【導語】每一個時代,都在賦予“安全網絡訪問”新的定義。留給IT和安全管理者的選項只剩兩個,要麼去顛覆,要麼被顛覆。
嚴峻的疫情形勢帶來重大社會變革,如果說有什麼正面意義的話,從某種程度上來說,它將遠程辦公風口提前引爆,就此正式拉開了“移動雲安全”時代下中國數字化轉型的大幕。
疫情催生出一場史詩級的全民遠程辦公,在這一行業新常態刺激之下,全球企業VPN(虛擬專用網絡)需求激增。自VPN面世以來,通過為企業提供加密的安全通信信道與數據傳輸渠道,“VPN+防火牆”的組合成為傳統企業網絡安全互聯的最佳搭配。
可以說,遠程辦公能夠實現的核心就是VPN。遠程用戶或商業合作伙伴可通過 VPN 隧道穿透企業網絡邊界,訪問企業內部資源,即使不在企業內部也能享有本地訪問權限。
VPN不再安全:漏洞攻擊頻頻發生
最近,360安全大腦獨家捕獲一起境外APT組織Darkhotel(APT-C-06),利用某VPN服務商設備漏洞,實現入侵劫持並下發惡意文件的APT攻擊活動,我國多處駐外機構及相關政府單位遭遇不同程度的攻擊。
這個實打實的APT攻擊報告,暴露了VPN在設備層面的安全風險:網絡犯罪分子通過掃描發現未打補丁的大量VPN設備,獲得遠程訪問的權限後,查看管理日誌,獲得管理員密碼,進而訪問整個網絡,禁用多因素認證手段,從而使得整個IT系統癱瘓。
然而,這樣的做法並非孤例,傳統VPN現在已成為網絡犯罪分子的最愛目標,此類安全事件也變得越來越普遍。
當然,VPN本身的漏洞只是不安全性的第一層面,“無邊界”衝擊才是VPN不能滿足政企安全需求更為致命的原因。
什麼是“無邊界”?
在過去,傳統的安全架構會虛構一個很清晰的“內外邊界”,它被視為企業安全的“護城牆”。就像企業的服務器和終端設備主要應用在內網之中,並在數據中心的邊界部署一堵“牆”來阻止外部威脅——這也就是大家熟知的基於防火牆物理邊界的防禦模型。
現如今,傳統的安全邊界正在失效。更進一步來講,是雲計算、移動互聯網、IoT、5G等新技術的崛起,使企業的IT架構從“有邊界”向“無邊界”轉變。
這其實非常好理解,假如企業要擁抱雲計算,就不可能把所有云都裝到自己的防火牆裡;假如企業要擁抱移動辦公、IoT,也不可能把防火牆修到每個端點;假如企業還要擁抱大數據、人工智能,就不可避免與外部合作伙伴發生數據的交換……因此,防火牆這種物理安全邊界已經過時。
說到這裡,我們就不得不提及一個關於VPN構建和部署的前提,那就是基於企業邊界。VPN的整個人為設定是“內網可信,外網高危”。換言之,VPN依賴“邊界”作為安全判別,並授予那些遠程訪問和移動員工隱式或顯式信任,只要是邊界之內的局域網用戶就“天然可信”。
這種VPN的過時認知是致命的,會給攻擊者留出更廣闊的攻擊空間。因為“無邊界”之下,意味著威脅來自任意位置,任何設備或被盜用戶憑證都有可能被用作入侵網絡的支點。即便是內網,危險性也很大,更大的網絡攻擊面、更復雜的網絡攻擊裹挾著安全威脅也隨之而來。
時代變了,網絡訪問的遊戲規則也變了。“邊界下的訪問”走到了盡頭,不過,廠商們是冷靜的,它們還是找到了適合這個時代的生存法則。某種意義上,“零信任”就是目前最理想的方式。
零信任,顧名思義,其核心思想是不信任網絡內外部任何人、設備、系統,該模型具有“永不信任,始終驗證”的原則。它要求在授予訪問權限之前,對試圖連接到企業的應用程序或系統的每個人、設備、帳戶等進行驗證。
零信任安全,是以身份為中心,進行網絡動態訪問控制,在當前基於邊界的企業安全防護體系正在消弭的背景下,零信任安全已成為下一代主流安全技術路線,因為,零信任的前提是不信任,只有不相信任何人,才能去相信你能夠相信的。
在傳統安全機制不能滿足企業移動性、動態性、實時性要求時,一場“雲時代”、“無邊界”時代背景下的網絡安全架構的技術革命正在進行。基於“零信任”的SDP技術正在替代VPN技術。
SDP的全稱是Software Defined Perimeter,即“軟件定義邊界”,是國際雲安全聯盟CSA於2013年提出的基於零信任(Zero Trust)理念的新一代網絡安全模型。
企業訪問權限的賦予,不應該是靜態的“信任假設”,而應該是動態的“實時控制”。所以,SDP零信任的設計理念正是“先鑑權、後聯接、再訪問”。這是以用戶身份為中心,不再區分內網和外網,所有的連接都是零信任的,甚至建立連接之後,每一個互訪都要進行再次的驗證。
