压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

名為軟件定義邊界 (SDP) 的遠程訪問新范式采用零信任方法，以基于身份的細粒度訪問代替廣泛的網(wǎng)絡接入，提供重要 IT 資源訪問。

僅僅幾年之前，大多數(shù)工作還是在辦公室里完成的。但如今，大量工作都開始陸續(xù)通過遠程執(zhí)行——至少遠程工作時間占比很高。員工可在機場、咖啡館、酒店和火車上接入工作網(wǎng)絡。相當多的工作者，比如雇員或承包商，絕大部分時間都是在家或在 WeWork 這樣的共享辦公空間遠程工作。

這一轉變對旨在保護邊界的企業(yè)安全造成了重大影響。企業(yè)虛擬專用網(wǎng) (VPN) 是提供安全遠程訪問最常見的解決方案，不僅賦予遠程工作者企業(yè)網(wǎng)絡接入，還可使他們能夠訪問該網(wǎng)絡上的應用和數(shù)據(jù)。但這種局域網(wǎng) (LAN) 上用戶天然 “可信” 的過時認知，給攻擊者留出了廣闊的攻擊空間。

幸運的是，名為軟件定義邊界 (SDP) 的遠程訪問新范式采用零信任方法，以基于身份的細粒度訪問代替廣泛的網(wǎng)絡接入，提供重要 IT 資源訪問。SDP 保護企業(yè)免受多種威脅及黑客技術侵害，防止罪犯成功攻破企業(yè)網(wǎng)絡。

本文中，擔任過 Meta Networks 首席執(zhí)行官，目前任職 Proofpoint 零信任產(chǎn)品副總裁的 Etay Bogner 將為我們點出企業(yè) VPN 無法抵御的八種常見安全威脅，揭示 SDP 在直面此類威脅時的有效性。

威脅 1：中間人

攻擊者將自身置于用戶與應用的會話中間，竊聽或偽裝其中一方，使信息交流看起來仍像正常進行一樣，這樣的攻擊就叫做中間人攻擊 (MITM)。SDP 和 VPN 解決方案都能通過加密隧道提供針對 MITM 攻擊的防護。但 SDP 部署全面，始終在線，可全程保護 Web 流量，提供企業(yè)網(wǎng)絡安全訪問。而很多傳統(tǒng) VPN 解決方案為節(jié)省開支和降低延遲，采用單獨的隧道直接發(fā)送 Web 流量，將終端置于風險之中。SDP 卻通過保護開放終端解決了這個問題。

威脅 2：DNS 劫持

DNS 劫持是接入公共 WiFi 網(wǎng)絡工作的又一危害。黑客可介入 DNS 解析，將用戶導引至惡意站點而非其意圖訪問的合法網(wǎng)站。使用惡意軟件或未授權修改服務器均可達成此目的。黑客一旦控制了 DNS，就能將通過此 DNS 上網(wǎng)的其他人引至假冒網(wǎng)站——布局相似，卻包含額外的內(nèi)容，比如廣告等。也可以將用戶導引至包含惡意軟件或第三方搜索引擎的頁面。而始終在線的 SDP 解決方案依托網(wǎng)絡即服務架構，使用策展式安全 DNS 服務執(zhí)行解析，抵御 DNS 劫持攻擊。

威脅 3：SSL 剝離

SSL 剝離屬于 MITM 攻擊的一種，將終端與服務器間的通信降級至非加密形式以便能夠讀取其內(nèi)容。防止 SSL 剝離的一種方式是安裝 HTTPS Everywhere 瀏覽器擴展，強制各處均采用 HTTPS 通信，阻止不請自來的攻擊者將通信降級為 HTTP。SDP 也能阻止此類威脅，通過以加密隧道發(fā)送所有流量加以緩解。

威脅 4：DDoS

分布式拒絕服務 (DDoS) 攻擊中，應用因遭遇流量洪水過載而無法響應正常請求。由于是分布式的，此類攻擊非常難以阻止。拒絕服務攻擊的特征就是攻擊者明顯要阻塞服務的合法使用。

拒絕服務 (DoS) 攻擊主要有兩種形式：搞崩潰服務的，以及淹沒服務的。最嚴重的攻擊就是分布式的。由于保護的是應用而非終端用戶設備，SDP 解決方案對兩種 DDoS 攻擊都有效。SDP 模型中，應用（以及托管這些應用的基礎設施）并不直接接入互聯(lián)網(wǎng)。SDP 解決方案作為網(wǎng)關攔阻一切未授權訪問。

威脅 5：端口掃描

黑客運用端口掃描定位網(wǎng)絡上可利用來攻擊的開放端口。安全管理員必須留意與端口掃描相關的兩大主要關注點。首先，與開放端口及其服務提供程序相關的安全及穩(wěn)定性問題。其次，與通過開放或關閉端口運行于主機上的操作系統(tǒng)相關的安全及穩(wěn)定性問題。由于 SDP 解決方案將所有網(wǎng)絡資源與互聯(lián)網(wǎng)隔離，黑客無法利用此技術找出進入的途徑。

威脅 6：可蠕蟲化漏洞利用

就像近期頻登媒體頭條的 BlueKeep，蠕蟲就是可以從一臺機器爬到另一臺機器的漏洞利用。有什么可大驚小怪的？因為用戶只要進入網(wǎng)絡就會被感染——無論可信網(wǎng)絡還是非受信網(wǎng)絡。換句話說，殺毒軟件和 EDR 等常規(guī)終端安全平臺阻止不了此類漏洞利用，用戶安全意識培訓也無甚幫助。因為無需用戶操作，僅需用戶的筆記本電腦或手機接入網(wǎng)絡的同時有臺被感染設備也接入了同個網(wǎng)絡即可。由于網(wǎng)絡上利用了蠕蟲，大多數(shù)情況下，企業(yè)防火墻或 VPN 無法緩解 BlueKeep 類漏洞利用。零信任 SDP 為用戶提供獨特的固定身份和微隔離訪問，僅供訪問所需的資源，如此一來，被感染設備對整個網(wǎng)絡產(chǎn)生的影響就非常有限了。

威脅 7：暴力破解攻擊

與 DDoS 類似，暴力破解攻擊也是黑客通過反復登錄嘗試，獲取網(wǎng)絡或應用訪問權的方式之一。SDP 解決方案可立即檢測到失敗的登錄嘗試，同時注意到可疑地理位置或登錄時段、設備狀態(tài)改變和終端殺毒軟件缺失或被禁用的情況，從而拒絕訪問。

威脅 8：遺留應用

很多遺留應用設計時沒考慮過從互聯(lián)網(wǎng)訪問的情況，缺乏現(xiàn)代軟件即服務 (SaaS) 應用默認的基本安全措施。通過 SDP 解決方案限制對遺留應用的訪問可以將這些應用與企業(yè)網(wǎng)絡和互聯(lián)網(wǎng)隔離，增加適應性控制措施以降低風險。

從不掉線的軟件定義邊界在應用層守護網(wǎng)關安全，把守通往云基礎設施及其相互之間的交通要道，構筑健壯的安全框架。加之甚至第三方應用提供商都無法刺探通信的加密功能，SDP 為邁向云的公司企業(yè)承諾了理想的高安全邊界。