VPN替代品需要具備的五大安全要素
時間:2019-12-12
賬戶入侵威脅和性能瓶頸促使公司企業(yè)實現(xiàn)新的網(wǎng)絡(luò)安全模型�����。
多年來�,虛擬專用網(wǎng) (VPN) 和防火墻的組合���,是公司企業(yè)尋求安全互聯(lián)網(wǎng)連接的模型之選�。而該模型也歷經(jīng)時間檢驗,堪稱成功典型�����。
然而��,邊界安全幾近消亡的時代����,加速了兩個趨勢:
首先�����,利用用戶瀏覽習(xí)慣獲取企業(yè)內(nèi)網(wǎng)立足點的攻擊復(fù)雜性不斷增長�。一旦進入,攻擊者可巡游企業(yè)內(nèi)網(wǎng)�����,查找可以入侵或盜取的資產(chǎn)����。
其次,應(yīng)用從內(nèi)部部署到托管于云端的轉(zhuǎn)變���。
通常����,遠程員工的流量通過 VPN 回傳至企業(yè)數(shù)據(jù)中心或分公司,然后通過另一 VPN 連接從合適的互聯(lián)網(wǎng)路徑重新路由至云端 IT 服務(wù)�����。此類回傳很慢����,且會增加額外的成本、復(fù)雜性和故障點�。
為解決這些威脅,克服性能瓶頸�����,公司企業(yè)試圖找尋或多或少具備以下五個元素的 VPN 替代品:
No.1:分布式網(wǎng)絡(luò)安全
構(gòu)建 VPN 安全模型的第一步��,是去除集中式防火墻及相關(guān)流量回傳的需求����。該新方式將單個工作站和移動設(shè)備連接至基于云的防火墻服務(wù)。這些連接需在后臺以始終在線的方式維護�����,無需終端用戶任何互動。
這種架構(gòu)要求服務(wù)提供商具備健壯的網(wǎng)絡(luò)���,保障終端用戶無論身在何處都能體驗優(yōu)良網(wǎng)絡(luò)性能����。同時����,該架構(gòu)還應(yīng)使安全經(jīng)理能夠訪問自己慣于在傳統(tǒng)防火墻中看到的那種日志��、儀表板和安全控制���。
No.2:應(yīng)用訪問代理
復(fù)雜代理是該新安全架構(gòu)的基本元素�。這些代理需經(jīng)恰當(dāng)設(shè)計�,賦予企業(yè)用戶通過 Web 瀏覽器輕松訪問內(nèi)部應(yīng)用的能力。用戶應(yīng)能無需經(jīng)歷繁瑣 VPN 客戶端連接建立過程�����,僅簡單輸入 URL 便可達成內(nèi)部應(yīng)用訪問目的���。
同時����,這些代理還能保護應(yīng)用不受互聯(lián)網(wǎng)威脅侵擾,讓 IT 部門完全掌握誰在什么時候從什么地方使用哪些服務(wù)的信息——所有一切都基于企業(yè)策略����、設(shè)備和用戶身份及設(shè)備配置。該架構(gòu)使 IT 在提供可靠服務(wù)的同時還能集中管理應(yīng)用��。
其核心是代理需要 HTTPS 網(wǎng)關(guān)驗證用戶身份�,保護應(yīng)用。理想情況下���,該網(wǎng)關(guān)基于設(shè)備及其用戶的唯一身份�����,為每個工作站和移動設(shè)備自動提供加密客戶端證書���。
No.3:用戶和設(shè)備身份驗證
想平滑安全運行云托管的應(yīng)用,作為支撐的網(wǎng)絡(luò)安全架構(gòu)應(yīng)采用多因子身份驗證 (MFA) 授予或拒絕用戶對應(yīng)用的訪問權(quán)�。同時,應(yīng)監(jiān)視并審計終端設(shè)備及其行為��,包括系統(tǒng)狀態(tài)和配置信息。設(shè)備狀態(tài)及行為可見性可用于確定風(fēng)險和是批準(zhǔn)還是拒絕設(shè)備訪問權(quán)���。
最后����,須防止非托管設(shè)備��、自帶設(shè)備和物聯(lián)網(wǎng)機器連接這些應(yīng)用����。
No.4:零信任
企業(yè)網(wǎng)絡(luò)不會徹底消失,它們面臨的威脅也不會��。出于這個原因�,需要清除內(nèi)部網(wǎng)絡(luò)的信任�����,防止威脅橫向擴散����。實現(xiàn)零信任需要動態(tài)網(wǎng)絡(luò)分隔,并且隨用戶和主機互動實時在每個終端上實施防火墻策略�。理想狀態(tài)下����,策略應(yīng)圍繞用戶和設(shè)備身份����,以及傳統(tǒng) IP 地址、端口和協(xié)議做出調(diào)整更新����。
現(xiàn)實世界中,零信任分隔意味著不同團隊的兩位不同用戶可接入同一局域網(wǎng)�,而擁有對不同資源的訪問權(quán)。此類分隔極大增強了安全人員響應(yīng)潛在威脅的速度和準(zhǔn)確性���。
No.5:持續(xù)監(jiān)視及報告
如今���,企業(yè)網(wǎng)絡(luò)安全項目的功能偏向于滿足合規(guī)要求。但同時�����,這些項目越來越分散�,增加了 IT 部門有效監(jiān)視安全控制的難度。
后 VPN 安全架構(gòu)可很大程度上緩解,甚至全然消除此類監(jiān)視難題�����,方法就是持續(xù)收集每個網(wǎng)絡(luò)防火墻和終端設(shè)備上所用安全控制的數(shù)據(jù)�。另外,該情報可用于證明 NIST�����、PCI�、HIPAA、CIS 等監(jiān)管和安全框架合規(guī)情況���。
盡管廣泛采用且有效���,傳統(tǒng)防火墻和 VPN 很難跟上企業(yè)網(wǎng)絡(luò)架構(gòu)、用戶訪問模式和混合現(xiàn)場/云端托管資源的發(fā)展�。將傳統(tǒng)防火墻和 VPN 的諸多安全控制、策略實施和聯(lián)網(wǎng)元素置于云端的分布式方法����,便作為很有吸引力的替代方法興起了�。(安全牛)
在線咨詢
在線咨詢
0371-63319761