您当前的位置是:  首页 > 新闻 > 文章精选 >
 首页 > 新闻 > 文章精选 >

是时候把你的服务从Internet“大染缸”中分离出来了!

2018-06-15 09:52:31   作者:   来源:思杰Citrix   评论:0  点击:


  是时候把你的服务从Internet“大染缸”中分离出来了!尽最大努力保障安全,总比出了事感到后悔和抱歉要好。Gartner预计,到2021年,60%的企业将淘汰用于数字商业网络通信的网络VPN,转而使用软件定义边界(software-defined perimeters)相关技术。2016年,这一比例是不到1%。
  “零信任”:新安全模型准则
  软件定义边界安全模型的基础,正是“零信任(Zero-Trust)”原则,业界也称之为“零信任网络”或“无边界网络”。
  早在2010年,时任Forrester首席分析师的John Kindervag创建了零信任架构。Google在2013年开始向零信任架构转型,带动这种新安全架构流行,逐渐成为主流。Forrester认为,三年内,零信任将成为网络安全领域最流行的框架之一。
  所谓“零信任”你的网络,就是说,企业不应自动信任内部或外部的任何人/事/物。这种安全概念认为,应在授权前对任何试图接入企业系统的人/事/物进行验证。
  简言之,零信任的策略就是不相信任何人,“不放过一个坏人”。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。用户的访问权限将不再受到地理位置的影响,但不同用户将因自身权限级别的不同,拥有不同的访问资源。同时,过去从外网登陆内网所需的VPN也将被一道废弃。
  2017 RSA大会上,基于零信任架构准则,Google阐述了其“BeyondCorp”安全观:
  • 从特定网络连接,与你能获得的服务没有关系;
  • 根据对用户和设备的了解,来授予所获得的服务;
  • 所有对服务的访问都必须经过认证、授权和加密;
  • 未来六年的使命:让每位Google员工都能在不使用VPN的情况下,从不受信的网络成功接入,开展工作
  简单说,就是无边界设计、上下文感知和动态访问控制三大指导原则。
  随着网络攻击不断进化,变得更加复杂高端,防护企业系统及数据安全的压力越来越大,传统的安全方法早已“力不从心”,不能发挥作用的防火墙变得“形同虚设”。很明显,企业不能再指望用VPN防护所有基础架构。
  波耐蒙研究所《2017数据泄露研究》发现,数据泄露事件所致平均损失为362万美元。尽管该数字比上一年有所下降,但数据泄露事件的平均规模却上升了1.8%,达到了平均每起事件泄露2.4万条记录之多。
  看看那些最严重的的数据泄露事件,都是因为黑客进入公司防火墙后,基本没遇到什么阻碍,就能在内部系统中来去自如。很大程度上,边界已经不存在了,防火墙已经逼近到了需要保护的资产身边。本质上,零信任模型就是在和过去边界式的防护思维说“再见”,是为新世界而生的安全架构。
  Google BeyondCorp组件和访问流
  业务扩张、移动化办公、BYOD、云转型……如今企业员工的工作方式是分布式的,用户工作的地点可能是家、酒店、分支机构或任何地方,不仅是公司办公室。同时,用户使用的应用程序可能来自内部,也可能通过SaaS、其他网络或云访问。边界已不再是那个边界,IT专业人员需要以全新的方式思考安全架构。
  新安全架构中的上下文是:“你是谁?是否经过严格认证?你使用什么设备?对你设备的了解情况如何?”零信任理念的核心是系统并不需要“证伪”,而是“若无法证明可被信任,即无法获得权限”。
  SDP:零信任背后的技术
  零信任网络实质上就是一个SDP,后者也是零信任网络的一种具体实现方式。网络边界并不是一个确认可信度的有效方式。传统数据中心基础设施正在通过IaaS、PaaS和SaaS等外部云资源进行扩展。尽管AWS、Microsoft Azure和VMware等云基础架构各自拥有自己的网络配置和安全模型,但其设计初衷并不是提供细粒度的访问控制,或基于云服务器实例更改来调整用户访问。这正是SDP进入的地方,为来自世界各地的、不同的网络连接参与者建立安全边界,无论在云端、DMZ、私有数据中心还是应用服务器中。
  云时代的安全边界:无法被定义
  Citrix认为,新安全思维应“以人为中心”,具体原则包括:构建以用户为中心的模型;无边界的网络安全;用户不受地域和环境限制;对网络、应用和数据实现基于上下文的行为感知;智能风险探测;数据不落地。
  实现动态的、以身份为中心的安全,毫无疑问,这是一大进步。Gartner预计,到2021年,不少于25%的企业数据流量将绕过传统边界(目前是10%左右),并直接从移动和便携式设备流向云端。当然,SDP正受益于Citrix这样市场领导者,让IT团队能够基于NetScaler和XenDesktop工具,轻松创建软件定义边界模型,实现GDPR就绪。
  Citrix数字安全围栏框架
  摒弃地理位置和内部人员可信的概念,构筑数字安全围栏,将安全防护从边界扩展到企业员工和业务任何所到之处。Citrix数字安全围栏的核心方法包括:通过数字安全工作空间为访问者提供设备独立性、应用兼容性、位置灵活性。实现安全、高质量和一致性的访问体验;统一供给和管理应用和数据,适应各种混杂的私有和公有云基础架构;为应用和数据提供安全、高效和可视化的交付网络。
  通过识别安全风险来源与目标,作为隔离元素,Citrix可帮助企业有针对性地轻松构建安全隔离解决方案,已成为大量企业事实上的安全标准:Citrix HDX协议仅传输屏幕图像、键鼠信息,可以有效隔离数据和应用逻辑;发布平台集中在数据中心,有效缩小企业安全边界;NetScaler对传输数据进行加密封装;屏幕录像功能可以起到事前威慑、事中监控、事后追查的效果。细分落地方案包括网管资源隔离、数据隔离、生产系统运行环境隔离、网络间隔离(逻辑隔离)、内外网隔离(网闸隔离)和互联网隔离,面面俱到。
  Citrix数字不落地的安全模型
  Citrix数字安全围栏 vs Google零信任网络
  Citrix数字安全围栏与Google零信任模型具有高度一致的理念,异曲同工。与Google零信任模型相比,Citrix数字安全围栏无需对现有应用进行任何改造,与企业现有IT架构无缝融合,权限管理等手段简单、强度中等。同时,进一步隔离了应用逻辑和数据的交互,实现数据不落地。
  还以为传统边界安全、防火墙能让你“高枕无忧”?是时候把服务从Internet“大染缸”中分离出来了!当然,过程和方法绝非简单的网络隔离所能及。Citrix SDP是个好思路。
  关于思杰
  • 成立于1989年,NASDAQ:CTXS
  • 桌面和应用虚拟化市场排名第一
  • ADC市场技术第一
  • 文档分享市场领先
  • 2016年度收入超过 34 亿美元
  • 全球员工人数超过9000
  • 400,000 多家客户
  • 在 100 个国家有超过 10,000 家合作伙伴
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题