2020年初暴發(fā)的新冠肺炎疫情就像一個(gè)渦輪增壓器,它打破了工作和生活之間的界限,形成了獨(dú)特的“疊加態(tài)”,移動化、分散式的遠(yuǎn)程辦公從以前的偶爾為之到今天成了很多企業(yè)的“新常態(tài)”。傳統(tǒng)的工作場所變?yōu)榕c地點(diǎn)無關(guān)的數(shù)字工作場所,大量私人擁有的筆記本、移動設(shè)備被用于辦公,本地業(yè)務(wù)應(yīng)用程序被加入大量的Web應(yīng)用程序和云服務(wù)……安全的網(wǎng)絡(luò)互聯(lián)、終端訪問以及數(shù)據(jù)隱私保護(hù)等成了當(dāng)務(wù)之急。
對于上班族來說,工作環(huán)境變得更加分散化、數(shù)字化,也更加現(xiàn)代化。在數(shù)字化轉(zhuǎn)型和新冠肺炎疫情的雙重“催化”作用下,未來的工作空間會是什么樣的?
安全性與良好的用戶體驗(yàn):兩手抓兩手硬
未來企業(yè)文化、未來勞動力和未來工作空間三大核心內(nèi)容構(gòu)成了IDC所描繪的“未來工作”,它是企業(yè)整體數(shù)字化戰(zhàn)略中的必要組成部分。未來工作空間將打破時(shí)空與地域的限制,方便企業(yè)員工隨時(shí)隨地工作,其中除了協(xié)同辦公應(yīng)用等最基本的需求以外,人們對于安全性的要求日益凸顯。
在抗擊新冠肺炎疫情的同時(shí),我們不能忽視了遠(yuǎn)程辦公帶來的 “次生疫情”,即網(wǎng)絡(luò)安全問題。由于在線辦公人數(shù)激增,不僅給服務(wù)器、網(wǎng)絡(luò)等帶來了高并發(fā)的帶寬、訪問等壓力,安全問題也如影隨行。比如,使用未經(jīng)授權(quán)的個(gè)人設(shè)備辦公或使用家庭Wi-Fi使得安全防護(hù)風(fēng)險(xiǎn)加劇,同時(shí)釣魚風(fēng)險(xiǎn)也會增加,而利用公共云盤傳輸資料有可能造成數(shù)據(jù)泄漏,個(gè)人設(shè)備接入公司內(nèi)部網(wǎng)絡(luò)使得“安全敞口”更大……在這種情況下,除了要對員工加強(qiáng)網(wǎng)絡(luò)安全意識教育以外,更需要企業(yè)在安全方面查漏補(bǔ)缺并與時(shí)俱進(jìn),采用符合未來工作空間需要的新一代安全理念、技術(shù)架構(gòu),以及創(chuàng)新的解決方案,更好地保證遠(yuǎn)程辦公的安全。
大約十幾年前,一家全球知名的安全廠商曾在故宮里舉辦過一場戰(zhàn)略發(fā)布會。該廠商的用意很明顯,就是借由固若金湯的故宮的高大宮墻來表征,有了安全之墻,就可以抵御一切外來的威脅和攻擊。
但是思杰(Citrix)公司認(rèn)為,面對當(dāng)前的安全形勢及挑戰(zhàn),躲在數(shù)字城堡里的做法已經(jīng)徹底行不通了!今天,企業(yè)用戶最想知道的是,如何在分散式的環(huán)境中更好地保護(hù)企業(yè)內(nèi)部數(shù)據(jù)安全,包括開發(fā)計(jì)劃、產(chǎn)品路線圖,以及客戶和員工數(shù)據(jù)等,使其免受勒索軟件、工業(yè)間諜或者其他濫用行為的侵害。
隨著歐盟GDPR(通用數(shù)據(jù)保護(hù)條例)、美國的加州消費(fèi)者隱私法案(CCPA),以及正在審議中的《中華人民共和國個(gè)人信息保護(hù)法(草案)》等關(guān)于個(gè)人身份信息管理和保護(hù)的法律法規(guī)相繼出臺,實(shí)際上倒逼著企業(yè)為數(shù)據(jù)保護(hù)、數(shù)據(jù)流和數(shù)據(jù)使用的可追溯性設(shè)定更高的標(biāo)準(zhǔn),其核心就是“合規(guī)”與“數(shù)據(jù)主權(quán)”。數(shù)據(jù)安全、合規(guī)性、數(shù)據(jù)隱私等,說到底為的是保證員工具有更高的工作效率,任何安全威脅和隱患都不能干擾員工正常的工作和活動。思杰認(rèn)為,面對未來工作的新挑戰(zhàn),企業(yè)的目標(biāo)不是安全或良好的用戶體驗(yàn)二選其一,而是要同時(shí)保證,即“兩手抓而且兩手都要硬”。
重新定義網(wǎng)絡(luò)安全:零信任是重要基石
遠(yuǎn)程辦公時(shí)代,到底需要什么樣的安全保障?
