(CWW)進(jìn)入2022年,零信任理念加速落地,越來(lái)越多的企業(yè)希望基于零信任理念建設(shè)或改造網(wǎng)絡(luò)安全防護(hù)體系。零信任理念是一個(gè)整體的架構(gòu),包含諸多技術(shù)和組件,安全廠商會(huì)根據(jù)用戶的實(shí)際需求、結(jié)合自身的技術(shù)優(yōu)勢(shì),推出有特色的零信任產(chǎn)品,零信任安全網(wǎng)關(guān)就是其中最具代表性、應(yīng)用最為廣泛、技術(shù)最為全面的產(chǎn)品之一。
一、什么是零信任網(wǎng)關(guān)零信任安全網(wǎng)關(guān)是零信任架構(gòu)最核心的部分,通常部署在網(wǎng)絡(luò)入口或應(yīng)用服務(wù)前端,分隔用戶和資源,對(duì)所有流量強(qiáng)制執(zhí)行訪問(wèn)控制策略。零信任安全網(wǎng)關(guān)通常包含安全客戶端、動(dòng)態(tài)訪問(wèn)控制引擎、智能安全大腦、身份管理等組件,采用應(yīng)用代理、SPA單包授權(quán)、增強(qiáng)型身份管理和AI等技術(shù),具備應(yīng)用訪問(wèn)代理、應(yīng)用資源隱藏、訪問(wèn)主體多維認(rèn)證、動(dòng)態(tài)訪問(wèn)控制、數(shù)據(jù)安全傳輸、訪問(wèn)日志審計(jì)、API安全防護(hù)等功能,在提高應(yīng)用訪問(wèn)安全性的同時(shí)簡(jiǎn)化接入過(guò)程,提升業(yè)務(wù)效率。
零信任安全網(wǎng)關(guān)按照架構(gòu)與應(yīng)用場(chǎng)景的不同,以安全應(yīng)用網(wǎng)關(guān)、安全API網(wǎng)關(guān)、訪問(wèn)控制網(wǎng)關(guān)、安全接入網(wǎng)關(guān)等多種形態(tài),被廣泛應(yīng)用于金融、政府、運(yùn)營(yíng)商、互聯(lián)網(wǎng)、教育、能源、電力、醫(yī)療等行業(yè)中。
(相關(guān)資料圖)
二、零信任網(wǎng)關(guān)核心功能零信任安全網(wǎng)關(guān)以軟件定義的方式構(gòu)建基于身份的安全邊界,對(duì)每一次業(yè)務(wù)訪問(wèn)請(qǐng)求進(jìn)行持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制,真正做到“持續(xù)驗(yàn)證、永不信任”。零信任安全網(wǎng)關(guān)通常具備以下核心功能:
1.應(yīng)用訪問(wèn)代理
零信任安全網(wǎng)關(guān)通過(guò)對(duì)用戶訪問(wèn)和API調(diào)用的統(tǒng)一代理,對(duì)外僅暴露網(wǎng)關(guān)IP和端口,收斂應(yīng)用服務(wù)的網(wǎng)絡(luò)暴露面。
2.應(yīng)用資源隱藏
零信任安全網(wǎng)關(guān)采用SPA單包授權(quán)技術(shù),默認(rèn)拒絕一切連接,不響應(yīng)未經(jīng)過(guò)驗(yàn)證設(shè)備和用戶的訪問(wèn)請(qǐng)求,使攻擊者無(wú)法找到服務(wù)地址和端口。SPA單包授權(quán)技術(shù)與應(yīng)用訪問(wèn)代理配合,實(shí)現(xiàn)網(wǎng)關(guān)自身和應(yīng)用資源的雙重隱藏,讓企業(yè)“網(wǎng)絡(luò)隱身”。
3.多維身份認(rèn)證
支持靜態(tài)密碼、動(dòng)態(tài)口令、生物識(shí)別、社交認(rèn)證、App掃碼認(rèn)證及數(shù)字證書等多種認(rèn)證方式,可自定義登錄策略,能夠?qū)崿F(xiàn)單點(diǎn)登錄、多因素認(rèn)證、免密認(rèn)證等功能,提升用戶認(rèn)證的安全性和體驗(yàn)性。
4.動(dòng)態(tài)訪問(wèn)控制
零信任安全網(wǎng)關(guān)部署在用戶和資源之間,綜合身份、設(shè)備、行為等維度的風(fēng)險(xiǎn)信息,通智能安全大腦和動(dòng)態(tài)訪問(wèn)控制引擎,進(jìn)行持續(xù)的風(fēng)險(xiǎn)和信任等級(jí)評(píng)估,執(zhí)行動(dòng)態(tài)的細(xì)粒度訪問(wèn)控制策略,在業(yè)務(wù)系統(tǒng)的任意場(chǎng)景實(shí)現(xiàn)包括放行、阻斷、自適應(yīng)認(rèn)證、權(quán)限收斂在內(nèi)的自適應(yīng)處置。
5.數(shù)據(jù)安全傳輸
在用戶終端和網(wǎng)關(guān)之間建立端到端的雙向加密隧道,并在資源訪問(wèn)全生命周期維護(hù)隧道鏈接。
