欢迎光临广东齐思达信息科(kē)技有(yǒu)限公司官方网站!

齐思达信息科(kē)技

广东齐思达信息科(kē)技有(yǒu)限公司成為(wèi)值得您信赖的贴心系统集成商(shāng)

全國(guó)服務(wù)热線(xiàn):

0757-23819339

新(xīn)闻动态

了解最新(xīn)公司动态及行业资讯

首页>新(xīn)闻动态>行业资讯

返回列表

热门关键词: 信息安全    云计算    弱電(diàn)工程    机房建设    IT基础架构   

零信任=VPN?只能(néng)做遠(yuǎn)程办公?深信服零信任坦诚解答(dá)您的疑问

日期:2023-07-11    阅读数:445


“从来不是遠(yuǎn)程办公淘汰了现场办公,而是高效代替了低效。”各行各业数字化转型,追求的必然是更高效的工作方式,由此催热了“零信任”的概念。


各安全厂商(shāng)百家争鸣,演进了多(duō)条技术路線(xiàn)(SDP、IAM、MSG 等),以期用(yòng)零信任架构,护航用(yòng)户遠(yuǎn)程办公的安全接入。

然而,大部分(fēn)用(yòng)户仍旧认為(wèi)零信任的落地难度和演进方向都是不明确的:


● 对于还在观望的用(yòng)户来说,停留于一个固有(yǒu)观念:“零信任只能(néng)解决遠(yuǎn)程办公的安全问题”,零信任不就是“更安全一点”的VPN吗?


● 对于已经初步入局的用(yòng)户,同样也存在疑惑:落地遠(yuǎn)程办公场景后,下一步要怎么办?


面对您的疑问,深信服零信任决定来一次全面解读。

深信服的「零信任观点」

管控风险重构访问控制體(tǐ)系

观点一:关于零信任与VPN的能(néng)力界定

零信任≠VPN,零信任聚焦的是“主體(tǐ)到客體(tǐ)的访问控制和数据保护”,主要解决业務(wù)安全访问的问题,接入能(néng)力只是零信任的子集。

过去我们通过不同类型的安全设备来进行访问控制,包括防火墙、交换机、路由器、SSL VPN 等。


经过多(duō)年的发展,传统的访问控制机制开始暴露出诸多(duō)弊端,主要有(yǒu)两个方面:

1.在传统身份认证机制下,先授权网络连接和访问,再进行身份认证,导致业務(wù)对外暴露。

2.基于 IP/MAC/VLAN 设置 ACL,难以与真实用(yòng)户进行关联;身份与权限对应静态且粗放,难以做到细粒度权限管控。


当我们进一步剖析,上述问题的本质都是“主體(tǐ)到客體(tǐ)的访问控制存在着安全风险”

1.jpg

在南北向访问中,过去通过 SSL VPN 实现遠(yuǎn)程安全接入,但SSL VPN 在安全性/大并发等方面的能(néng)力,越来越难以满足数字化转型趋势下的用(yòng)户需求。


而零信任聚焦业務(wù)安全接入,从身份、终端、连接、权限、数据和行為(wèi)等不同维度,帮助用(yòng)户安全访问业務(wù),构筑了基于端到端多(duō)维度信任评估的访问控制链条。

2.jpg

區(qū)别于以传统的 IP/MAC/VLAN 等方式判定网络边界,零信任基于身份构建更细粒度的网络边界,让业務(wù)的访问方式和信任判定方式更加完善和全面。


理(lǐ)解了这一点,我们就能(néng)达成一个共识:零信任所聚焦的建设范围实际上是用(yòng)户的整个办公网络,而不仅仅是遠(yuǎn)程接入场景。


举个例子来说,SSL VPN 和零信任,好比是计算器和计算机,二者都做数据运算,但计算器只能(néng)做加减乘除,而计算机有(yǒu)着更多(duō)的扩展空间,不论是能(néng)力扩展,还是场景扩展,都会存在差异,且随着后续的发展,差异也会越来越大。

3.jpg

观点二:关于零信任建设场景选择

零信任不止于遠(yuǎn)程办公,遠(yuǎn)程办公是初尝零信任适合切入的场景,后续可(kě)以逐步扩展分(fēn)支、内网、特权访问等场景。

引入一套新(xīn)的技术架构,势必犹如平地一声雷,给原有(yǒu)的网络架构带来冲击。


站在助力用(yòng)户领先一步落地的视角,过去我们提出“以零信任替换 VPN”,从遠(yuǎn)程办公场景切入,既是考虑到用(yòng)户需求的紧迫性、对业務(wù)影响范围较小(xiǎo),也考虑了实际落地难度。这也已经成為(wèi)当前业界的共识。


然而,遠(yuǎn)程办公零信任落地后,我们还在思考:用(yòng)户可(kě)能(néng)还存在着哪些问题?这些问题可(kě)以通过零信任架构解决么?

