首頁 > 技術(shù) > 正文

深信服的「零信任觀點」：不止于遠程辦公，聚焦業(yè)務安全接入|全球熱頭條

2023-06-15 16:51:10來源：中關村在線

“從來不是遠程辦公淘汰了現(xiàn)場辦公，而是高效代替了低效?！备餍懈鳂I(yè)數(shù)字化轉(zhuǎn)型，追求的必然是更高效的工作方式，由此催熱了“零信任”的概念。

各安全廠商百家爭鳴，演進了多條技術(shù)路線（SDP、IAM、MSG等），以期用零信任架構(gòu)，護航用戶遠程辦公的安全接入。

然而，大部分用戶仍舊認為零信任的落地難度和演進方向都是不明確的：

(相關資料圖)

對于還在觀望的用戶來說，停留于一個固有觀念：“零信任只能解決遠程辦公的安全問題”，零信任不就是“更安全一點”的VPN嗎？

對于已經(jīng)初步入局的用戶，同樣也存在疑惑：落地遠程辦公場景后，下一步要怎么辦？

面對您的疑問，深信服零信任決定來一次全面解讀。

深信服的「零信任觀點」

管控風險，重構(gòu)訪問控制體系

觀點一：關于零信任與VPN的能力界定

零信任≠VPN，零信任聚焦的是“主體到客體的訪問控制和數(shù)據(jù)保護”，主要解決業(yè)務安全訪問的問題，接入能力只是零信任的子集。

過去我們通過不同類型的安全設備來進行訪問控制，包括防火墻、交換機、路由器、SSL VPN等。

經(jīng)過多年的發(fā)展，傳統(tǒng)的訪問控制機制開始暴露出諸多弊端，主要有兩個方面:

1. 在傳統(tǒng)身份認證機制下，先授權(quán)網(wǎng)絡連接和訪問，再進行身份認證，導致業(yè)務對外暴露。

2. 基于IP/MAC/VLAN設置ACL，難以與真實用戶進行關聯(lián)；身份與權(quán)限對應靜態(tài)且粗放，難以做到細粒度權(quán)限管控。

當我們進一步剖析，上述問題的本質(zhì)都是“主體到客體的訪問控制存在著安全風險”。

在南北向訪問中，過去通過SSL VPN實現(xiàn)遠程安全接入，但SSL VPN在安全性/大并發(fā)等方面的能力，越來越難以滿足數(shù)字化轉(zhuǎn)型趨勢下的用戶需求。

而零信任聚焦業(yè)務安全接入，從身份、終端、連接、權(quán)限、數(shù)據(jù)和行為等不同維度，幫助用戶安全訪問業(yè)務，構(gòu)筑了基于端到端多維度信任評估的訪問控制鏈條。

區(qū)別于以傳統(tǒng)的IP/MAC/VLAN等方式判定網(wǎng)絡邊界，零信任基于身份構(gòu)建更細粒度的網(wǎng)絡邊界，讓業(yè)務的訪問方式和信任判定方式更加完善和全面。

理解了這一點，我們就能達成一個共識：零信任所聚焦的建設范圍實際上是用戶的整個辦公網(wǎng)絡，而不僅僅是遠程接入場景。

舉個例子來說，SSL VPN和零信任，好比是計算器和計算機，二者都做數(shù)據(jù)運算，但計算器只能做加減乘除，而計算機有著更多的擴展空間，不論是能力擴展，還是場景擴展，都會存在差異，且隨著后續(xù)的發(fā)展，差異也會越來越大。

觀點二：關于零信任建設場景選擇

零信任不止于遠程辦公，遠程辦公是初嘗零信任適合切入的場景，后續(xù)可以逐步擴展分支、內(nèi)網(wǎng)、特權(quán)訪問等場景。

引入一套新的技術(shù)架構(gòu)，勢必猶如平地一聲雷，給原有的網(wǎng)絡架構(gòu)帶來沖擊。

站在助力用戶領先一步落地的視角，過去我們提出“以零信任替換VPN”，從遠程辦公場景切入，既是考慮到用戶需求的緊迫性、對業(yè)務影響范圍較小，也考慮了實際落地難度。這也已經(jīng)成為當前業(yè)界的共識。

然而，遠程辦公零信任落地后，我們還在思考：用戶可能還存在著哪些問題？這些問題可以通過零信任架構(gòu)解決么？

安全防護不完整，內(nèi)網(wǎng)暴露面依然存在

在整體網(wǎng)絡架構(gòu)中，遠程辦公只是一個相對獨立的場景，用戶的業(yè)務訪問方式?jīng)]有發(fā)生質(zhì)的改變，依舊是先連接、后認證。一旦攻擊者突破邊界，整個內(nèi)網(wǎng)將完全暴露。無論是攻防演練所暴露出的問題，還是真實世界中發(fā)生的網(wǎng)絡安全事件，都在不斷警示著我們：大部分安全事件的源頭都來自于內(nèi)部。

接入體驗不一致，用戶訪問體驗割裂

大部分用戶很重視從外到內(nèi)的安全接入，但內(nèi)部業(yè)務訪問邏輯卻相對簡單，且接入方式復雜多樣，包括網(wǎng)絡準入、云桌面VDI、PC等，不僅需要來回切換，還引入了多套身份體系，增加了安全風險。同時，伴隨著企業(yè)數(shù)字化轉(zhuǎn)型，業(yè)務部署方式發(fā)生變化，多機房、混合云的環(huán)境使得傳統(tǒng)的SSL VPN難以滿足用戶隨時隨地的接入訪問需求。

運維管理難度大，多套設備來回切換

多套安全接入產(chǎn)品，勢必會造成不同設備訪問策略管理的復雜度持續(xù)上升，需要投入更多的人力和時間成本，違背企業(yè)“降本增效”的經(jīng)營邏輯。

相信以上問題，諸多用戶都有共鳴。如何解決，才是關鍵。

為了給廣大用戶提供更合理可行的解決方案，深信服以自身進行驗證，在短短一年時間內(nèi)，完成了集團內(nèi)部零信任建設，實現(xiàn)基于零信任架構(gòu)的內(nèi)外網(wǎng)統(tǒng)一接入。無論用戶身處何種網(wǎng)絡，只有通過零信任的安全認證和訪問代理，才能訪問后端業(yè)務。

去年，我們也開始幫助用戶逐步向更廣泛的場景進發(fā)：分支接入、開發(fā)測試、安全運維、內(nèi)外網(wǎng)統(tǒng)一接入等，在各行各業(yè)打造典型案例，成為國內(nèi)零信任落地數(shù)量第1、單客戶百萬并發(fā)規(guī)模的網(wǎng)絡安全廠商。

如今，越來越多的用戶已經(jīng)將零信任取代了傳統(tǒng)的SSL VPN，并且享受到了零信任所帶來的安全效益，因此我們?yōu)橛脩籼峁┑那袑嵔ㄗh是：

基于訪問主體和客體，統(tǒng)一規(guī)劃，在平穩(wěn)完成遠程辦公場景零信任建設后，可以逐步切換到分支接入、特權(quán)訪問、辦公內(nèi)網(wǎng)等場景的零信任建設，逐步解決上述問題。

觀點三：關于零信任架構(gòu)的實現(xiàn)方式

零信任是一個架構(gòu)體系，面向不同的訪問主體和訪問客體，可以選擇不同“搭建方式”。

值得關注的是，作為網(wǎng)絡安全體系中信任評估和訪問控制的全局性框架，零信任架構(gòu)的演進性和生長性是關鍵，需要隨著業(yè)務范圍的擴展，進行靈活、快速、低成本的適配。

零信任架構(gòu)并非單個產(chǎn)品就能完全實現(xiàn)的，基于大量用戶實踐的探索，深信服能夠為用戶提供不同組合的搭建方案：

零信任+桌面云，打造安全數(shù)字化工作空間

提供“5A+S級”Workspace辦公體驗，構(gòu)建融合多種不同安全級別應用的數(shù)字化工作平臺，在同一工作平臺中實現(xiàn)不同密級應用的一站式訪問，為辦公安全與體驗上一份“雙重保險”。

【案例】銀聯(lián)商務

面對銀聯(lián)商務3-4級分支公司、超1000人規(guī)模的員工，零信任aTrust與桌面云VDI、安全沙箱UEM等創(chuàng)新結(jié)合，為數(shù)字化安全辦公平臺的基座砌上更堅實的磚瓦。

零信任+終端數(shù)據(jù)安全沙箱，實現(xiàn)泄密風險防護