今天,移動辦公和居家辦公使得越來越多的用戶和應(yīng)用程序使用互聯(lián)網(wǎng),而部分終端設(shè)備也不再受企業(yè)內(nèi)部IT的控制,原有的安全基石和思維定式必須要打破和顛覆。其實(shí),隨著數(shù)字化轉(zhuǎn)型浪潮的到來,通信流早就明顯地從企業(yè)內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)移到外部網(wǎng)絡(luò),安全的邊界越來越模糊。眾所周知的安全公式“內(nèi)部=好,外部=差”,在新冠肺炎疫情暴發(fā)前就不再有效了?,F(xiàn)在,零信任機(jī)制正在取代固有的安全思維。
所謂“零信任”,是指IT安全系統(tǒng)將所有設(shè)備視為未知設(shè)備,并根據(jù)“最少特權(quán)”原則對待所有用戶,用戶只能訪問那些在特定時(shí)刻獲得授權(quán)的資源。這意味著,安全軟件檢查用戶是否有權(quán)進(jìn)行每一次網(wǎng)絡(luò)訪問和應(yīng)用程序請求。
零信任機(jī)制與傳統(tǒng)的基于VPN的方法形成了鮮明對比:以前,任何擁有VPN密碼的人都可以跨越“安全之墻”,進(jìn)入企業(yè)內(nèi)部,然后可以相對自由地移動;然而在零信任環(huán)境中,安全分析軟件一直在監(jiān)視用戶和設(shè)備行為是否符合策略,并通過人工智能和機(jī)器學(xué)習(xí)等技術(shù)自動分析所有異?,F(xiàn)象和異常行為,當(dāng)某個(gè)用戶突然表現(xiàn)出與日常非常不同的行為時(shí),比如當(dāng)用戶帳戶被劫持時(shí),那么零信任將及時(shí)洞察安全隱患,從而避免侵害的產(chǎn)生。
思杰認(rèn)為,企業(yè)的安全部門及首席信息安全官應(yīng)該認(rèn)真思考和對待“最少特權(quán)與零信任”。在傳統(tǒng)的安全思維中,企業(yè)網(wǎng)被視為堅(jiān)不可摧的堡壘,由防火墻提供保護(hù),而VPN則是名副其實(shí)的“守門人”。傳統(tǒng)的安全軟件很多習(xí)慣以“xx狗”作為名稱也是這個(gè)原因。但是今天,當(dāng)我們處于紛繁復(fù)雜的混合云世界中,應(yīng)用與數(shù)據(jù)無處不在,全新的安全架構(gòu)也必須打碎原來的那道“墻”。而零信任則被認(rèn)為是確立安全新規(guī)的基石之一。
思杰認(rèn)為,在現(xiàn)代“隨處工作”的基礎(chǔ)架構(gòu)中,員工越來越多地在“墻”外工作,一些保護(hù)功能融合到企業(yè)網(wǎng)絡(luò)中的業(yè)務(wù)應(yīng)用程序中,還有些則納入到云服務(wù)中,而且這種情況越來越普遍。在這種背景下,傳統(tǒng)VPN僅在網(wǎng)絡(luò)層面保護(hù)資源訪問已經(jīng)捉襟見肘,在應(yīng)用程序?qū)用孢M(jìn)行保護(hù)顯然更與時(shí)俱進(jìn),即按照最終用戶各自的用戶角色和使用環(huán)境(包括訪問位置、公司或?qū)S迷O(shè)備等),依據(jù)“最少特權(quán)”原則,賦予最終用戶一定的權(quán)限,且僅以相應(yīng)角色或者按照任務(wù)所需訪問應(yīng)用程序和云服務(wù)。
遵循零信任原則在這里就顯得非常必要而且重要,因?yàn)榘踩A(chǔ)設(shè)施不是在成功登錄后便完全信任用戶,而是持續(xù)監(jiān)控設(shè)備行為以及登錄用戶帳戶的活動,一旦有“風(fēng)吹草動”,可以及時(shí)采取安全措施和手段,預(yù)防或補(bǔ)救??梢赃@樣說,零信任的方法將IT基礎(chǔ)設(shè)施的安全提升到了一個(gè)新高度。正如Gartner分析的那樣,零信任是現(xiàn)代IT安全的核心組成部分。在分散式的網(wǎng)絡(luò)應(yīng)用環(huán)境中,這種持續(xù)監(jiān)控的方法最好以基于云的功能來實(shí)現(xiàn)。
由此也引出了一段零信任與SASE的不解姻緣。如今,越來越多的應(yīng)用程序是以SaaS應(yīng)用和云實(shí)例為特征的。順理成章,安全保護(hù)也緊隨應(yīng)用程序進(jìn)入了云端。
