白山云科技
11月26日,云云安全专家张欢应成都世界信息安全大会邀请,在大会上发表演讲 《云原生应用零信任实践》 ,本文将对演讲精华进行提炼分享。
边界防护体系还能坚持多久?
2020年初的新冠灾祸使移动远程办公室成为主流,来自多个地方的人们通过互联网访问总部,访问重要的业务信息。IT环境已经在悄然变化,接入网络的人员、设备、系统、网络的多样性和复杂性无法预估,任何用户的任何设备在任何位置都有可能接入,在这种情况下如何进行
谁真的在访问系统?
访问环境安全吗?
他有访问权限吗?
如何避免数据泄露?
另一方面,随着公有云市场占有率的上升,企业倾向于接入云,企业的关键业务将被安排在公有云上,原本只能通过内部网接入的高灵敏度业务系统必须对互联网开放,其曝光安全战场不断扩大,网络边界必然消失,传统的基于网络位置的信任体系已经难以满足企业数字化转型的需要。
以“人”为本的新信任体系
基于对上述安全风险的分析和发现,Forrester Research提出了新的信任体系——零信任:
“零信任”提出了排除可信内部和不可信外部网络区域的概念,本质上,任何数据流量都是不可信的。 数据流通过你的网络时,重要的是所有相关人员必须在所有方面进行限制,并进行重新认证和验证。
零托拉斯要解决的核心问题其实只有一个。 要确保在无边界网络环境下,所有业务访问都以可信的方式访问可信的人、终端或系统,消除传统边界安全模型中隐含的信任漏洞:
持续验证,动态调整授权:零信任体系中信任随时变化,没有永久的信任。 因此,虽然在业务访问前完成了人员、终端、业务的可信判定,但给出的授权只是初步的静态授权。 在对访问源资源的访问过程中需要全程监控访问行为,发现异常行为时,需要及时降低访问源的可靠性,重新认证访问源或者减少访问源的访问权限;
确认四个可信:人可靠、终端可靠、资源可靠、行为可靠。 零信任不是没有信任,而是确认在哪里是否可靠,进行细粒度的强认证
摒弃内外网概念:安全门尽量向边缘推进,缩小信赖边界
零信任安全架构消除了传统的网络边界,以身份为新边界构建“零信任系统”,“人”是网络核心价值点。 只要在网络中,任何用户都不可信,需要随时验证任何环境、设备、身份、权限。
SASE:通往零信任之路
如果企业从现有的物理网络上进行改造必然会花费巨大成本,缺乏基础的网络架构,零信任的其他功能又会像空中楼阁一样美观,实际上很难落地。 或者看起来落地了,但规模变大了就会遇到不可避免的大坑。 信任体系的变革需要以下路径。
SASE:Gartner定义SASE是一种基于实体的身份、实时上下文、企业安全和合规性策略以及跨会话持续评估风险/可靠性的服务。 实体的身份可以与个人、个人组(分支机构)、设备、APP、服务、物联网系统或边缘计算站点相关联。
SASE是将网络即服务和安全即服务相结合的(网络+安全=SASE)这一非常庞大的概念,由如果将零信任当作是目的地,那么SASE则是抵达目的地的“直线”路径。
3358 www.Sina.com/http://www.Sina.com/http://www.Sina.com/http://www.Sina.com /
SASE将网络和安全性统一在一个平台上,将接入技术堆栈推入到易于管理的连接网络中进行统一管理。 SASE为 /
整个网络架构的躯干,其实是互联网和MPLS专线。 但是,在架构上安装了SD-WAN控制器,即SD-WAN管理控制核心。 通过集中式界面,云提供了SD-WAN体系结构。 连接公司网络、数据中心、APP应用程序和业务系统。 各分公司和分支机构将客户端终端设备作为边缘节点(PoP )连接到SD-WAN,管理员可以通过APP应用层接口配置SD-WAN控制器,SD-WAN根据当前网络状况和配置策略在这样的架构下,有效地降低了广域网的成本,提高了网络连接
的灵活性和性能。SD-WAN是SASE的关键组件,甚至当做最关键的组件都不为过。因为在现如今的网络方案中,只有SD-WAN能够以最低成本,并且与业务相结合,把核心能力下放到边缘,使数据处理和安全能力都在边缘进行,满足当前和未来云上和移动业务的动态安全需求。
//网络 + “安全” = SASE
SASE把网络和安全整合到一个平台中,将访问技术栈压进方便管理的连接网络,进行统一管理:SASE就是借助SD-WAN搭建起来的虚拟化架构去集中化。
SASE将安全控制能力进行了抽离并整合,如同共享单车一般,实现了即用即租的“共享安全”:
弹性扩展,覆盖全需求场景:集成单点安全解决方案至统一的云平台中,基于云原生架构,实现安全服务能力的弹性扩展,契合企业各发展阶段的安全防护需求;
简化IT建设复杂度:SASE为企业提供统一的管控平台,实现针对所有位置、用户、设备和应用程序进行设置、监视、调整和实施,避免为不同解决方案处理多种策略;
降低 “人+物” 管理成本:企业无需维护大量的服务提供商,同时节省物理基础设施管理维护所需的时间、金钱、内部资源等成本。
//网络 + 安全 = “SASE”
未来可能的趋势是:互联网即企业WAN,所有的企业的内部应用都能通过边缘节点来访问,并且不需要那么复杂的网络架构,而数据中心和企业应用则由内向向外发起链接。通过零信任的访问云,实现攻击防御、身份验证、授权审计,管理者则可以轻松的实现整个平台的管理和监控的绝对控制权。
SASE通过将不同的安全能力灵活弹性的施加到靠近接入终端的边缘节点,让流量以最小代价进行安全检测,简而言之就是将安全能力以一种相对集中又分布式的方式交付给用户。
以身份为中心驱动网络和安全策略,企业则无需考虑设备或地理位置;
支持所有边缘,为企业资源创建一个独立的安全网络,涵盖移动用户、PC用户、云资源、数据中心资源、总部资源、分支资源等;
安全服务化,共享云端的所有安全能力;
基于云原生架构,包括:弹性、自适应性、自恢复能力和自维护,分摊客户开销以提供最大效率,适应新兴业务需求,而且随处可用;
全球分布,确保所有网络和安全功能随处可用,并向全部边缘交付尽可能好的体验。
YUNDUN零信任实践
//应用可信访问
YUNDUN基于边缘访问网关技术,将WAF的节点,作为边缘安全加速节点,集成身份认证和访问控制,实现:
资产集中收敛、统一工作入口,隐藏资产攻击面
替代内部VPN
内网应用快速SaaS化
提供综合的解决方案级产品
降低建设IT+安全复杂性
安全检测分析平台联动
//安全加速SDK
YUNDUN基于软件定义边界(SDP)理念,融合IP跳变的思想,将安全对抗前置至访问边缘处,实现:
小攻击面,先验证后连接,非白即黑
设备/资源/行为 动态可信链
改变DDoS攻防天平
可控流量调度
//安全边缘访问服务平台
YUNDUN基于SASE架构计划实现的安全边缘访问服务平台,满足各类用户例如企业、分支机构、个人用户、甚至IoT设备的网络需求安全需求。将所有流量都将通过一些WAN网络或CDN节点接入边缘网关,并根据不同的访问需求分配不同的安全检测路径,最后再回到客户自己的数据中心、业务系统应用。结合YUNDUN核心安全业务,构建云原生安全CDN+云原生零信任。