零信任“VPN”新一代远程办公安全解决方案

零信任“VPN”新一代远程办公安全解决方案

2021-07-04 14:09:57
  在不影响业务高速发展的同时,做好安全管理和运维保障必定将成为企业远程办公急需解决的重要问题。

  传统的安全解决方案通常会部署防火墙、VPN来保护企业的网络边界,构筑企业的数字护城河,并在某种程度上假设、或默认了通过这些安全设备进入到内网的人和设备是值得信任的,但随着黑客攻击手段的持续进步,远程办公大规模的发展,人员、设备、环境等各因素越来越复杂,这种在边界堆叠安全设备的传统建设思路已不再有效,接入到内网的终端越来越多,无法保证人员和终端的安全性,因此传统边界安全的解决方案遇到新的瓶颈,总结起来主要有以下几点:
(1)缩小暴露面效果欠佳
(2)静态身份认证
(3)终端接入缺少准入机制
(4)认证通过后访问权限固化
(5)接入后访问行为不可控
(6)运维保障难访问体验差

  零信任的核心思想是默认不应该以网络环境信任任何人、设备或系统,而是以认证和授权构建安全的访问控制体系,将原本基于网络位置的的访问控制转变为以身份为中心的访问控制。 

  实现零信任的技术手段通常包含几个方面:
1. 持续动态环境检测与全局业务准入
2.动态自适应身份认证
3.动态访问权限
4. 动态访问控制和灰度处置

  综上所述,零信任架构的本质是以身份为中心的动态可信访问控制,聚焦身份、信任、业务访问和动态访问控制等维度的安全能力,基于业务场景的人、流程、环境、访问上下文等多因素,对信任进行动态持续评估和调整,形成具备较强风险应对能力的动态自适应的安全闭环体系。

  访问权限规范化涉及到权限基线的梳理,通过人工手段进行梳理可行性非常差,因此,需要使用技术手段来解决这个关键难题,零信任“VPN”安全架构提供权限基线梳理工具,将权限基线梳理分成三个阶段:

  第一阶段——采集阶段:只认证不鉴权,通过AI智能发现技术,基于用户的访问行为,结合用户的组织架构信息、岗位等信息,自动生成访问权限报告。

  第二阶段——试运行阶段:认证、鉴权但不阻断访问,管理员将访问权限报告设置为试运行生效状态,在该阶段中用户访问到未授权的业务系统会弹出警告界面,提示该业务系统在N天后会收回您的访问权限,用户可以选择【申请访问权限】、也可以点击【我知道了,继续访问】避免在试运行阶段影响用户的业务。

  第三阶段——正式运行:在正式运行阶段,所有访问都需要经过认证、鉴权,鉴权不通过将提示用户鉴权不通过访问被阻止,用户可以自助申请访问权限。

  在权限基线梳理过程中,以及权限基线梳理完成后,需要通过权限申请与审批工具来改善使用效率,让整个权限体系能高效正常运转;为此,零信任“VPN”安全架构提供一整套权限申请与审批流程工具,同时开放API方便被其他IT信息化流程软件整合。


  零信任“VPN”方案可以给客户带来安全能力和运维体验两大方面的价值优势,打造“更安全、体验更好的新一代远程办公方案”,提供更安全的身份安全认证能力,采用动态可信访问保护企业核心业务,细粒度的智能权限降低异常行为风险,同时极简的运维体验降低管理工作量,帮助企业在远程办公的大规模发展下既安全稳定又体验便捷。