為什麼零信任是遠端辦公的未來趨勢?

2021-10-18 23:17:20 字數 2637 閱讀 3996

2023年初,新型冠狀病毒席捲全球,在疫情沒有得到有效的控制前,各大企業積極響應國家號召開始啟動遠端辦公模式。在遠端辦公的熱潮中,中大型企業的vpn遠端辦公也暴露了諸多安全問題,其中最讓人印象深刻的是某上市公司生產環境遭到惡意破壞;某公司的運維員工通過vpn進入公司內網的跳板機,在許可權管控缺失的情況下,報復性破壞公司的資料庫,憑一己之力蒸發公司市值近20億元。在此情況下,企業如何更安全的實現遠端辦公,是諸多企業關注的重點。特別是後疫情時代的到來,遠端辦公成為當下的主旋律。

而零信任在解決遠端辦公的同時,避免了網路攻擊對企業應用、資料資產造成的威脅,是企業解決遠端辦公的極好選擇。本文將針對於此給出詳細有力的解釋!

01遠端辦公危機四伏

遠端辦公憑藉著能夠提公升辦公協作和企業管理效率、減少人群接觸風險等特點,在疫情期間成為企業實現安全復工復產的重要方式。但是,對於大部分企業來說,因疫情而臨時搭建出來的遠端辦公系統儘管可以解決企業員工的辦公需求,但是也帶來了大量的危機。

員工異地訪問的身份識別、多地分散的終端安全防護、網路資訊加密的不確定性,使接入環境變得異常複雜,不利於運維人員的管理和追溯;同時一些企業所使用的傳統網路架構,也讓大量高風險業務埠暴露在外,使企業的核心業務和資料容易遭到黑客的攻擊而洩露。

在傳統的vpn難以繼續滿足企業的需求時,基於零信任理念打造的企業安全訪問體系開始被廣泛使用,下面我們將分析零信任的優勢和如何解決現階段遠端辦公的問題。

02遠端辦公的未來趨勢

零信任 & vpn

虛擬專用網路(vpn)等傳統遠端訪問技術無法滿足當今無邊界數位化企業日益增長的需求。且傳統的vpn對企業安全也會構成一定的威脅,因為vpn本身在防火牆上就會形成漏洞,從而提供不受限制的網路訪問。一旦攻擊者位於內部,其就可以自由地橫向移動以訪問和利用網路中的任何系統或應用程式。

傳統vpn作為提供遠端服務的虛擬專用網路訪問功能未跟上安全性要求和當今不斷變化的威脅格局。遠端訪問通過建立加密的點對點連線ip流量流經的「隧道」。但是,vpn使企業更容易受到攻擊和資料的洩漏,因為組織內的使用者都可以訪問整個內部網路以進行訪問公司資源。使用者不限於特定網路資源,使vpn成為最弱的一種有關身份訪問的故障點和憑證管理,在使用中沒有細分、審核和控制。除此之外,vpn還有使用者體驗不佳、拓展性差等問題存在。

零信任的安全理念是建立在身份驗證、裝置驗證、網路隔離和訪問控制的基礎上,是保護管理應用和資料的關鍵。傳統保護網路安全的方式是先訪問資源再驗證身份,而零信任的理念則是先驗證身份,再授權進行訪問。

零信任網路則可以在任何時候都限制對所有使用者的訪問,隨著網路攻擊者的攻擊手段變得越來越先進,vpn不足以阻止他們,但是基於零信任網路,無**擊者是否已經獲得使用者的授權憑證,他們的行動都將受到限制,遵循最小授權原則,所有其他資源對使用者不可見。零信任網路可以劃定乙個清晰的邊界,在網路中使用微分段建立安全區域以此加強網路的安全性。