6.訪問(wèn)行為審計(jì)
提供詳細(xì)的訪問(wèn)日志,基于日志進(jìn)行合規(guī)審計(jì)。
7.API安全防護(hù)
提供API接口的統(tǒng)一代理、訪問(wèn)認(rèn)證、數(shù)據(jù)加密、安全防護(hù)、應(yīng)用審計(jì)等能力,提升后端服務(wù)安全的開(kāi)發(fā)效率和維護(hù)效率。
8.數(shù)據(jù)脫敏與溯源
對(duì)流經(jīng)的數(shù)據(jù)提供數(shù)據(jù)脫敏、水印設(shè)置等功能,防止數(shù)據(jù)泄露,方便溯源追查。
三、零信任安全網(wǎng)關(guān)的應(yīng)用場(chǎng)景零信任安全網(wǎng)關(guān)的應(yīng)用場(chǎng)景廣泛,可與企業(yè)原有的縱深安全防護(hù)體系結(jié)合,全面提升企業(yè)的安全防護(hù)能力。在以下場(chǎng)景中,零信任安全網(wǎng)關(guān)都起到了良好的應(yīng)用效果:
1.網(wǎng)絡(luò)安全加固
通過(guò)多維身份認(rèn)證、動(dòng)態(tài)訪問(wèn)控制、訪問(wèn)行為審計(jì)、數(shù)據(jù)脫敏與溯源等功能,提升業(yè)務(wù)安全能力,避免身份冒用、越權(quán)訪問(wèn)、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)。
2.遠(yuǎn)程訪問(wèn)
保證內(nèi)部員工和第三方人員在遠(yuǎn)程辦公、遠(yuǎn)程開(kāi)發(fā)、遠(yuǎn)程運(yùn)維等場(chǎng)景中,能夠使用任意設(shè)備,在任意地點(diǎn)、任意時(shí)間,以最小化權(quán)限安全地訪問(wèn)企業(yè)資源,提升遠(yuǎn)程辦公的安全性和體驗(yàn)性。
3.替換VPN
將VPN“先連接后認(rèn)證”的機(jī)制升級(jí)為“先認(rèn)證后連接”,通過(guò)端口隱藏、多因素認(rèn)證、數(shù)據(jù)安全傳輸?shù)裙δ埽層脩敉ㄟ^(guò)互聯(lián)網(wǎng)安全便捷的接入企業(yè)內(nèi)網(wǎng)。Gartner預(yù)測(cè)到2023年,60%的企業(yè)將采用零信任替代大部分VPN。
4.API調(diào)用
代理API,通過(guò)安全認(rèn)證鑒權(quán)、流量管控、風(fēng)險(xiǎn)熔斷等安全策略,保障API接口的安全。
5.攻防演練
通過(guò)應(yīng)用代理和SPA單包授權(quán),幫助企業(yè)“網(wǎng)絡(luò)隱身”,使攻擊者無(wú)法掃描探測(cè)到任何信息,大幅縮小暴露面。
四、零信任安全網(wǎng)關(guān)的應(yīng)用實(shí)踐芯盾時(shí)代零信任安全網(wǎng)關(guān)打破以網(wǎng)絡(luò)邊界為信任條件、認(rèn)為內(nèi)網(wǎng)皆可信的舊安全理念,從身份、設(shè)備、行為等維度展開(kāi)全方位防護(hù),通過(guò)客戶端采集全局信息、智能安全大腦評(píng)估風(fēng)險(xiǎn)等級(jí)、動(dòng)態(tài)訪問(wèn)控制引擎生成訪問(wèn)控制策略,對(duì)用戶和設(shè)備進(jìn)行全面驗(yàn)證,對(duì)所有訪問(wèn)企業(yè)資源的請(qǐng)求進(jìn)行認(rèn)證、授權(quán)和加密,對(duì)內(nèi)、外部的每一次訪問(wèn)持續(xù)進(jìn)行信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制,真正做到“永不信任,持續(xù)驗(yàn)證”。
某股份制商業(yè)銀行的測(cè)試環(huán)境完全開(kāi)放在互聯(lián)網(wǎng)上,面臨訪問(wèn)主體多且環(huán)境復(fù)雜、訪問(wèn)控制寬松、應(yīng)用系統(tǒng)多且暴露面廣等安全風(fēng)險(xiǎn)。利用芯盾時(shí)代零信任安全網(wǎng)關(guān)改造測(cè)試環(huán)境后,公網(wǎng)IP從100+收斂至9個(gè),開(kāi)放端口從10000+收斂至121個(gè),資源暴露面大幅縮減;網(wǎng)關(guān)對(duì)接100+業(yè)務(wù)系統(tǒng),日均防護(hù)調(diào)用次數(shù)超60萬(wàn)次,實(shí)現(xiàn)對(duì)全行員工及合作伙伴的動(dòng)態(tài)訪問(wèn)控制;在不改造合作伙伴系統(tǒng)和銀行開(kāi)放系統(tǒng)的情況下快速部署和上線,在攻防演練中表現(xiàn)優(yōu)異。
關(guān)鍵詞: 安全網(wǎng)關(guān) 企業(yè)安全