和对所有入网设备的安全可控。WAF是SQL注入攻击的第一道防线,而零信任可以在最初就减少这种现象发生的概率,零信任与WAF相比可以为企业提供更加广泛的保护。

写在最后

在万物互联的时代,企业数字化转型将是一种必然的趋势。基于传统边界的防护不但复杂,而且风险大,不再适用于现在的业务模式。而现在基于零信任理念新的防护模式,可以持续推动企业网络安全架构的变革,让企业在零信任世界中动态的建立起真正的信任,为企业数字化转型提供敏捷高速的安全支撑。

分享到:

深云SDP

云时代的企业安全体系

申请试用

免费试用