數(shù)字化是一把雙刃劍。企業(yè)面臨的最大安全挑戰(zhàn)之一是在其不斷擴(kuò)大的網(wǎng)絡(luò)邊緣提供一致的保護(hù)。每一個(gè)新的優(yōu)勢(shì)都擴(kuò)大了潛在的攻擊面,網(wǎng)絡(luò)犯罪分子很快就會(huì)將這些新的攻擊載體作為攻擊目標(biāo)。在過去兩年中,人們看到襲擊事件急劇增加,尤其是勒索軟件。其中很多都是通過網(wǎng)絡(luò)邊緣不太安全的接入點(diǎn)發(fā)生的。
保護(hù)不斷擴(kuò)展的網(wǎng)絡(luò)邊緣所面臨的部分挑戰(zhàn)在于,網(wǎng)絡(luò)的擴(kuò)展速度超出了傳統(tǒng)安全的適應(yīng)能力。大多數(shù)現(xiàn)有的安全策略都是圍繞隔離點(diǎn)產(chǎn)品構(gòu)建的,這些產(chǎn)品旨在保護(hù)可預(yù)測(cè)的靜態(tài)網(wǎng)絡(luò)環(huán)境——這意味著當(dāng)它們保護(hù)的網(wǎng)絡(luò)處于不斷變化的狀態(tài)時(shí),它們很難保持一致的安全性。網(wǎng)絡(luò)犯罪分子滲透網(wǎng)絡(luò)所需要的只是突破安全不足的邊緣,然后利用網(wǎng)絡(luò)中的隱含信任尋找要竊取的數(shù)據(jù)和要破壞的系統(tǒng)。
需要的是一種自適應(yīng)邊緣安全策略,無論在何處或何時(shí)部署新邊緣,即使底層基礎(chǔ)設(shè)施或連接元素發(fā)生變化,也能提供一致的可見性和控制。零信任邊緣融合了網(wǎng)絡(luò)和安全性,以創(chuàng)建一個(gè)集成的保護(hù)框架,可以確保在每個(gè)邊緣進(jìn)行一致的策略部署和實(shí)施。這包括授予對(duì)應(yīng)用程序的明確的、按會(huì)話訪問的權(quán)限,并結(jié)合對(duì)用戶身份和場(chǎng)景的持續(xù)驗(yàn)證,無論網(wǎng)絡(luò)擴(kuò)展和發(fā)展的速度如何。
與大多數(shù)安全策略一樣,實(shí)施零信任邊緣說起來容易做起來難。但對(duì)于那些希望在不影響安全性的情況下?lián)肀?shù)字加速的企業(yè)來說,零信任邊緣策略至關(guān)重要。為了簡(jiǎn)化確保企業(yè)提供一致保護(hù),并消除網(wǎng)絡(luò)邊緣的薄弱環(huán)節(jié)的過程,需要遵循以下五個(gè)步驟。
步驟1.收集身份驗(yàn)證工具
收集建立零信任邊緣所需的零信任訪問身份驗(yàn)證工具。其中包括零信任網(wǎng)絡(luò)訪問(ZTNA)、安全SD-WAN、下一代防火墻(NGFW)和包含入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)的安全Web網(wǎng)關(guān)(SWG)、沙箱、云訪問安全代理(CASB)和網(wǎng)絡(luò)訪問控制(NAC)。這些工具允許任何用戶或設(shè)備,無論位置如何,在訪問任何連接的資源(無論是在內(nèi)部部署還是在云中)之前,都可以進(jìn)行適當(dāng)?shù)纳矸蒡?yàn)證和檢查。
這里的關(guān)鍵是互操作性。使用這些工具應(yīng)該提供網(wǎng)絡(luò)范圍的可見性以及端到端的一致監(jiān)控和執(zhí)行,即使對(duì)于需要跨越多個(gè)環(huán)境的應(yīng)用程序和工作流也是如此。這些工具應(yīng)該通過單一供應(yīng)商進(jìn)行整合,或者通過使用開放標(biāo)準(zhǔn)和API的通用框架進(jìn)行集成,最好是在一個(gè)單一的、普遍可部署的平臺(tái)上,以確保無縫通信、協(xié)調(diào)和執(zhí)行。
步驟2.添加安全控制
