Posted: 1 Min ReadChinese, Simplified
Original Post: English

深入挖掘零信任技术

企业不能再依赖曾经流行的城堡护城河方法。未来趋势是零信任网络

在以禁酒令时期的芝加哥为背景的影片《铁面无私》中,肖恩·康纳利扮演一名老练警察,为凯文·科斯特纳扮演的角色指点迷津,他曾提到,这个世界教给我们的第一课是:不要相信任何人。

安全领域也应当采用同样直截了当的方法,在转变陈旧的信任思维时更是如此。传统的安全方法是在网络边缘验证用户身份,确定用户是否值得信任。如果用户被认定为值得信任,就能进入网络。反之,用户会被拦截在外。不幸的是,您永远无法真正建立起完全的信任。

与此同时,当入侵者能够通过黑客攻击和防火墙漏洞进入基于边界的安全系统时,曾经流行的城堡护城河方法就显得力不从心了。因此,业界开始寻找解决企业安全问题的新方法,即以数据为中心的全面安全防护。

正如我在之前的一篇博文中所提及的,许多企业选择了 Forrester 的零信任模型,作为保护自身安全的实用方案。零信任模型认为,威胁无处不在,企业外部内部均暗藏着众多威胁因素。当前世界,云端和移动端的重要性越发凸显,传统边界已死,数据无处不在。

因此,企业需要对数据本身进行粒度保护,并且必须跨所有数据访问点(例如移动设备、云工作负载和企业网络)进行控制。

在未来的博文中,我们将深入探索零信任的每一个关键“支柱”。不过,首先,我想深入挖掘它在网络安全控制环境中的含义。让我们了解一下零信任网络。

零信任网络

在零信任网络中,没有人能获得免费通行证,即使身处网络边界内也毫不例外。事实上,传统的网络边界已不复存在。网络已被逐层分割,最后形成存在众多微边界的微分割式网络。 

来自个人或设备的任何访问微边界内资源的请求都需要经过严格的验证。此外,这些边界内的数据已根据敏感度进行分类,最敏感的数据会被加密。只有授权用户才能访问云中的数据。当然,行业动态千变万化,因此,在打造现代化零信任网络时需要综合考虑监控用户的能力,基于用户洞察以及行为风险评分、设备类型、用户位置等因素来调整对各网络段的访问权限。  

请记住,现代网络不仅仅包括数据中心,而是已经扩展到了云端。因此,云端也需要遵循相关的数据分割和访问控制原则。而在 Web 方面,是否有些 Web 是您不希望用户访问的,是否还有些 Web 是用户出于工作需要必须访问、但会让您精神紧张的?因此,您需要根据风险分割 Web,监控并严格控制数据的交换和访问。

所有这些措施都是为了限制或严格控制各网络段的访问权限,以避免遭受安全威胁,同时尽可能减少作恶分子突破企业防御后造成的潜在损害。

除了进行分割和访问控制之外,还需要扫描来自各个来源的网络通信,监控其是否存在威胁。Web 网关拥有扫描可能隐藏恶意软件的加密通信的能力,专为承担此类棘手问题而设计。它们可将通信发送至沙盒等工具,从而阻止零日威胁。电子邮件网关可集成威胁隔离等最佳工具,抵御猖獗的网络钓鱼攻击。这些工具依赖于准确的实时威胁情报,应当成为零信任网络方法不可或缺的一部分。

许多企业选择了 Forrester 的零信任模型,作为保护自身安全的实用方案。

是否值得投入精力?

但是,为什么要投入时间和精力(尤其是投资)打造零信任网络?那些采用了零信任技术的企业早已算清利害,确定数据泄露的损失要高于打造零信任网络所需的投资。他们相信,如果发生数据泄露,由于网络分割和数据隔离措施已经到位,数据泄露造成的损失将大大降低。 

同时,零信任网络的监控和取证功能能够识别入侵者及其造成的影响,并启动自动缓解措施,抵御威胁,此后,自动化可以协调网络和其他控制点(例如移动设备)中的补救措施,将企业的安全状态调整至适当的水平。 

另一个好处是:零信任模型有助于企业在保护数据以及对设备和网络实施身份验证和访问控制时遵守严格的合规要求。不少企业已将零信任计划与必须遵守的广泛合规制度紧密联系起来。

零信任网络 - 为何选择赛门铁克?

赛门铁克拥有广泛的安全解决方案,在提供实施零信任网络方法所需的深厚能力方面具有得天独厚的优势。主要技术包括:

  • Web 和电子邮件安全网关
  • 威胁隔离和网络沙盒
  • 网络取证和加密通信管理
  • 以信息为中心的加密和数据泄露防护 (DLP)
  • 云应用程序安全
  • 用户行为分析
  • SD-WAN

此外,我们最近与 Fortinet 就防火墙技术开展了合作,将一流的 Fortinet 下一代防火墙与我们基于云的网络安全服务有机融合。 

当企业将目光投向零信任网络“支柱”之外的领域时,企业会意识到,赛门铁克也能够满足其在零信任以外领域的需求。我们的集成式网络防御平台覆盖广泛,能力深厚,高度集成,因此,Forrester 在最近的《Forrester Wave™:2018 年第四季度零信任扩展 (ZTX) 生态系统供应商》中将我们被评为市场领导者。如需了解赛门铁克产品组合如何打造零信任框架的更多详细信息,请参见赛门铁克零信任主题页面。 

如果您正在探索零信任技术,不妨联系赛门铁克,了解我们如何助您开启零信任之旅。我希望这篇关于零信任网络的博文对您有所启发,期待与广大客户和合作伙伴继续探讨零信任技术。

About the Author

Gerry Grealish

Head of Product Marketing, Network Security

Gerry is the Head of Product Management for Symantec’s Network Security product line. Prior to joining Symantec through the acquisition of Blue Coat, Gerry was CMO at Perspecsys, a leader in the fast growing CASB cloud security market.