“从不信任,永远验证”的零信任理念,如何落地打破安全困局?
传统的网络建设是先将网络划分为内网、外网、DMZ区,并在网络的边界部署大量的安全设备,该防御模型前提是假设企业所有办公设备和数据资源都在内网,并且内网是完全可信的。但随着云计算、大数据、物联网等信息技术不断发展与落地应用,大量的企业资源、应用服务暴露在互联网公开环境中,按照传统网络安全建设框架,一旦有攻击者通过防火墙进入到企业内网,就会拥有较为固定的高级别访问权限,能够在企业内网进行横向移动并完成数据的窃取和资源的破坏,企业核心数据被攻击导致泄露的安全风险大幅攀升。
为什么要构建零信任安全体系?
► 据《2021年中国数据泄露防护(DLP)行业分析报告》指出,2019年1-9月,全球披露数据泄露事件有5183起,泄露数据量达到了79.95亿条记录。企业的网络安全建设滞后、以及员工安全意识薄弱等已经成为企业数据泄露的重要原因。零信任作为新一代的网络安全防护理念,其核心是“持续验证,永不信任”,默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信,通过强身份验证技术保护数据。零信任的应用价值不仅在于帮助企业规避数据泄露风险,还可实现降低安全事件处理成本、完成敏捷业务、敏捷开发管理等,助力企业应对数字时代多样化的安全挑战。
► 在政策推动层面,2019年工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,零信任安全首次被列入网络安全需要突破的关键技术;2020年,在中国产业互联网发展联盟标准委员会指导下,成立“零信任产业标准工作组”,同年,零信任产业标准工作组正式对外发布国内首个基于攻防实践总结的《零信任实战白皮书》;2021年6月,中国电子工业标准化技术协会发布国内首部《零信任系统技术规范》,同年7月,工信部发布的《网络安全产业高质量发展三年行动计划(2021-2023 年)》提出要发展创新安全技术,加快开展零信任框架等安全体系研发。
► 在市场需求与生态建设层面,截止2019年底,Cybersecurity Insiders联合Zscaler发布的《2019零信任安全市场普及行业报告》指出, 78%的IT安全团队希望在未来应用零信任架构,19%的受访者正积极实施零信任,而15%的受访者已经实施了零信任。Gartner的《零信任访问指南》也指出,到2022年,在向生态合作伙伴开放的新数字业务应用程序中,有80%将通过零信任进行网络访问,到2023年,60%的企业将采用零信任替代大部分远程访问虚拟专用网(VPN)。
东方通如何推动零信任安全理念落地?
东方通作为国内领先的大安全及行业信息化产品、解决方案提供商,基于其核心安全技术在零信任安全领域进行了前瞻性布局,以行业标准规范为指引,结合先进的零信任理念,打造以数字化身份为主体,5A级身份认证、持续信任度风险评估、动态访问控制、资产网络隐身、数据传输安全为核心的零信任产品。该产品使用基于零信任的软件定义边界(SDP Software-Defined-Perimeter )模型,替代传统的VPN网络通道方式,建立应用级别的访问链接,实现业务安全访问,用户从客户端登录认证开始,与零信任平台建立基本的信任,通过最小化权限原则为用户分配访问资源,通过客户端与SDP网关建立的加密访问隧道,可以安全访问被管资源,数据通过安全隧道进行传输,防止数据被监听或篡改。
系统在用户的访问过程中基于建立的基础信任,围绕终端环境、人员访问、资产安全三个维度对整体的风险数据持续收集,由信任度分析引擎结合用户的使用习惯、访问行为、终端基线等信息对用户进行持续的信任度分析,并对用户的访问行为进行访问控制,从而打破原有“一次认证,永久可信”的安全模式,形成“从不信任,始终验证”的认证机制,全流程保障企业的网络安全。与此同时,东方通还结合安全管控平台(4A)、堡垒机、数据安全、资产管理平台、合规管理平台、漏洞管理平台、智能审计平台等自有的成熟安全产品,打造了围绕零信任理念的综合解决方案,能够满足多种业务场景下的安全需求。
目前主要的应用场景有:
1 ► 远程办公场景
企业员工进行远程或异地办公时,使用的企业设备或个人办公终端设备无法直连公司内网。在这种情况下,员工无需使用VPN,通过登录东方通零信任产品客户端,对终端及人员身份进行认证,即可获得内网资源的访问权限,实现远程办公,既保证数据安全也让内部资源共享更加高效。
2 ► 多云部署,远程运维
企业将业务服务、数据库部署在云端,运维需要通过本地网络链接云端进行服务和数据库的维护,此过程中有大量数据在公网进行传输,安全隐患极大。用户可通过东方通零信任客户端,与SDP网关建立的加密访问隧道实现远程运维,数据安全加密传输,防止企业数据资源被拦截、篡改、破坏,实现实时、安全的运维保障。
3 ► 服务收敛,网络隐身
企业的客户需要访问其目标资源时,经过东方通的零信任产品数字用户身份鉴别并通过后,由SDP网关根据最小化权限原则联通目标资源的访问通道,隐藏资源的网络访问入口,通过UDP单包认证方式对网关开放的端口进行授权控制,让黑客无法扫描到服务器,无法开展网络攻击,大幅度降低安全风险。
► 目前,东方通零信任产品已经在多个行业的头部企业进行落地实践。例如,在某运营商省份公司,将原有VPN访问内网的方式,替换为用东方通零信任客户端进行身份认证登录,能够对内网重要业务系统进行安全访问,接入用户数量千余人,接入终端数量近2000台。在疫情期间,企业的员工大多进行远程办公,以零信任登录方式对内网资源进行访问,每日内网访问次数达几千次,监测到网络攻击行为200余次,保障了企业日常办公的业务流畅性和访问安全性。
新一代信息技术的不断突破与迭代,推动了经济社会的发展与国民生活质量的提高,也为各行业变革发展创造了新机遇,但随之而来的网络安全挑战也日益严峻。面对新技术发展与安全形势的不断变化,需要有新的理念与方案来持续强化企业安全建设,东方通作为网信代表企业之一,将持续深耕以零信任、数据安全为基础的安全解决方案,不断融合产业需求,夯实关键技术并不断创新突破,深入推进网络安全新格局下的便捷、智能立体防护体系建设,为落实网络强国战略而不懈努力!
关于东方通
东方通(股票代码:300379),是国内A股上市的基础软件厂商,以“安全+”和 “数据+”两大产品体系为基础,为客户提供综合解决方案及服务,是国内领先的大安全及行业信息化产品、解决方案提供商。
东方通现拥有东方通网信、泰策科技等全资子公司,面向企业和社会的数字化转型与升级,提供基础软件、信息安全、网络安全、数据安全、通信安全、智慧应急、5G创新应用、工业互联网安全及社会治理等产品和解决方案,帮助用户实现业务创新、安全管控和数据的共享与价值挖掘等。
东方通的产品及解决方案广泛应用于国内数千个行业业务,服务电信、金融、政府、能源、交通等行业领域5000多家企业级用户,与2000多家合作伙伴携手打造合作共赢的产业生态。东方通连续十二年被认定为“国家规划布局内重点软件企业”,承担多项国家重大科技专项的研制任务,是北京软件和信息服务业综合实力百强企业,企业信用评价AAA级信用企业,曾荣获国家科技进步二等奖、 北京市科学技术进步奖二等奖等多项荣誉。