安全防护不完整,内网暴露面依然存在

在整體(tǐ)网络架构中,遠(yuǎn)程办公只是一个相对独立的场景,用(yòng)户的业務(wù)访问方式没有(yǒu)发生质的改变,依旧是先连接、后认证。一旦攻击者突破边界,整个内网将完全暴露。无论是攻防演练所暴露出的问题,还是真实世界中发生的网络安全事件,都在不断警示着我们:大部分(fēn)安全事件的源头都来自于内部。

接入體(tǐ)验不一致,用(yòng)户访问體(tǐ)验割裂

大部分(fēn)用(yòng)户很(hěn)重视从外到内的安全接入,但内部业務(wù)访问逻辑却相对简单,且接入方式复杂多(duō)样,包括网络准入、云桌面 VDI、PC 等,不仅需要来回切换,还引入了多(duō)套身份體(tǐ)系,增加了安全风险。同时,伴随着企业数字化转型,业務(wù)部署方式发生变化,多(duō)机房、混合云的环境使得传统的 SSL VPN 难以满足用(yòng)户随时随地的接入访问需求。

运维管理(lǐ)难度大,多(duō)套设备来回切换

多(duō)套安全接入产品,势必会造成不同设备访问策略管理(lǐ)的复杂度持续上升,需要投入更多(duō)的人力和时间成本,违背企业“降本增效”的经营逻辑。

4.jpg

相信以上问题,诸多(duō)用(yòng)户都有(yǒu)共鸣。如何解决,才是关键。


為(wèi)了给广大用(yòng)户提供更合理(lǐ)可(kě)行的解决方案,深信服以自身进行验证,在短短一年时间内,完成了集团内部零信任建设,实现基于零信任架构的内外网统一接入(点击跳转:深信服零信任的0号样板点。无论用(yòng)户身处何种网络,只有(yǒu)通过零信任的安全认证和访问代理(lǐ),才能(néng)访问后端业務(wù)。


去年,我们也开始帮助用(yòng)户逐步向更广泛的场景进发:分(fēn)支接入、开发测试、安全运维、内外网统一接入等,在各行各业打造典型案例,成為(wèi)國(guó)内零信任落地数量第1、单客户百万并发规模的网络安全厂商(shāng)。(点击跳转:落地数量第1,深信服零信任获中國(guó)信通院“最受行业欢迎厂商(shāng)”


如今,越来越多(duō)的用(yòng)户已经将零信任取代了传统的 SSL VPN,并且享受到了零信任所带来的安全效益,因此我们為(wèi)用(yòng)户提供的切实建议是:


基于访问主體(tǐ)和客體(tǐ),统一规划,在平稳完成遠(yuǎn)程办公场景零信任建设后,可(kě)以逐步切换到分(fēn)支接入、特权访问、办公内网等场景的零信任建设,逐步解决上述问题。

5.jpg

观点三:关于零信任架构的实现方式

零信任是一个架构體(tǐ)系,面向不同的访问主體(tǐ)和访问客體(tǐ),可(kě)以选择不同“搭建方式”。

值得关注的是,作為(wèi)网络安全體(tǐ)系中信任评估和访问控制的全局性框架,零信任架构的演进性和生長(cháng)性是关键,需要随着业務(wù)范围的扩展,进行灵活、快速、低成本的适配。


零信任架构并非单个产品就能(néng)完全实现的,基于大量用(yòng)户实践的探索,深信服能(néng)够為(wèi)用(yòng)户提供不同组合的搭建方案:

零信任+桌面云,打造安全数字化工作空间

提供“5A+S级”Workspace办公體(tǐ)验,构建融合多(duō)种不同安全级别应用(yòng)的数字化工作平台,在同一工作平台中实现不同密级应用(yòng)的一站式访问,為(wèi)办公安全与體(tǐ)验上一份“双重保险”。

6.jpg


【案例】银联商(shāng)務(wù)(点击跳转:守“沪”金融,背后的力量


面对银联商(shāng)務(wù)3-4级分(fēn)支公司、超1000人规模的员工,零信任aTrust与桌面云VDI、安全沙箱UEM等创新(xīn)结合,為(wèi)数字化安全办公平台的基座砌上更坚实的砖瓦。

零信任+终端数据安全沙箱,实现泄密风险防护

综合虚拟网络域、办公空间、透明加解密、数据导出/外发管控、内存拷贝管控、屏幕水印等技术,实现终端数据泄密防护。

7.jpg

【案例】广州银行信用(yòng)卡中心(点击跳转:落地零信任,助力业務(wù)高韧性发展


基于丰富的认证手段与持续检测终端安全基線(xiàn),将终端划分(fēn)不同的工作空间,通过零信任aTrust 网关和控制中心,实现强认证以及数据不落地,保障业務(wù)安全接入与终端数据防护“两手抓”。


最后,您可(kě)能(néng)还会有(yǒu)一个终极问题:

使用(yòng)零信任就绝对安全了吗?


答(dá)案显然是否定的。安全风险只能(néng)“转移”,不会凭空“消失”。


当然,深信服零信任也持续思考和探索“如何将安全风险最小(xiǎo)化”,以不断沉淀的技术实力与不断增强的产品能(néng)力,诠释安全接入的全新(xīn)范式,助力用(yòng)户“安全领先一步”。相信不久后,我们将给您带来一份全新(xīn)答(dá)卷。



原文(wén)链接:零信任=VPN?只能(néng)做遠(yuǎn)程办公?深信服零信任坦诚解答(dá)您的疑问

分(fēn)享到: