如何建立零信任邊緣
數字化是一把雙刃劍。企業面臨的最大安全挑戰之一是在其不斷擴大的網絡邊緣提供一致的保護。每一個新的優勢都擴大了潛在的攻擊面,網絡犯罪分子很快就會將這些新的攻擊載體作為攻擊目標。在過去兩年中,人們看到襲擊事件急劇增加,尤其是勒索軟件。其中很多都是通過網絡邊緣不太安全的接入點發生的。
保護不斷擴展的網絡邊緣所面臨的部分挑戰在于,網絡的擴展速度超出了傳統安全的適應能力。大多數現有的安全策略都是圍繞隔離點產品構建的,這些產品旨在保護可預測的靜態網絡環境——這意味著當它們保護的網絡處于不斷變化的狀態時,它們很難保持一致的安全性。網絡犯罪分子滲透網絡所需要的只是突破安全不足的邊緣,然后利用網絡中的隱含信任尋找要竊取的數據和要破壞的系統。
需要的是一種自適應邊緣安全策略,無論在何處或何時部署新邊緣,即使底層基礎設施或連接元素發生變化,也能提供一致的可見性和控制。零信任邊緣融合了網絡和安全性,以創建一個集成的保護框架,可以確保在每個邊緣進行一致的策略部署和實施。這包括授予對應用程序的明確的、按會話訪問的權限,并結合對用戶身份和場景的持續驗證,無論網絡擴展和發展的速度如何。
與大多數安全策略一樣,實施零信任邊緣說起來容易做起來難。但對于那些希望在不影響安全性的情況下擁抱數字加速的企業來說,零信任邊緣策略至關重要。為了簡化確保企業提供一致保護,并消除網絡邊緣的薄弱環節的過程,需要遵循以下五個步驟。
步驟1.收集身份驗證工具
收集建立零信任邊緣所需的零信任訪問身份驗證工具。其中包括零信任網絡訪問(ZTNA)、安全SD-WAN、下一代防火墻(NGFW)和包含入侵檢測系統(IDS)和入侵防御系統(IPS)的安全Web網關(SWG)、沙箱、云訪問安全代理(CASB)和網絡訪問控制(NAC)。這些工具允許任何用戶或設備,無論位置如何,在訪問任何連接的資源(無論是在內部部署還是在云中)之前,都可以進行適當的身份驗證和檢查。
這里的關鍵是互操作性。使用這些工具應該提供網絡范圍的可見性以及端到端的一致監控和執行,即使對于需要跨越多個環境的應用程序和工作流也是如此。這些工具應該通過單一供應商進行整合,或者通過使用開放標準和API的通用框架進行集成,最好是在一個單一的、普遍可部署的平臺上,以確保無縫通信、協調和執行。
步驟2.添加安全控制
安全控制需要同時托管在內部部署設施和云平臺中,這樣每個用戶都可以在任何設備上的任何位置進行身份驗證。雖然云平臺和基于云的網絡需要不同的工具,但它們仍然需要作為一個集成系統協同工作。這可確保用戶受到保護,無論是在內部部署設施、家庭辦公室還是在他們之間旅行。除了協同工作之外,這些工具還需要支持與底層網絡的融合,以便保護能夠自動適應配置、連接或規模的變化。
步驟3.實施零信任網絡訪問(ZTNA)
在每個邊緣和設備上實施零信任網絡訪問(ZTNA),以使所有用戶能夠安全地訪問內部部署和基于云的應用程序。最終用戶設備上的零信任網絡訪問(ZTNA)客戶端提供安全連接,并結合按會話身份驗證和持續監控來檢測和響應異常行為。零信任網絡訪問(ZTNA)解決方案也應作為邊緣安全解決方案的一部分實施,因此身份驗證和實時流量檢查可以成為安全訪問和身份驗證過程的無縫部分。由于用戶體驗至關重要,下一代防火墻(NGFW)還應該能夠以線速檢查加密流量,包括流式視頻。
步驟4.保護遠程用戶
遠程用戶應被引導至基于云的安全性,例如防火墻即服務(FWaaS)和安全Web網關(SWG),以便在訪問SaaS應用程序時提供安全的互聯網訪問。遠程用戶還可以使用云交付的零信任網絡訪問(ZTNA)強制訪問數據中心中的私有應用程序。零信任網絡訪問(ZTNA)和安全Web網關(SWG)可以與云訪問安全代理(CASB)合作,為遠程用戶監控和執行策略,無論他們是在家辦公還是在不同地點之間旅行。但是這些解決方案需要集成到更大的安全架構中,以便可以集中部署和協調策略,并且可以共享和關聯網絡事件以保護所有邊緣。
步驟5.控制云應用程序訪問
安全SD-WAN是控制從本地位置(包括數據中心、園區環境、分支機構和零售位置)訪問基于云的應用程序的基礎技術。與傳統SD-WAN不同,安全SD-WAN包括一整套企業級安全性,網絡和連接功能作為統一的解決方案運行。本地安全對于網絡分段部署也很有用,以防止威脅橫向移動。通過將SD-WAN與其他本地訪問和安全工具部署在同一平臺上,企業可以建立和維護一致的安全和網絡策略,而無需管理多個控制臺或解決方案之間的問題。
零信任邊緣
用于保護不斷擴展的網絡邊緣的零信任邊緣方法有助于確保無處不在的安全和網絡的關鍵融合。借助零信任邊緣架構,安全性可以無縫適應底層網絡基礎設施的動態變化,包括連接性,同時基于用戶身份和場景提供對應用程序的訪問。零信任邊緣擴展了企業級安全性,并為遠程工作人員提供了精細的訪問控制,提供對他們所需的應用程序和資源的安全訪問,無論他們是在內部部署設施還是通過云平臺訪問資源。