安全控制需要同時(shí)托管在內(nèi)部部署設(shè)施和云平臺(tái)中,這樣每個(gè)用戶都可以在任何設(shè)備上的任何位置進(jìn)行身份驗(yàn)證。雖然云平臺(tái)和基于云的網(wǎng)絡(luò)需要不同的工具,但它們?nèi)匀恍枰鳛橐粋€(gè)集成系統(tǒng)協(xié)同工作。這可確保用戶受到保護(hù),無論是在內(nèi)部部署設(shè)施、家庭辦公室還是在他們之間旅行。除了協(xié)同工作之外,這些工具還需要支持與底層網(wǎng)絡(luò)的融合,以便保護(hù)能夠自動(dòng)適應(yīng)配置、連接或規(guī)模的變化。
步驟3.實(shí)施零信任網(wǎng)絡(luò)訪問(ZTNA)
在每個(gè)邊緣和設(shè)備上實(shí)施零信任網(wǎng)絡(luò)訪問(ZTNA),以使所有用戶能夠安全地訪問內(nèi)部部署和基于云的應(yīng)用程序。最終用戶設(shè)備上的零信任網(wǎng)絡(luò)訪問(ZTNA)客戶端提供安全連接,并結(jié)合按會(huì)話身份驗(yàn)證和持續(xù)監(jiān)控來檢測(cè)和響應(yīng)異常行為。零信任網(wǎng)絡(luò)訪問(ZTNA)解決方案也應(yīng)作為邊緣安全解決方案的一部分實(shí)施,因此身份驗(yàn)證和實(shí)時(shí)流量檢查可以成為安全訪問和身份驗(yàn)證過程的無縫部分。由于用戶體驗(yàn)至關(guān)重要,下一代防火墻(NGFW)還應(yīng)該能夠以線速檢查加密流量,包括流式視頻。
步驟4.保護(hù)遠(yuǎn)程用戶
遠(yuǎn)程用戶應(yīng)被引導(dǎo)至基于云的安全性,例如防火墻即服務(wù)(FWaaS)和安全Web網(wǎng)關(guān)(SWG),以便在訪問SaaS應(yīng)用程序時(shí)提供安全的互聯(lián)網(wǎng)訪問。遠(yuǎn)程用戶還可以使用云交付的零信任網(wǎng)絡(luò)訪問(ZTNA)強(qiáng)制訪問數(shù)據(jù)中心中的私有應(yīng)用程序。零信任網(wǎng)絡(luò)訪問(ZTNA)和安全Web網(wǎng)關(guān)(SWG)可以與云訪問安全代理(CASB)合作,為遠(yuǎn)程用戶監(jiān)控和執(zhí)行策略,無論他們是在家辦公還是在不同地點(diǎn)之間旅行。但是這些解決方案需要集成到更大的安全架構(gòu)中,以便可以集中部署和協(xié)調(diào)策略,并且可以共享和關(guān)聯(lián)網(wǎng)絡(luò)事件以保護(hù)所有邊緣。
步驟5.控制云應(yīng)用程序訪問
安全SD-WAN是控制從本地位置(包括數(shù)據(jù)中心、園區(qū)環(huán)境、分支機(jī)構(gòu)和零售位置)訪問基于云的應(yīng)用程序的基礎(chǔ)技術(shù)。與傳統(tǒng)SD-WAN不同,安全SD-WAN包括一整套企業(yè)級(jí)安全性,網(wǎng)絡(luò)和連接功能作為統(tǒng)一的解決方案運(yùn)行。本地安全對(duì)于網(wǎng)絡(luò)分段部署也很有用,以防止威脅橫向移動(dòng)。通過將SD-WAN與其他本地訪問和安全工具部署在同一平臺(tái)上,企業(yè)可以建立和維護(hù)一致的安全和網(wǎng)絡(luò)策略,而無需管理多個(gè)控制臺(tái)或解決方案之間的問題。
零信任邊緣
用于保護(hù)不斷擴(kuò)展的網(wǎng)絡(luò)邊緣的零信任邊緣方法有助于確保無處不在的安全和網(wǎng)絡(luò)的關(guān)鍵融合。借助零信任邊緣架構(gòu),安全性可以無縫適應(yīng)底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的動(dòng)態(tài)變化,包括連接性,同時(shí)基于用戶身份和場(chǎng)景提供對(duì)應(yīng)用程序的訪問。零信任邊緣擴(kuò)展了企業(yè)級(jí)安全性,并為遠(yuǎn)程工作人員提供了精細(xì)的訪問控制,提供對(duì)他們所需的應(yīng)用程序和資源的安全訪問,無論他們是在內(nèi)部部署設(shè)施還是通過云平臺(tái)訪問資源。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)