零信任 & waf

現代網路攻擊具有高度針對性,惡意攻擊者利用電子郵件、社交**、即時訊息等社交工具,通過高度相關和個性化誘餌來攻擊個人。網路罪犯會尋找具有所需資歷、技能集和訪問級別的特定使用者,然後發起針對這些使用者許可權的應用程式攻擊。雖然大部分的公司使用waf來保護面向外部的應用程式及其背後的資料免受應用程式層和注入攻擊,但網路罪犯將以裝置為目標,將其轉變為殭屍機器,並利用它攻擊防火牆後方被認為安全的應用程式。而且在使用waf時還存在幾點弊端:

1)waf對http協議實現了自解析,無法和容器背後的web應用保持對協議的理解一致,在誤殺和漏報之間不能很好的平衡;

2)waf對每個請求都要進行解析和識別會導致占用記憶體過多的情況;

3)waf協議單台伺服器部署,並且存在影響正常業務和被繞過的風險,不適合大型**的防護使用,存在一定的侷限性。

零信任遵從永不信任且驗證的原則,在認證之前,所有資源均不可見。此外,零信任通過細粒度的訪問控制手段、視覺化的策略管理能力和不落地的資料防洩露技術,提供按需、動態的可信訪問,同時基於身份實行嚴格的訪問許可權控制和對所有入網裝置的安全可控。waf是sql注入攻擊的第一道防線,而零信任可以在最初就減少這種現象發生的概率,零信任與waf相比可以為企業提供更加廣泛的保護。

零信任遠端辦公方案的優勢

隨著當下環境發展到由更複雜的應用程式和終端組成,基於邊界防護的安全體系將失去有效的洞察力和控制力,而零信任安全被認為是解決現階段網路安全問題的最佳解決方案。零信任在遠端辦公的安全性上的優勢,主要有以下幾個方面:

1)零信任訪問:實現所有使用者接入前統一認證,即先認證、再連線,隱藏應用減少攻擊面。

2)細粒度的按需授權:進行多層級細粒度的授權,實現全面最小按需授權。

3)動態風險評估:實**估終端環境、使用者行為等風險,發現異常立刻觸發響應,形成閉環。

基於零信任理念的遠端辦公方案,可以最大程度的讓員工擁有內外網一致的辦公體驗。通過零信任方案,讓終端使用者可以直接在公網進行認證之後,訪問授權的企業應用,而不會因為網路的連通性而影響辦公效率。

過去,在安全和便捷之間,我們總是很難達到乙個理想的平衡,但是現在基於零信任理念而產生的遠端辦公方案,對企業來說可以提高安全性,對企業員工來說有更高的易用性,擁有更完美的體驗,提高工作效率。

為什麼金融行業需要零信任安全的解決方案

近年來,隨著網際網路 雲計算和人工智慧等新技術的不斷發展,網際網路與金融行業的結合也愈發緊密。一方面為金融機構的競爭發展拓展了新的空間,使得資金和投資管理變得十分便利 另一方面也引發了更多的資料洩露的情況,使得金融行業面臨的網路安全的風險隨之增加。同時,新興技術的不斷興起,對整個金融行業的網路安全建...

linux檔案刪除空間未釋放是為什麼

今天在生產環境上某個應用去kafka消費資料一直報錯,日誌資料瘋狂增加,一下子就把磁碟空間佔滿了,本人當時沒想太多直接rm core.log一波,然後發現磁碟空間並未釋放!原因很顯然就是忽略了有應用一直在往其中寫資料,直接刪除無法釋放磁碟空間。遇到這種問題,依據情況不同解決辦法可以不一樣。方法一 首...

TCP為什麼是面向連線的,為什麼是面向資料流的

tcp的核心是它要提供乙個可靠的傳輸協議。第乙個問題 tcp如果想要提供乙個可靠的傳輸協議,一定需要每次都建立連線嗎?三 次招手的意義在於讓通訊兩端確定,資訊剛才是可以從任意一端傳到另 一端的。如果傳送資料前我們沒有三次招手。那麼,由於tcp是乙個可靠 的傳輸協議,所以一定會提供超時重試的機制,而且...