面向云與移動化時代的“網絡+安全”一體化服務
責編:gltian |2021-11-04 14:44:01現階段,企業數字化轉型主要面臨三大發展趨勢:1、資產云化:與傳統數據中心相比,更多企業開始在云上部署企業資產,例如CRM應用上公有云;2、應用SaaS化:相較于私有應用,數字化企業更傾向于使用外部SaaS應用,例如企業微信、WPS等常見企業級應用;3、辦公遠程化:與內網相比,更多用戶正通過企業外部的網絡來完成工作,例如居家辦公。
面對這些發展趨勢,傳統圍繞數據中心的網絡安全架構已不再適應企業的數字化轉型發展需求,數字化企業需要更統一、簡潔的IT建設解決方案。針對上述發展形式,發布本期牛品推薦——綠盟科技安全訪問服務邊緣SASE。
牛品推薦
第三十期
一、標簽
以身份為核心、支持所有邊緣、POP節點全球分布、云原生架構
二、用戶痛點
1、 資產多云部署帶來多種問題
數字化企業的業務通常部署在多云多地,這帶來了多種問題;網絡方面,為提升應用訪問效果,企業往往會加速各地分支到多云、多地應用的訪問,由此購買CDN、MPLS VPN或建設專線;安全方面,資產云化后,我們很難快速隱藏應用的暴露面。
2、?多分支企業網絡安全建設難
制造業、服務業企業大多具備多分支特征,并且更開放地使用外部SaaS應用。企業需要建設并維護大量分支到總部、分支到分支的連接。總體IT架構往往是互聯網出口集中到總部,導致分支上網流量繞行、延遲大,或各分支到總部拉專線,專線投入逐年增加。企業需要為多分支部署上網行為控制、防火墻等安全產品,以保障員工上網安全,并防止關鍵數據泄露到外部SaaS應用。企業數字化轉型使多分支企業承擔的IT建設負擔越來越重。
3、遠程辦公難兼顧安全和效率
疫情加速了各行業的辦公遠程化、移動化發展趨勢,傳統VPN暴露出的短板讓IT部門感到壓力,如VPN并發量高時易掉線影響員工辦公、VPN連接的建立嚴重依賴網絡質量、VPN自身安全性不足成為黑客突破點等。同時,遠程訪問應用的用戶組成復雜,包括員工、三方合作伙伴、代理商等,而應用訪問權限設置往往粗放,有潛在風險。
4、提升跨國訪問速度與安全性
跨國企業一直存在海外分支訪問國內網絡慢、跨國MPLS VPN建設成本高的痛點。數字化轉型使企業的跨國訪問需求和對外部SaaS應用的依賴增加,因此企業需要更高性價比的跨國網絡服務來同時保障全球各地分支的辦公效率和上網安全,降低使用o365等企業級SaaS應用帶來的數據外泄風險。
從上述四種場景下企業的不同痛點可以看出,企業需要一個更具性價比、簡潔統一的網絡+安全綜合服務解決方案,來替代拉專線、建VPN、本地堆安全設備的傳統IT建設方案。
三、解決方案
圖1 綠盟SASE全景圖
綠盟安全訪問服務邊緣(NSFOCUS Security Access Services Edge,簡稱“綠盟SASE”)在綠盟云上集成SD-WAN和多種安全能力(零信任訪問控制、上網行為控制、數據防泄漏等),對外提供網絡和安全一體化的SaaS服務,旨在以一朵邊緣云為中繼,處理用戶到應用、設備到應用等多種連接,提供接入控制、安全防護、網絡加速等安全和網絡能力。
1、能力統一云交付
綠盟SASE上移了安全和網絡能力,采用統一的云交付形式,由綠盟科技運營團隊7*24小時運營,減小企業的IT建設和運維負擔。
2、PoP點全球分布
綠盟SASE的PoP節點數量多,分布在全球,對等PoP節點提供相同的安全和網絡能力,使企業各地的分支流量均能就近接入,保證網絡服務質量。
