零信任时代,分支机构的网络安全该怎么搞?

  • A+
所属分类:云安全

1、分支机构的现状


大中型企业一般都有分支机构,分公司、办事处、营业网点、连锁零售店、维修点等等。


一直以来,分支机构场景下的网络技术都没有什么变化,还是几年前的那些老技术。通过MPLS专线或者IPSec  VPN,把分公司员工跟总部数据中心的业务系统连接在一起,如下图。

零信任时代,分支机构的网络安全该怎么搞?


2、时代变了


如果业务系统只存在于数据中心,不需要其他连接的话,这种架构看起来还不错。


但是今天我们的IT架构已经不再是这样了。人们需要访问的信息不止存在于数据中心。很多内部业务系统已经迁移到了云端。


(1)SaaS:很多公司的HR管理系统、报销系统都是采用了SaaS服务。


(2)IaaS/PaaS:很多公司内部开发的业务系统部署在了云服务上,可能是阿里云,可能是腾讯云,或者一些政务云上。享受IaaS或PaaS云服务带来的便利。


(3)互联网:上网是正常工作必备的条件。员工需要查资料,下载软件等等。


在这种网络架构下,分支机构的员工想访问SaaS服务的时候,流量是从总部数据中心分流出去的,如下图。例如,大连的员工,访问互联网的出口可能是在上海。

零信任时代,分支机构的网络安全该怎么搞?


总部数据中心成了网络中心中转点,所有安全设备也都部署在总部,如下图。防火墙、入侵检测、上网行为管理、VPN等等都部署在总部的数据中心,以此保证用户的访问安全。

零信任时代,分支机构的网络安全该怎么搞?


3、传统架构的安全挑战


上述的这种传统的网络安全架构并不适应新时代的需求。


整个架构显得臃肿不堪。


(1)体验问题:用户访问SaaS应用要先回总部再出去,连接过程中有很多不必要的额外的开销,最终必然导致用户体验的降低。


(2)安全问题:传统架构的基本假设是——内网安全,外网不安全。但是在今天看来,这种假设是不对的。


传统架构的安全思路是,把分公司和总部打通成一个内网,只有员工能进内网,所以默认内网是安全的。再在内外网之间部署一堆安全设备,把威胁拦在外部,不让威胁进入内网。这样内网就完全安全了。

零信任时代,分支机构的网络安全该怎么搞?


传统的依赖于内外边界的安全理论已经不再适用于今天的场景。


(1)内部威胁:各类APT攻击的泛滥,勒索病毒的肆虐,来自企业内部的威胁日益增加。员工可能会把互联网上的病毒带到公司内网里来。


(2)云的流行:而且随着应用上云的趋势,业务系统也慢慢在脱离内网,无法再受到内网本地的安全设备保护。


(3)移动办公:访问者可能来自任何时间任何地点。这大大增加了企业网络的攻击面。

零信任时代,分支机构的网络安全该怎么搞?


4、如何应对挑战?


内外边界已经不再适用,我们需要一个更灵活的安全架构。无论用户身在何地,无论用户要访问什么应用,都应该能够非常灵活的受到安全架构的保护。


目前业界最新的安全架构就是“零信任”。零信任顾名思义就是对任何人都不信任,无论用户在哪,要访问什么应用,只有经过最严格的身份认证,才能获得授权,连接企业的数据资产。


分支机构场景下,零信任架构本身可以是基于云端的,如下图。原来总部的安全设备都可以挪到云端,形成一个“零信任安全云”。

零信任时代,分支机构的网络安全该怎么搞?


(1)分布式提升效率


零信任安全云可以是分布式的。在全国各地部署节点,让各地的分支机构可以就近接受安全服务。这样安全服务的效率更高,用户访问速度更快。

零信任时代,分支机构的网络安全该怎么搞?


