| 2022-06-30
随着零信任网络的发展,它已经从一个安全理念变为互联网安全的共识,能在网络动态连接过程中提供安全、稳定的防护。零信任会对每一个申请网络连接的用户进行审核,其中就包括设备,尤其是智能联网设备。下文中详细介绍了如何部署零信任设备?蒲公英如何实现零信任安全网络访问?
零信任要求从用户开始落实安全性,但有趣的是,这里的用户不仅仅指传统意义上的用户。近年来不断兴起的物联网(IoT)、操作技术(OT)和智能联网设备为网络和企业带来了巨大的网络安全威胁,于是安全架构人员不得不重新审视身份的概念。从本质上而言,每个联网对象都有一个身份,并且必须包含在零信任框架内,因此这里的用户应该还包括设备、虚拟基础设施和云资产。
要真正掌握设备身份,不仅需要识别 IP 地址、厂商和型号,更需要对设备的业务环境和潜在风险了如指掌,而这就是准确的态势感知发挥重要作用的地方。
先来看一类常见的 IoT 设备——联网摄像头。即便是同一台摄像头,执行的功能也截然不同,可以是视频监控,也可以是视频会议。在金融服务行业,摄像头主要用于交易过程中监控客户,或内置于 ATM 中扫描支票存款。这些摄像头的每一个视频输入都需要与不同的数据中心应用和云服务共享通信路径。因此,设备身份和情境是零信任安全中非常重要的概念。
为企业网络建立零信任框架还需要深入了解网络上的所有 IoT 和 OT 系统,从而做出基于情境的分段决策,以在不过度影响可用性的情况下降低业务风险。企业在网络中实施零信任时需要考虑以下几点:
1)将零信任的实施范围扩展到用户之外,包括设备。
2)对 IoT 和 OT 设备使用无代理设备可视化和持续网络监控,基于代理的安全方法不适用 IoT 和 OT 设备。
3)了解访问企业网络的所有设备身份,包括设备的业务环境、流量和资源依赖关系。
4)使用细分实现零信任原则,并满足风险管理用例:
控制并持续监控用户和设备的访问以保护关键业务应用
对关键的 IT 和 OT 设备设置特权访问
将企业的 IoT 和 OT 设备划分在适当的区域以减少攻击面
包含易受攻击的设备和遗留的业务应用/操作系统,不能在单独的区域内打补丁或脱机,以减少攻击面
针对越来越广泛的“零信任”网络安全策略需求,贝锐旗下蒲公英SD-WAN推出了零信任安全网络访问解决方案。 贝锐旗下蒲公英异地智能组网是基于SD-WAN智能组网方案,通过组建异地虚拟局域网,实现异地局域网内电脑、手机、服务器的互联互通,为个人及企业用户提供远程办公支持。
无法回到公司值班的人员,企业可统筹在家办公,通过在总部服务器及远端员工的PC或手机安装蒲公英软件,员工在家也可轻松连接至企业内部,实现异地办公,达到助力企业高效协作运转和减少人群聚集的效果。
蒲公英零信任安全体系能实现业务安全访问,主要通过对访问身份权限的动态管控,对访问成员持续进行信任评估和动态的访问控制,来自网络上的未授权访问、网络攻击、爬虫都将被直接拒绝。
日常生活中,需要用到零信任的场景越来越广泛,蒲公英也在自己的安全体系中加入了零信任网络,减少传统信任模式造成的安全威胁,使用蒲公英路由器进行异地组网,更加适用于线上办公,能为用户提供一个安全的网络办公环境。