Top
首页 > 正文

云深互联陈本峰:为什么零信任是远程办公的未来趋势?

发布时间:2020-06-24 16:23        来源:TechWeb        作者:

2020年初,新型冠状病毒席卷全球,在疫情没有得到有效的控制前,各大企业积极响应国家号召开始启动远程办公模式。在远程办公的热潮中,中大型企业的VPN远程办公也暴露了诸多安全问题,其中最让人印象深刻的是某上市公司生产环境遭到恶意破坏;某公司的运维员工通过VPN进入公司内网的跳板机,在权限管控缺失的情况下,报复性破坏公司的数据库,凭一己之力蒸发公司市值近20亿元。在此情况下,企业如何更安全的实现远程办公,是诸多企业关注的重点。特别是后疫情时代的到来,远程办公成为当下的主旋律。

而零信任在解决远程办公的同时,避免了网络攻击对企业应用、数据资产造成的威胁,是企业解决远程办公的极好选择。本文将针对于此给出详细有力的解释!

远程办公危机四伏

远程办公凭借着能够提升办公协作和企业管理效率、减少人群接触风险等特点,在疫情期间成为企业实现安全复工复产的重要方式。但是,对于大部分企业来说,因疫情而临时搭建出来的远程办公系统尽管可以解决企业员工的办公需求,但是也带来了大量的危机。

员工异地访问的身份识别、多地分散的终端安全防护、网络信息加密的不确定性,使接入环境变得异常复杂,不利于运维人员的管理和追溯;同时一些企业所使用的传统网络架构,也让大量高风险业务端口暴露在外,使企业的核心业务和数据容易遭到黑客的攻击而泄露。

在传统的VPN难以继续满足企业的需求时,基于零信任理念打造的企业安全访问体系开始被广泛使用,下面我们将分析零信任的优势和如何解决现阶段远程办公的问题。

远程办公的未来趋势

零信任&VPN

虚拟专用网络(VPN)等传统远程访问技术无法满足当今无边界数字化企业日益增长的需求。且传统的VPN对企业安全也会构成一定的威胁,因为VPN本身在防火墙上就会形成漏洞,从而提供不受限制的网络访问。一旦攻击者位于内部,其就可以自由地横向移动以访问和利用网络中的任何系统或应用程序。

传统VPN作为提供远程服务的虚拟专用网络访问功能未跟上安全性要求和当今不断变化的威胁格局。远程访问通过创建加密的点对点连接IP流量流经的“隧道”。但是,VPN使企业更容易受到攻击和数据的泄漏,因为组织内的用户都可以访问整个内部网络以进行访问公司资源。用户不限于特定网络资源,使VPN成为最弱的一种有关身份访问的故障点和凭证管理,在使用中没有细分、审核和控制。除此之外,VPN还有用户体验不佳、拓展性差等问题存在。

陈本峰表示,零信任的安全理念是建立在身份验证、设备验证、网络隔离和访问控制的基础上,是保护管理应用和数据的关键。传统保护网络安全的方式是先访问资源再验证身份,而零信任的理念则是先验证身份,再授权进行访问。

零信任网络则可以在任何时候都限制对所有用户的访问,随着网络攻击者的攻击手段变得越来越先进,VPN不足以阻止他们,但是基于零信任网络,无论攻击者是否已经获得用户的授权凭证,他们的行动都将受到限制,遵循最小授权原则,所有其他资源对用户不可见。零信任网络可以划定一个清晰的边界,在网络中使用微分段创建安全区域以此加强网络的安全性。

零信任& WAF

现代网络攻击具有高度针对性,恶意攻击者利用电子邮件、社交媒体、即时消息等社交工具,通过高度相关和个性化诱饵来攻击个人。网络罪犯会寻找具有所需资历、技能集和访问级别的特定用户,然后发起针对这些用户权限的应用程序攻击。虽然大部分的公司使用WAF来保护面向外部的应用程序及其背后的数据免受应用程序层和注入攻击,但网络罪犯将以设备为目标,将其转变为僵尸机器,并利用它攻击防火墙后方被认为安全的应用程序。而且在使用WAF时还存在几点弊端:

1)WAF对HTTP协议实现了自解析,无法和容器背后的Web应用保持对协议的理解一致,在误杀和漏报之间不能很好的平衡;

2)WAF对每个请求都要进行解析和识别会导致占用内存过多的情况;

3)WAF协议单台服务器部署,并且存在影响正常业务和被绕过的风险,不适合大型网站的防护使用,存在一定的局限性。

零信任遵从永不信任且验证的原则,在认证之前,所有资源均不可见。此外,零信任通过细粒度的访问控制手段、可视化的策略管理能力和不落地的数据防泄露技术,提供按需、动态的可信访问,同时基于身份实行严格的访问权限控制和对所有入网设备的安全可控。WAF是SQL注入攻击的第一道防线,而零信任可以在最初就减少这种现象发生的概率,零信任与WAF相比可以为企业提供更加广泛的保护。

零信任远程办公方案的优势

随着当下环境发展到由更复杂的应用程序和终端组成,基于边界防护的安全体系将失去有效的洞察力和控制力,而零信任安全被认为是解决现阶段网络安全问题的最佳解决方案。零信任在远程办公的安全性上的优势,主要有以下几个方面:

1)零信任访问:实现所有用户接入前统一认证,即先认证、再连接,隐藏应用减少攻击面。

2)细粒度的按需授权:进行多层级细粒度的授权,实现全面最小按需授权。

3)动态风险评估:实时评估终端环境、用户行为等风险,发现异常立刻触发响应,形成闭环。

基于零信任理念的远程办公方案,可以最大程度的让员工拥有内外网一致的办公体验。通过零信任方案,让终端用户可以直接在公网进行认证之后,访问授权的企业应用,而不会因为网络的连通性而影响办公效率。

过去,在安全和便捷之间,我们总是很难达到一个理想的平衡,但是现在基于零信任理念而产生的远程办公方案,对企业来说可以提高安全性,对企业员工来说有更高的易用性,拥有更完美的体验,提高工作效率。

每日必读

专题访谈

合作站点