SDP技術正在發揮出更多的技術優勢,尤其是“零信任”時代,SDP技術甚至正在牽引遠程訪問的新定義。
首先,我們看一下SDP的安全優勢:
(一)最小化攻擊面,降低安全風險。儘管公司員工、外包人員、合作伙伴等內部設備不斷增加,但SDP的所有用戶和設備都受到訪問控制,甚至精確到如複製、截屏、打印此類最容易信息洩露的訪問行為,能做到顆粒度更小的風險監測;
(二)具備網絡隱身功能,避開潛在網絡攻擊。一方面IT管理者可屏蔽虛擬邊界之外的特定用戶,同時最小化網絡端口的開放,以減少因為網絡協議自身漏洞造成的攻擊,這樣可有效避免網絡攻擊面,提高全域網絡安全;
(三)允許預先審查,安全性能大幅提升。SDP提前審查控制所有連接,從哪些設備、哪些服務、哪些設施可以進行連接,都必須預先獲得相應權限的“通行證”,所以它整個的安全性方面是比傳統的架構更有優勢。
另一方面,從企業運營角度來看,SDP技術的運營優勢同樣兼顧了企業的發展需求:
眾所周知,以VPN為核心傳統企業網絡安全模型需要大量設備和人力去運營,成本高且靈活性差。而SDP的運營優勢在於,不僅為企業降低設備採購和支持的成本,以及工作人員操作設備的複雜性,甚至提高IT運維靈活性,更快滿足、響應業務和安全需求。
除此以外,SDP和雲架構也能“無縫銜接”。SDP通過降低所需的安全架構,支持公有云、私有云、數據中心或混合雲環境中的應用程序,可以幫助企業快速、可控和安全地採用雲架構。
基於上述安全與運營多重優勢,360安全大腦圍繞SDP技術為企業定向打造“360安全接入雲”,以最小權限和最短授權為原則,集成SDP接受主機(AH)和SDP控制器功能以及對接可選認證、授權服務和風險持續評估等,並通過360安全大腦為其安全實力賦能,建立一個完整的安全接入平臺。
簡單來說,360安全接入雲正是為企業構建起一個虛擬邊界,將企業內網業務、外網SaaS服務統一納入安全資源池進行SDN調度管理,形成映射IP,同時將企業辦公終端、BYOD、瀏覽器等接入平臺管理,解析成公網ip 。
“360安全接入雲”平臺架構部署圖說明如下:
1、在受保護的業務系統設置ACL,只允許磐雲系統的IP地址訪問該業務系統;
2、將受保護的業務系統放到公網,分配公網IP地址;
3、在三六零磐雲安全防護系統中添加受保護的業務系統域名解析記錄;
4、磐雲系統生成對應的映射IP地址;
5、在三六零企業瀏覽器管理後臺配置私有DNS解析記錄,將業務系統域名指向磐雲系統生成的映射IP;
6、在三六零企業瀏覽器管理後臺配置業務應用導航(系統名稱+系統域名)。
這樣一來,企業用戶在通過身份驗證或設備驗證後,即可獲取響應的配置策略,用戶訪問受保護的業務系統時,平臺將根據映射關係做解析,將數據包發送給企業業務系統並回傳數據,最終呈現給用戶。
在整個訪問過程中,企業用戶可以放心地從公司內網獲取信息、數據,最大程度增強了企業網絡互聯的安全性。總體來看,360安全接入雲可總結出以下四大安全優勢:
1、 幫助企業應用和服務器在網絡上實現隱身,減少客戶業務系統被攻擊的風險;
2、 為企業提供一種更靈活的VPN替代方案,使遠程辦公更便捷、更安全;
3、 助力企業業務發展,為企業用戶訪問應用提供一致的體驗,與用戶當前所處的網絡位置無關;
4、 通過360安全大腦的賦能,對接漏洞雲、知識庫雲、威脅情報雲和多維分析引擎中的查殺雲、沙箱雲和分析雲。
從企業角度來看,遠程辦公需要綜合考慮成本與安全問題,其中包括多應用流量問題、高安全性問題和低成本的問題,360安全接入雲利用基於身份的訪問控制機制,為企業應用和服務穿上“隱身衣”,有效保護企 業核心資源和數據的安全。憑藉獨特的安全與穩定、高效率與低成本優勢,360安全接入雲成為接替傳統VPN網絡模型的更優選擇。
變革永遠存在,安全威脅也是如此。抗疫形式下的遠程辦公,迫使企業加速尋求一條更加安全、高效的路徑應對潛在的安全威脅。
新時代下的變革,賦予企業網絡安全更加創新、豐富的內涵,基於企業安全需求這一出發點,360安全大腦憑藉多年積累的安全防護經驗與技術優勢,率先採用零信任理念,建設360安全接入雲,阻止企業內部威脅橫向擴散,為企業用戶創建一個獨特的內網生態,使終端設備、傳輸信道和身份權限形成完整閉環,以保證安全、穩定訪問企業內部資源、數據,為企業遠程辦公打造一個無邊界的安全入口。
閱讀更多 360安全衛士 的文章