企業(yè)使用的云資源越多,通信流的變化就越大,而且數(shù)據(jù)流不再集中在企業(yè)數(shù)據(jù)中心的本地客戶端和服務(wù)器之間,而是更多地出現(xiàn)在移動用戶和云之間。在這一趨勢下,將用戶訪問重定向到企業(yè)數(shù)據(jù)中心的傳統(tǒng)VPN顯然是不合時(shí)宜的。如果用戶想要訪問的是云中的數(shù)據(jù)或SaaS應(yīng)用程序,VPN就相當(dāng)于繞道而行,延遲增加、應(yīng)用程序訪問速度降低是不可避免的。
如何才能持續(xù)保證企業(yè)員工的工作效率不變呢?Gartner定義了SASE(Secure Access Service Edge,安全訪問服務(wù)邊緣)安全架構(gòu)。SASE將基于云的網(wǎng)絡(luò)和安全服務(wù)相結(jié)合,取代防火墻、VPN和其他本地安裝的安全設(shè)備。在網(wǎng)絡(luò)方面,SD-WAN(軟件定義的廣域網(wǎng))優(yōu)化用戶訪問性能;在安全方面,SASE通過一系列安全服務(wù)來完善混合云優(yōu)化網(wǎng)絡(luò),包括基本網(wǎng)絡(luò)安全、CASB(云訪問安全代理,即保護(hù)用戶訪問云的實(shí)體)、零信任、安全Web網(wǎng)關(guān)、FWaaS(防火墻即服務(wù),即基于云的防火墻功能),以及其他服務(wù)等。
毫無疑問,SASE與零信任將成為未來安全的兩大支柱。
思杰實(shí)現(xiàn)融合創(chuàng)新:打造安全統(tǒng)一的數(shù)字工作空間
思杰是業(yè)內(nèi)最早提出“數(shù)字工作空間”理念的廠商,從虛擬化到應(yīng)用交付再到安全,這些技術(shù)特長和儲備為打造安全統(tǒng)一的數(shù)字工作空間奠定了堅(jiān)實(shí)的基礎(chǔ)。
在數(shù)字化工作場所,保護(hù)遠(yuǎn)程辦公安全,思杰所扮演的角色既是管家又是保鏢,它通過MFA/生物特征識別技術(shù)進(jìn)行安全訪問,通過零信任、SASE和基于人工智能的監(jiān)控來保護(hù)應(yīng)用程序和云的使用,通過集成安全功能的數(shù)字工作場所使用戶能夠輕松愉悅地開展工作,同時(shí)免受不當(dāng)行為的影響。
2021年初,思杰被Expert Insights(專家洞察)評為統(tǒng)一端點(diǎn)管理(UEM)和企業(yè)VPN類別中的2021年網(wǎng)絡(luò)安全“最佳”(Best-Of)獎(jiǎng)得主。Citrix Endpoint Management可以幫助企業(yè)集中監(jiān)控和管理連接到其網(wǎng)絡(luò)的所有端點(diǎn),包括客戶端和移動設(shè)備。結(jié)合使用Citrix Workspace、Citrix Endpoint Management和Citrix Gateway,企業(yè)能夠以統(tǒng)一的體驗(yàn)支持員工個(gè)性化訪問所需的系統(tǒng)、信息和工具,并根據(jù)用戶的行為和環(huán)境動態(tài)應(yīng)用安全策略,這樣企業(yè)員工便可以在所需的時(shí)間和地點(diǎn),按照自己的方式去工作,并確保其應(yīng)用程序、信息和設(shè)備都是安全的。
快速遷移到云以及遠(yuǎn)程工作方式創(chuàng)造了動態(tài)的工作環(huán)境,有望將工作效率和創(chuàng)新提升到新高度。但這同時(shí)也帶來了一系列新的安全性和可靠性挑戰(zhàn),導(dǎo)致網(wǎng)絡(luò)攻擊顯著增加。為了推動“隨處工作”的效率提升與業(yè)務(wù)創(chuàng)新,思杰擴(kuò)展了Citrix Ready Workspace安全計(jì)劃,其中的核心是來自可信和經(jīng)過驗(yàn)證的合作伙伴的零信任解決方案。
Pulse和思杰在2020年底進(jìn)行的一項(xiàng)調(diào)查顯示,74%的受訪企業(yè)高管和經(jīng)理考慮在未來12個(gè)月內(nèi)在遠(yuǎn)程訪問方法的基礎(chǔ)上采用整體零信任策略。今天,安全已不再限于“城墻”之內(nèi)。作為領(lǐng)先的網(wǎng)絡(luò)安全提供商,思杰基于零信任等一系列創(chuàng)新的安全理念與技術(shù),專注于提供數(shù)字工作場所解決方案,通過統(tǒng)一的平臺來保護(hù)、管理和監(jiān)控復(fù)雜云環(huán)境中的各種數(shù)據(jù)和應(yīng)用,并在任何需要開展工作的地方提供一致性的工作空間體驗(yàn),同時(shí)充分保障員工和信息的安全。(作者:云報(bào) 郭濤)
京公網(wǎng)安備 11010502049343號