——下一代网络准入控制系统助力零信任时代下的企业安全体系建设
背景
近20年来,数字化转型给企业带来便利的同时,也给企业安全带来了巨大变化,尤其是企业面临的网络威胁逐渐呈现复杂和多变的趋势,迫使企业不得不构筑一道道网络安全防护墙来抵御各种风险。其中,作为内网安全防护的“第一道关卡”,网络准入控制系统依托身份认证和安全检查结果实施访问控制措施,在网络安全中发挥了积极的防御作用,降低网络安全的脆弱性,保证了企业网络边界的安全。
随着零信任时代和万物互联时代的到来,企业网络设备的数量和类型激增,网络边界不断延伸,访问与操作已变得极其复杂。传统技术手段下已难以适应当前安全需求和趋势,这就要求新一代的网络准入控制技术来满足不断变化的网络和终端环境,包括提出更具有适应性的技术架构、更具广度的大数据计算、更具开放性的对外接口等。
主要问题分析
面对未来愈加复杂异构的网络环境,一种或者固定的网络准入控制手段早已不能适应种类繁多和复杂的安全场景,相比较现有的网络准入控制系统,下一代的网络准入控制系统应该重点关注并解决以下方面的问题:
1、终端资产全面收集
网络的发展和信息化程度的提升,各种打印机、摄像头、IP电话、BYOD手持设备等“哑终端”不断涌现。Gartner 预计,到2020年将安装超过204亿台物联网设备。90%的用户随身携带移动设备。早期的网络准入技术通过客户端收集终端信息,但受客户端与平台之间兼容性等问题的影响,信息收集容易导致不全面的后果。现今要想在多样化的网络环境中保证网络安全,必须全方位掌握网络中的终端(资产)信息,感知各类资产的运行状况和异常情况,是做好网络安全防护的关键一步。
2、持续检测功能
现有的网络准入控制系统是“静态”的看设备,设备入网前严格检查,入网后终端就自由通行,即使设备合规状态变化了也无从知晓。面对现在愈发复杂的网络环境和攻击威胁,新一代网络准入控制系统除了强制安全基线合规外,更应加强对终端的威胁检测、行为分析、网络流量分析,实现对终端的情报检测、大数据分析、异常威胁画像,提高对终端安全威胁的检测和发现能力。
传统网络准入控制系统设备入网检测流程
3、内部威胁监测
传统的防护手段难以发现一些潜伏性和持续性等威胁巨大的攻击行为。然而新一代网络准入控制系统可以通过对终端漏洞进行控制、对网络中的异常行为进行监视以及与周边安全设备进行互操作,在防御高级持续性威胁攻击方面发挥作用,最终构筑一套纵深防御的安全体系。
下一代网络准入控制技术的几个“亮点”
1、终端全面收集,精准定位
软、硬件探针技术充分结合,秒级发现刚入网的设备。并能根据不同的行业,形成了特有的行业设备类型识别规则(如金融、制造、医院、公共安全的视频专网等),可以精准的识别各种IT、IoT、ICT设备,同时支持自定义设备类型和识别规则。
针对ICT、IoT设备支持10+个维度的指纹特征,更加精准的标识一台设备,让设备仿冒无所遁形。针对计算机设备,可以采用安全控件或者远程安全检查的方式,同时支持与AD域、WSUS结合形成闭环管理。
同时可以对设备进行分组,针对不同的设备分组进行网络访问控制;对于存在威胁或者其它不合规行为的设备,可以动态下发网络控制权限,进行隔离或下线。
2、零信任安全理念运用
传统安全中攻击者在成功突破一个防御点(例如防火墙或用户登录名)之后便能利用网络固有的信任弱点,通过在网络、应用环境中横向移动来锁定敏感数据目标。在受信任区域内发起攻击的内部威胁更容易获得更高的权限。而零信任架构的安全体系,以资产可见性驱动安全策略的制定,提供尽可能丰富的情报和可见性,仅向经验证和授权的用户和设备提供应用程序和数据访问。信任不是一次性的,也不是恒久不变的,需要持续验证。动态访问控制策略,访问决策的制定以每一次重新建立起的信任为基础。
3、持续监控能力
运用协议还原技术、入侵检测技术、幻影技术、面包屑技术、威胁情报结合AI,智能感知针对高价值资产的攻击;自动检测已知、未知的威胁和网络异常行为。同时可以与其他产品联动,对存在问题的主机进行调查取证。
4、联合其他网络安全系统构建纵深防御体系
传统管理思路的局限性体现在不能完整覆盖终端类型和网络环境,不能统一管理,导致形成安全系统的孤岛建设,不仅管理效率低,还存在安全系统间的安全空隙风险;且终端上将会积累越来越多的客户端,使得终端运行越来越慢,用户体验感变差,运维压力变大。随着技术的新运用,终端准入控制产品将更有效地加强用户终端主动管理能力,并加强与其他网络安全系统的联动,例如与VPN/SDP/EMM-APN/EDR等结合起来,进一步对网络端和终端实现同等保护服务。
下一代网络准入控制系统整体框架
下一代网络准入控制技术的优势
随着互联网、移动互联网、大数据、云计算等现代信息技术的深度发展和推广,IT系统规模也在不断扩展,给企业IT运维管理带来了新挑战。在用户、在终端、应用层面、安全管理等方面,都需要将网络安全从疲于奔命的被动防御转为主动防御,提高整体网络安全防护能力。所以,解决IT运维管理的复杂性,需要标准化的管理流程工具,避免人为失误与网络威胁。
下一代网络准入控制技术采用了“动态”防御技术与传统的“静态”检查结合起来,不论员工在哪里,不论设备从哪里接入,都能持续监控网络攻击及异常行为,保证企业网络的“边界”安全。
网络准入控制技术发展历程
结语
网络准入控制技术发展至今,一直在迭代更新,不同时期的技术特点和关注点也不一样,下一代网络准入控制系统的发展将走向何方?作为国内最早研发、应用最广的网络准入控制厂商,联软科技认为网络准入控制是安全技术与管理流程的结合,它不只是一个安全工具,也是解决安全管理问题的基础设施,下一代网络准入控制系统将会具有功能更完备、自适应能力强、部署维护简便、分析展现直观等特点,在面对更多样的网络环境时,例如面对当前零信任、远程办公等的运用环境,下一代网络准入控制系统将会有更广阔的应用前景。