3、彈性云原生架構
綠盟SASE的網絡和安全均支持彈性擴容,可以根據用戶需求快速新建PoP點,提供網絡服務,也可在PoP點彈性起停和擴展安全能力。
4、基于身份的訪問控制
零信任網絡訪問(Zero Trust Network Access ,簡稱“ZTNA”)是安全能力的關鍵。與傳統的以IP控制訪問相比,ZTNA以用戶身份為核心,提供更精細化的訪問控制。
綠盟SASE基于上述四大特點,推出了綠盟私有應用訪問和綠盟互聯網安全訪問兩大SaaS服務,幫助用戶解決企業在數字化轉型下的IT建設痛點問題。
(一)綠盟私有應用訪問服務
綠盟私有應用訪問服務(NSFOCUS Private Access,簡稱“NPA”)是一款主打零信任的內網訪問安全SaaS服務,適用于用戶到私有數據/應用的連接場景。該服務基于零信任理念,結合SDP(軟件定義邊界)技術和SD-WAN為客戶提供服務。
圖2 綠盟私有應用訪問服務NPA
能力一 全球多點彈性SD-WAN組網
NPA為用戶提供全球多分支到各點資產的SD-WAN組網服務。NPA可在客戶的各個分支部署SD-WAN CPE,將受SASE保護的應用訪問流量就近導入綠盟SASE,并基于SASE的優質底層鏈路,實現跨國訪問加速和云上應用訪問加速。SD-WAN還可以提升帶寬資源利用率和Internet可用性,從而降低客戶的專線投入。
此外,SD-WAN可以有效改善跨國企業的網絡構建問題。傳統的互聯網或跨境VPN方案往往時延高、丟包多、穩定性差;且跨境專線成本昂貴,帶寬大小不能按需調整;再加上全球分支多,傳統方案運維壓力極大。NPA可在全球彈性構建SD-WAN網絡,靈活設置云PoP點,全球分支部署CPE即插即用,為客戶快速升級跨境組網,降低跨境時延。同時用戶可登錄綠盟科技網絡管理監控平臺,輕松省力的進行全局可視化運維。
圖3 全球組網,統一平臺運維
能力二 全面隱藏應用與網絡
NPA融入了SDP技術,不僅可以隱藏用戶應用,還能隱藏SASE云自身,只有授權的用戶使用可信的客戶端,才能看到并訪問被保護的應用,其他人員均不可見,也不能與應用或SASE云建立連接。該能力很好的解決了資產云化和多地部署后的暴露面增加問題,其全面統一的網絡和應用隱身功能讓攻擊者無從下手。
圖4 NPA服務提供網絡&應用隱身能力
能力三 零信任訪問控制能力
NPA基于零信任理念,為所有接入的應用統一設置了一道強認證保障,可統一配置下發場景自適應的認證策略,降低弱口令等安全風險。同時,NPA提供豐富的無密碼認證、認證策略自適應、自定義編排等方式,滿足用戶在不同業務場景下的安全認證等級要求。
此外,NPA實現了動態按需的最小授權功能,確保只有可信的訪問主體(人和設備)才能對應用可見、可連接、可訪問,例如當某用戶終端設備被發現有危險進程時,NPA可拒絕該用戶的訪問請求。此外,NPA還可根據用戶上下文行為實時評估風險,執行放行或阻斷訪問。
在遠程辦公場景下,該能力還可以解決用戶組成復雜、訪問控制難、傳統VPN基于IP授權粒度過粗等問題。NPA使用戶可以在一個平臺上統一管理所有遠程訪問連接,配置多樣化的認證策略,并對所有用戶進行精細化應用授權,由此提升遠程訪問的安全性,以零信任理念保護企業關鍵數據,降低泄露風險。
能力四 自身安全加固
NPA主要從以下四個維度進行自身的安全加固:
- 客戶端防植入防仿冒。客戶端PKI證書可提供客戶端認證和數據加密簽名服務,并由服務端進行驗證來防止植入或篡改,防止客戶端仿冒;
- 數據防竊取防回放。NPA利用PKI非對稱密鑰進行雙向身份驗證,對存儲數據進行加密和數字簽名,防止竊取和篡改。并在簽名中加入動態指紋,防止回放;
- 通信加密防會話劫持。NPA的所有通信均進行了TLS雙向加密,防止會話被劫持。
- 避免自身成為突破口。SASE云端的控制器和網關默認不開任何TCP端口,也不作響應,避免暴露自身,成為攻擊的突破口。云上網關只有在“敲門”成功后才給該客戶端開放注冊端口。
以上能力提升了NPA自身的安全性,自身不再是攻擊突破點,讓用戶更放心的使用云服務。
(二)綠盟互聯網安全訪問服務
綠盟互聯網安全訪問服務(NSFOCUS Internet Access,簡稱“NIA”)主要解決互聯網訪問時外部網絡帶給企業的安全問題。NIA即服務化的云上安全網關,它結合上網行為管理、云安全訪問代理(CASB)、防火墻、IPS、沙箱等技術,為用戶提供針對Web和Internet威脅的強力保護。NIA具備惡意URL過濾、防惡意軟件、文件防泄漏、外部SaaS應用發現和審計等能力,可從多方面幫助企業抵御互聯網威脅。
與傳統上網安全建設方案相比,NIA的服務形式減小了企業分支的建設負擔,企業無需本地部署安全硬件,僅需輕量部署SD-WAN CPE,即可將上網流量導向綠盟SASE,實現云端安全防護。
圖5 綠盟互聯網安全訪問服務NIA
能力一 分支訪問Internet不繞行
傳統的IT建設方案經常采用圖6左側的方式來收斂互聯網出口到總部及少數的分支,以聚焦在少數的互聯網出口建設安全能力。但該建設方式往往犧牲分支上網效率、專線投入大,或需要多點做安全建設。NIA可以改變用戶各分支上網流量繞行的窘況,用戶也不必過度投入專線建設,分支和總部就近接入SASE PoP點即可快速、安全訪問互聯網。
圖6 傳統IT架構與SASE影響下的IT架構
能力二 降低多分支安全建設壓力
原本多分支部署的上網行為控制、防火墻、IPS等安全設備,均可從NIA按需訂閱。NIA以云服務形式為企業各分支開通防護能力,從而減少整體的安全建設投入。此外,IT人員可以在云端統一運維,簡單易用,有效提升運維效率。
能力三 控制上網行為保障上網安全
NIA可控制員工對不同類型網站的訪問行為,屏蔽惡意URL,及時發現并阻止惡意文件,保障員工上網安全。同時,NIA還可以發現并及時阻斷員工的外發敏感文件行為。
能力四 安全使用外部SaaS應用
當前,數字化企業越來越依賴外部SaaS應用,這些外部SaaS應用難以私有化,且基于公有云的SaaS應用更能幫助公司提升辦公效率。因此如何了解員工在使用哪些SaaS應用并進行管控成為IT新難題。NIA融合CASB能力,具備發現企業影子IT并對企業SaaS應用進行審計管控的能力,如管控企業員工利用百度網盤上傳下載文件等。
數字化轉型企業的流量模型已經發生了巨大的變化,傳統我們以網絡為邊界判斷流量的入和出,而“云化、應用SaaS化、辦公遠程化”已逐漸成為新的流量模型。綠盟互聯網安全訪問服務主要解決企業進行互聯網訪問時外部網絡對企業造成的安全問題,通過在綠盟云上集成SD-WAN和零信任訪問控制、上網行為控制、數據防泄漏等技術,提供接入控制、安全防護、網絡加速等安全和網絡能力。
上一篇:車聯網時代的五個重點安全目標
下一篇:美國全國步槍協會遭勒索軟件攻擊