首页 > 安全资讯 > 正文

“零信任”时代加速VPN消亡,360安全接入云为企业穿上“隐身衣”

【导语】每一个时代,都在赋予“安全网络访问”新的定义。留给IT和安全管理者的选项只剩两个,要么去颠覆,要么被颠覆。

   严峻的疫情形势带来重大社会变革,如果说有什么正面意义的话,从某种程度上来说,它将远程办公风口提前引爆,就此正式拉开了“移动云安全”时代下中国数字化转型的大幕。

   疫情催生出一场史诗级的全民远程办公,在这一行业新常态刺激之下,全球企业VPN(虚拟专用网络)需求激增。自VPN面世以来,通过为企业提供加密的安全通信信道与数据传输渠道,“VPN+防火墙”的组合成为传统企业网络安全互联的最佳搭配。

   可以说,远程办公能够实现的核心就是VPN。远程用户或商业合作伙伴可通过 VPN 隧道穿透企业网络边界,访问企业内部资源,即使不在企业内部也能享有本地访问权限。

VPN不再安全:漏洞攻击频频发生

   最近,360安全大脑独家捕获一起境外APT组织Darkhotel(APT-C-06),利用某VPN服务商设备漏洞,实现入侵劫持并下发恶意文件的APT攻击活动,我国多处驻外机构及相关政府单位遭遇不同程度的攻击。

   这个实打实的APT攻击报告,暴露了VPN在设备层面的安全风险:网络犯罪分子通过扫描发现未打补丁的大量VPN设备,获得远程访问的权限后,查看管理日志,获得管理员密码,进而访问整个网络,禁用多因素认证手段,从而使得整个IT系统瘫痪。

   然而,这样的做法并非孤例,传统VPN现在已成为网络犯罪分子的最爱目标,此类安全事件也变得越来越普遍。

当然,VPN本身的漏洞只是不安全性的第一层面,“无边界”冲击才是VPN不能满足政企安全需求更为致命的原因。

什么是“无边界”?
   在过去,传统的安全架构会虚构一个很清晰的“内外边界”,它被视为企业安全的“护城墙”。就像企业的服务器和终端设备主要应用在内网之中,并在数据中心的边界部署一堵“墙”来阻止外部威胁——这也就是大家熟知的基于防火墙物理边界的防御模型。

   现如今,传统的安全边界正在失效。更进一步来讲,是云计算、移动互联网、IoT、5G等新技术的崛起,使企业的IT架构从“有边界”向“无边界”转变。

   这其实非常好理解,假如企业要拥抱云计算,就不可能把所有云都装到自己的防火墙里;假如企业要拥抱移动办公、IoT,也不可能把防火墙修到每个端点;假如企业还要拥抱大数据、人工智能,就不可避免与外部合作伙伴发生数据的交换……因此,防火墙这种物理安全边界已经过时。

   说到这里,我们就不得不提及一个关于VPN构建和部署的前提,那就是基于企业边界。VPN的整个人为设定是“内网可信,外网高危”。换言之,VPN依赖“边界”作为安全判别,并授予那些远程访问和移动员工隐式或显式信任,只要是边界之内的局域网用户就“天然可信”。

   这种VPN的过时认知是致命的,会给攻击者留出更广阔的攻击空间。因为“无边界”之下,意味着威胁来自任意位置,任何设备或被盗用户凭证都有可能被用作入侵网络的支点。即便是内网,危险性也很大,更大的网络攻击面、更复杂的网络攻击裹挟着安全威胁也随之而来。

   时代变了,网络访问的游戏规则也变了。“边界下的访问”走到了尽头,不过,厂商们是冷静的,它们还是找到了适合这个时代的生存法则。某种意义上,“零信任”就是目前最理想的方式。

   零信任,顾名思义,其核心思想是不信任网络内外部任何人、设备、系统,该模型具有“永不信任,始终验证”的原则。它要求在授予访问权限之前,对试图连接到企业的应用程序或系统的每个人、设备、帐户等进行验证。
   零信任安全,是以身份为中心,进行网络动态访问控制,在当前基于边界的企业安全防护体系正在消弭的背景下,零信任安全已成为下一代主流安全技术路线,因为,零信任的前提是不信任,只有不相信任何人,才能去相信你能够相信的。

   在传统安全机制不能满足企业移动性、动态性、实时性要求时,一场“云时代”、“无边界”时代背景下的网络安全架构的技术革命正在进行。基于“零信任”的SDP技术正在替代VPN技术。

SDP的全称是Software Defined Perimeter,即“软件定义边界”,是国际云安全联盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。

   企业访问权限的赋予,不应该是静态的“信任假设”,而应该是动态的“实时控制”。所以,SDP零信任的设计理念正是“先鉴权、后联接、再访问”。这是以用户身份为中心,不再区分内网和外网,所有的连接都是零信任的,甚至建立连接之后,每一个互访都要进行再次的验证。