(2)先验证,后连接,更安全


传统架构下,分支机构员工是直接接入内网的,很多业务系统都是直接暴露的,没有设防。


零信任架构下,无论用户在内网还是外网,用户都要先进行认证之后,才能连接业务系统。用户发出的任何网络请求都要经过“零信任安全云”的检验,验证合法之后才能转发到业务系统。


未认证时,用户只能连接到“零信任安全云”,连接不到内网的业务系统。


在内网零信任架构下,不经过零信任的身份认证的话,用户连登录页都打不开。TCP的三次握手都会被拒绝连接都建立不起来。


零信任安全云的检验包括两部分:身份验证和授权验证。证明自己是谁,什么部门,什么角色,确实有访问权限,才能碰触到业务系统。


零信任时代,分支机构的网络安全该怎么搞?


(3)应用层准入,减小攻击面


分支机构里面的电脑一般很难有效管控。


针对这种非管控设备,企业可以让员工使用零信任的应用层准入方案。只给分支机构员工访问web页面的权限,不暴露其他协议和端口的资源。


这样安全风险就降到了最低。


零信任时代,分支机构的网络安全该怎么搞?


而且,只提供应用层的准入的话,用户是不需要安装客户端的。这大大降低了分支机构员工的使用难度。IT部推广的难度也降低了。;-)


分支机构需要使用的系统一般都是B/S架构的,比较轻量。所以限制分支员工只能访问web页面,也能满足使用需求。


(4)异常检测


门店员工的上班时间、地点和工作内容一般是比较固定的。异常行为很容易被察觉。


零信任有个理念是永远假设用户已经被入侵了。所以零信任要求对用户进行持续不断的验证。


每次用户发出请求,零信任安全云的异常行为识别模块都会进行对比分析。发现可以情况随时触发报警,甚至把用户隔离。


例如,店员一般都在晚上用门店的电脑上传销售数据。但有一天用户突然在另一个电脑上,半夜登录了业务系统。这就非常可疑了。系统可以立即触发一次短信验证,否则不能继续访问。


零信任时代,分支机构的网络安全该怎么搞?


5、与传统安全的集成


零信任不是改朝换代的全新技术。零信任可以集成很多传统安全设备。例如,入侵检测、防病毒等等依然可以放在零信任安全云里面发挥作用。


零信任的身份认证可以集成MFA(多因子身份认证)来增强认证强度,集成SSO(单点登录)来提升用户体验。


零信任不只是安全接入,也可以保护用户的安全上网。通过集成上网行为管理等功能,屏蔽恶意网站,保护用户不被互联网上的木马病毒和钓鱼网站攻击。


零信任时代,分支机构的网络安全该怎么搞?


6、云原生的零信任架构


看过我文章的朋友肯定知道我对云安全非常推崇。零信任天生就该是云原生的。云的好处实在太多了。


(1)复杂性降低


分支机构的整个访问过程都是基于互联网的,分支机构和总部之间不用部署网络线路,网络结构变得非常简单。


(2)灵活性提高


如果安全服务都能跑在普通服务器上的话,灵活性就大大增加了。例如把常用的服务打成一个镜像。每次在一个新的省市新开门店,就在云上挑选距离当地最近的虚拟机,直接镜像全套安全服务过去,就完事了。不用折腾硬件,不用找厂家来回调试了。


零信任时代,分支机构的网络安全该怎么搞?


(3)威胁更远了


当你在分支机构当地部署安全云的时候,实际上是让安全服务离分支更近,让威胁离总部更远。


威胁从分支机构开始,要打穿当地的安全云节点,再入侵到总部的安全接入点,再杀进去才是业务系统。


整个战线拉长了,战略纵深增加了。


零信任时代,分支机构的网络安全该怎么搞?


7、总结


分支机构场景非常适合零信任架构的落地。零信任安全云跟传统的IPSec VPN硬件相比,有很多优势。

(1)首先就是更安全,不再是直接将用户置于内网,而是通过零信任策略验证后接入。

(2)其次就是体验的提升,零信任安全云可以支持更大的并发,用户访问速度会提升

(3)最后是成本上的降低,用了安全云就不用硬件了,会省掉很多麻烦


文章来源:白话零信任




后台回复“进群”加入安全内参热点讨论群,获取第一手网络安全热点资讯。


零信任时代,分支机构的网络安全该怎么搞?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: