现在很多企业为什么都要打造零信任安全架构?有什么用?

来源:蜘蛛抓取(WebSpider) 时间:2022-09-29 14:55 标签: 零信任安全体系

根据IDC2022 年比较 新研究报告,企业正在经历两方面的转变:一个是各行各业都通过数字化的解决方案去应对未来发展中的不确定性;另一个是无界、移动、安全的混合办公模式成为新常态。

数字化转型浪潮汹涌,混合办公模式高歌猛进,企业安全建设该如何破浪而上?如何打造坚实的安全底座?

由CIO时代与科技共同策划,专为CIO/CSO打造的系列视频栏目“落地有声·零信任大咖有约”,特邀信息安全部部长俞婷、安全总监李维春、某研发技术型企业数据安全负责人吴鹏、深信服安全业务副总裁/零信任业务负责人周智坚、深信服零信任业务副总经理王金红,围绕安全业务数字化、混合办公场景零信任落地挑战等话题深入交流。

安全建设的终局是什么?

安全设备买了一大堆,却总是在“救火”,永远落后于威胁一步;出了安全事件总是“背锅”,工作价值完全得不到体现……企业数字化转型在加速,网络安全作为一种特殊业务,也需要匹配用户的数字化转型进程,避免安全与业务脱节的尴尬局面,将安全数字化作为安全建设的终局,让用户的数字化更简单、更安全。

观点1:关注事前防护,找到比较紧迫、比较根本的问题,才能具备事中“灭火”的能力。

观点2:实现安全风险可视化,包括用户行为及权限的告警分析、行为轨迹、安全报表,风险地图等,让企业看清风险在哪里,知道往哪个方向去推动解决问题,为企业提供安全风险管理的决策数据。

观点3:安全能力建设的终局在于安全业务数字化,通过“平台+组件+服务”的整体解决方案,拉动上下达成共识,并且通过实战反向验证能力。

观点4:随着企业数字化转型趋势发展,安全能力建设亟需一种数字化平台/解决方案,实现大部分安全事前防护,风险可视可控可评价,让安全团队做更有价值的事情。

△安信证券安全总监李维春分析安全负责人总是“救火”的原因

安全业务数字化,第 一步从哪里开始?

面对“安全业务数字化”这个庞大的命题,分步实施是保障落地的重要手段。万事开头难,这其中的第 一步,CSO们都达成了一个共识:以零信任构建企业安全数字化的能力底座,运用隔离控制的技术手段,解决企业事前防护的风险问题,为其他安全能力构建赢取时间和空间。

观点1:首先要抓两头,一个是收敛暴露面,管住风险敞口,另一个是抓住比较核心、比较有价值的数据和权限的管理。

观点2:有一个点可能大家容易忽视,就是人员的思维转型,因为大家实际去做的时候,往往习惯于传统的“信息安全控制”管理思维,而不是用数字化手段去解决问题。

观点3:第 一步应该是止血,在网络上去做访问控制和分区隔离,其实核心也是暴露面收窄。同时要通过审计或监控的手段,关注企业内部的安全的风险和事件,给自己争取时间空间去做更多体系化工作。

△某研发技术型企业数据安全负责人吴鹏认为安全业务数字化第 一步是人员的思维转型

内外网混合办公场景落地零信任,何解?

对于数字化转型的大企业而言,内外网访问一定是同时大量存在,收官形成无边界的企业网络形态。内外网混合办公场景落地零信任,CSO们认为会面临怎样的关键挑战?对内网部署零信任进行隔离控制的需求是什么?

观点1:现有内外网不同设备使用需要切换,体验不一致,希望在内网有体验更好、运营成本更低的零信任产品。

观点2:内网对稳定性要非常高,无法接受宕机,希望内网部署零信任能够不过多改变原有网络架构,不影响业务的连续性。

观点3:现有安全工具碎片化,自动关联性差,希望未来有相关产品和整体解决方案去解决这类问题。

△中兴通讯信息安全部部长俞婷分析内网落地零信任的痛点

内网落地零信任挑战,深信服的解决之道

为了解决内网落地零信任的挑战,深信服创新性开发零信任直连网关DGW,满足用户的切身需求。

1.内网改造零摩擦,落地更简单:可实现不改动用户原有网络ACL、回包路由,零摩擦部署到内网中,同时不影响原有安全建设,免加密免代理机制可以保障原有的网络安全设备进行正常的审计和溯源。

2.故障可逃生,优先业务稳定:考虑极端情况的逃生方案,直连网关支持两种部署模式,保障业务不受影响:在透明串接模式下,支持系统故障Bypass,设备宕机后,直连网关仍然能充当网线作用,毫秒级自动切换;在单臂路由模式下,设备宕机后,可以通过核心交换策略路由失效机制,实现路由逃生。

3.无抖动延时困扰,性能更强:免加密免代理机制,不改变用户原有的网络传输协议,不会有任何抖动或延时的困扰,用户端访问业务时的稳定性保持不变,同时,免加密免代理让单台设备的性能达到50Gb以上。

4.配套高 级服务,保障落地效果:内外网零信任的整体改造难度较大,用户普遍也缺乏经验,深信服打造配套的零信任服务方案,帮助用户解决零信任落地过程中的难题,如现状梳理、交付方案设计、推广规划以及专项场景规则编排,不仅能落地零信任,更能用好零信任。

以零信任应对混合办公安全风险,深信服致力于用户“安全领先一步”

深信服以“平台+组件+服务”的方式提供混合办公场景下的零信任安全解决方案,通过ZTA平台(控制中心+分析中心)实现用户、认证、权限、策略的统一管理,针对内、外网安全风险等级和网络环境的不同,分别提供代理网关SDP、直连网关DGW等不同组件,满足用户核心需求的同时提升方案的落地性。普通用户访问业务系统时,ZTA平台能自动区分用户所处的网络环境,将流量调度给不同组件,保证内外网访问的体验一致。

同时,深信服对国内用户落地零信任方案的情况进行了广泛调研,将用户遇到的实际问题与深信服自身落地零信任的经验相结合,推出了零信任专属服务,通过针对性服务帮助用户构建内外网统一的端(用户)到端(业务系统)的零信任安全架构,实现零信任真正有效落地,致力于用户安全建设领先一步。

全面收敛内外网业务暴露面:对外不暴露任何业务端口和服务,并基于认证、鉴权和进程白控制等多层控制隔离措施,大幅提升攻击成本,保障业务系统的安全可靠。

实现大部分风险的事前防护:持续监测内外部访问行为,通过可视化报表和工具,精 准定位攻击、违规、泄密等风险,将安全风险扼杀于事前。

业务随行,兼顾安全与体验:通过对用户访问应用的流量进行身份化标记,结合基于身份的访问控制策略,实现业务随行。兼得安全性与体验感,实现随时随地安全办公。

助力安全业务数字化:提供基于大数据和人工智能的安全运营能力,通过对身份、终端、行为等多维度因素关联分析和统计,可视化展现组织风险地图、用户行为轨迹,并从多个视角进行安全 效能评价,助力安全团队从不断救火向风险监管和安全治理转型。

大幅降低运维管理成本:采用基于身份的访问控制机制,所有策略下发都集中在零信任平台完成,大大减轻ACL维护工作,也避免ACL策略逐渐腐化带来的安全风险。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明()。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

长期从事面向互联网领域设立的业务,掌握科技与创新技术传播领域的产品提供、运营、服务一体化等技术和资料。

2021年11月1日,《中华人民共和国个人信息保护法》正式施行,作为我国第一部个人信息保护相关的法律,个保法的出现标志着我国数据安全和个人信息保护已进入监管新时代。

在数字信息时代,因为个人信息泄露酿成的悲剧屡屡发生,不管是企业还是个人,因此《个人信息保护法》的颁布充分体现了国家对个人信息安全的重视,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护,因此条例的实施对于保障公民的人格尊严和其他权益具有重要意义。换个角度来说,《个人信息保护法》的颁布也会给一些通过不当途径获取个人信息的不法之徒一些震慑力,避免企业对此类数据使用不当给个人造成的财产损失和精神损失。


但对企业来说,在应对个保法对个人信息的监管要求下,他们更关注如何应对条例,避免踩坑。

面对庞大的用户数据,很多企业内部还在延用的传统安全架构其实是存在一定问题的,这样就会导致企业有泄露数据信息的风险,从而触碰法律红线。要想提升个人信息整体安全防护效果,企业应从内部系统安全建设着手,制定关于个人信息保护的管理措施。


建立健全的个人信息保护制度

个保法规定,个人信息处理者、企业必须按照规定对个人信息采取必要的安全保护措施。就是说,企业应当制定内部的个人信息保护,对个人信息实行分级分类管理,采取相应的加密、去标识化等安全技术措施。对此,企业应建立和完善内部个人信息管理制度。

条例规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。因此企业需要通过技术手段保障个人信息数据的安全性。

条例规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。但对企业来说,企业本身可能不会有意去触碰法律红线,但防不住黑客入侵导致的用户数据泄露事件。

对企业来说,要做到个人信息安全保护,满足条例规范要求,需要将这些收集数据的各种实体或组织建立完善的信息安全管理机制,并通过技术手段来加强对个人信息的保护,在传统边界无法满足企业内部数据安全的前提下,零信任架构则能契合法律对企业数据安全的保护要求。


  • 零信任架构助力构建数据持续安全:庞大的用户数据管理是很多企业的痛点,无论是管理不当、或者员工的误操作都有可能导致数据泄露事件发生。而零信任架构可以助力企业构建全面的数据安全治理体系,通过统一的数据管理实现对数据信息的精确管控,解决庞大用户数据安全问题,给用户数据提供一个安全平台,助力构建企业数据的持续安全。
  • 应对监管和风险要求:零信任架构会在每个访问请求授予前,都会进行完全身份验证、授权和加密。利用最小特权访问原则最大限度地减少了横向迁移。做到数据风险可管控、可追溯,可预防,可审计,以此来满足《个人信息保护法》对数据安全的监管和风险控制要求。
  • 零信任架构满足个人信息保护需求:SDP网关可以为企业构建起一个虚拟边界,利用基于身份的访问控制机制,通过完备的权限认证机制,为企业应用和服务提供隐身保护,使网络黑客因看不到目标而无法对企业的资源发动攻击,从而满足条例对个人信息的保护要求。


作为中国领先的零信任网络安全供应商,安几网安零信任安全解决方案基于“永不信任、持续验证”的零信任理念和专业的技术团队,结合三大零信任技术(软件定义边界技术、身份识别与访问管理技术、微隔离技术),并融合人工智能算法及大数据处理技术和持续动态的风险评估,帮助企业实现以零信任为中心的安全访问,提升企业整体对个人信息安全的治理能力,全方位助力企业建立健全个人信息保护合规制度体系。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

我要回帖

更多关于 零信任安全体系 的文章

 

随机推荐