SDP技术正在发挥出更多的技术优势,尤其是“零信任”时代,SDP技术甚至正在牵引远程访问的新定义。

首先,我们看一下SDP的安全优势:
(一)最小化攻击面,降低安全风险。尽管公司员工、外包人员、合作伙伴等内部设备不断增加,但SDP的所有用户和设备都受到访问控制,甚至精确到如复制、截屏、打印此类最容易信息泄露的访问行为,能做到颗粒度更小的风险监测;
(二)具备网络隐身功能,避开潜在网络攻击。一方面IT管理者可屏蔽虚拟边界之外的特定用户,同时最小化网络端口的开放,以减少因为网络协议自身漏洞造成的攻击,这样可有效避免网络攻击面,提高全域网络安全;
(三)允许预先审查,安全性能大幅提升。SDP提前审查控制所有连接,从哪些设备、哪些服务、哪些设施可以进行连接,都必须预先获得相应权限的“通行证”,所以它整个的安全性方面是比传统的架构更有优势。

另一方面,从企业运营角度来看,SDP技术的运营优势同样兼顾了企业的发展需求:

   众所周知,以VPN为核心传统企业网络安全模型需要大量设备和人力去运营,成本高且灵活性差。而SDP的运营优势在于,不仅为企业降低设备采购和支持的成本,以及工作人员操作设备的复杂性,甚至提高IT运维灵活性,更快满足、响应业务和安全需求。
   除此以外,SDP和云架构也能“无缝衔接”。SDP通过降低所需的安全架构,支持公有云、私有云、数据中心或混合云环境中的应用程序,可以帮助企业快速、可控和安全地采用云架构。

   基于上述安全与运营多重优势,360安全大脑围绕SDP技术为企业定向打造“360安全接入云”,以最小权限和最短授权为原则,集成SDP接受主机(AH)和SDP控制器功能以及对接可选认证、授权服务和风险持续评估等,并通过360安全大脑为其安全实力赋能,建立一个完整的安全接入平台。

   简单来说,360安全接入云正是为企业构建起一个虚拟边界,将企业内网业务、外网SaaS服务统一纳入安全资源池进行SDN调度管理,形成映射IP,同时将企业办公终端、BYOD、浏览器等接入平台管理,解析成公网ip 。

“360安全接入云”平台架构部署图说明如下:

      1、在受保护的业务系统设置ACL,只允许磐云系统的IP地址访问该业务系统;
      2、将受保护的业务系统放到公网,分配公网IP地址;
      3、在三六零磐云安全防护系统中添加受保护的业务系统域名解析记录;
      4、磐云系统生成对应的映射IP地址;
      5、在三六零企业浏览器管理后台配置私有DNS解析记录,将业务系统域名指向磐云系统生成的映射IP;
      6、在三六零企业浏览器管理后台配置业务应用导航(系统名称+系统域名)。
   这样一来,企业用户在通过身份验证或设备验证后,即可获取响应的配置策略,用户访问受保护的业务系统时,平台将根据映射关系做解析,将数据包发送给企业业务系统并回传数据,最终呈现给用户。


   在整个访问过程中,企业用户可以放心地从公司内网获取信息、数据,最大程度增强了企业网络互联的安全性。总体来看,360安全接入云可总结出以下四大安全优势:

      1、  帮助企业应用和服务器在网络上实现隐身,减少客户业务系统被攻击的风险;
      2、  为企业提供一种更灵活的VPN替代方案,使远程办公更便捷、更安全;
      3、  助力企业业务发展,为企业用户访问应用提供一致的体验,与用户当前所处的网络位置无关;
      4、  通过360安全大脑的赋能,对接漏洞云、知识库云、威胁情报云和多维分析引擎中的查杀云、沙箱云和分析云。
   从企业角度来看,远程办公需要综合考虑成本与安全问题,其中包括多应用流量问题、高安全性问题和低成本的问题,360安全接入云利用基于身份的访问控制机制,为企业应用和服务穿上“隐身衣”,有效保护企  业核心资源和数据的安全。凭借独特的安全与稳定、高效率与低成本优势,360安全接入云成为接替传统VPN网络模型的更优选择。
  变革永远存在,安全威胁也是如此。抗疫形式下的远程办公,迫使企业加速寻求一条更加安全、高效的路径应对潜在的安全威胁。
  新时代下的变革,赋予企业网络安全更加创新、丰富的内涵,基于企业安全需求这一出发点,360安全大脑凭借多年积累的安全防护经验与技术优势,率先采用零信任理念,建设360安全接入云,阻止企业内部威胁横向扩散,为企业用户创建一个独特的内网生态,使终端设备、传输信道和身份权限形成完整闭环,以保证安全、稳定访问企业内部资源、数据,为企业远程办公打造一个无边界的安全入口。


360安全卫士

热点排行

用户
反馈
返回
顶部