——下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)助力零信任時(shí)代下的企業(yè)安全體系建設(shè)

背景

近20年來(lái)，數(shù)字化轉(zhuǎn)型給企業(yè)帶來(lái)便利的同時(shí)，也給企業(yè)安全帶來(lái)了巨大變化，尤其是企業(yè)面臨的網(wǎng)絡(luò)威脅逐漸呈現(xiàn)復(fù)雜和多變的趨勢(shì)，迫使企業(yè)不得不構(gòu)筑一道道網(wǎng)絡(luò)安全防護(hù)墻來(lái)抵御各種風(fēng)險(xiǎn)。其中，作為內(nèi)網(wǎng)安全防護(hù)的“第一道關(guān)卡”，網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)依托身份認(rèn)證和安全檢查結(jié)果實(shí)施訪問(wèn)控制措施，在網(wǎng)絡(luò)安全中發(fā)揮了積極的防御作用，降低網(wǎng)絡(luò)安全的脆弱性，保證了企業(yè)網(wǎng)絡(luò)邊界的安全。

隨著零信任時(shí)代和萬(wàn)物互聯(lián)時(shí)代的到來(lái)，企業(yè)網(wǎng)絡(luò)設(shè)備的數(shù)量和類型激增，網(wǎng)絡(luò)邊界不斷延伸，訪問(wèn)與操作已變得極其復(fù)雜。傳統(tǒng)技術(shù)手段下已難以適應(yīng)當(dāng)前安全需求和趨勢(shì)，這就要求新一代的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)來(lái)滿足不斷變化的網(wǎng)絡(luò)和終端環(huán)境，包括提出更具有適應(yīng)性的技術(shù)架構(gòu)、更具廣度的大數(shù)據(jù)計(jì)算、更具開(kāi)放性的對(duì)外接口等。

主要問(wèn)題分析

面對(duì)未來(lái)愈加復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境，一種或者固定的網(wǎng)絡(luò)準(zhǔn)入控制手段早已不能適應(yīng)種類繁多和復(fù)雜的安全場(chǎng)景，相比較現(xiàn)有的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，下一代的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)應(yīng)該重點(diǎn)關(guān)注并解決以下方面的問(wèn)題：

1、終端資產(chǎn)全面收集

網(wǎng)絡(luò)的發(fā)展和信息化程度的提升，各種打印機(jī)、攝像頭、IP電話、BYOD手持設(shè)備等“啞終端”不斷涌現(xiàn)。Gartner 預(yù)計(jì)，到2020年將安裝超過(guò)204億臺(tái)物聯(lián)網(wǎng)設(shè)備。90%的用戶隨身攜帶移動(dòng)設(shè)備。早期的網(wǎng)絡(luò)準(zhǔn)入技術(shù)通過(guò)客戶端收集終端信息，但受客戶端與平臺(tái)之間兼容性等問(wèn)題的影響，信息收集容易導(dǎo)致不全面的后果?，F(xiàn)今要想在多樣化的網(wǎng)絡(luò)環(huán)境中保證網(wǎng)絡(luò)安全，必須全方位掌握網(wǎng)絡(luò)中的終端（資產(chǎn)）信息，感知各類資產(chǎn)的運(yùn)行狀況和異常情況，是做好網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵一步。

2、持續(xù)檢測(cè)功能

現(xiàn)有的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是“靜態(tài)”的看設(shè)備，設(shè)備入網(wǎng)前嚴(yán)格檢查，入網(wǎng)后終端就自由通行，即使設(shè)備合規(guī)狀態(tài)變化了也無(wú)從知曉。面對(duì)現(xiàn)在愈發(fā)復(fù)雜的網(wǎng)絡(luò)環(huán)境和攻擊威脅，新一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)除了強(qiáng)制安全基線合規(guī)外，更應(yīng)加強(qiáng)對(duì)終端的威脅檢測(cè)、行為分析、網(wǎng)絡(luò)流量分析，實(shí)現(xiàn)對(duì)終端的情報(bào)檢測(cè)、大數(shù)據(jù)分析、異常威脅畫(huà)像，提高對(duì)終端安全威脅的檢測(cè)和發(fā)現(xiàn)能力。

傳統(tǒng)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)設(shè)備入網(wǎng)檢測(cè)流程

3、內(nèi)部威脅監(jiān)測(cè)

傳統(tǒng)的防護(hù)手段難以發(fā)現(xiàn)一些潛伏性和持續(xù)性等威脅巨大的攻擊行為。然而新一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以通過(guò)對(duì)終端漏洞進(jìn)行控制、對(duì)網(wǎng)絡(luò)中的異常行為進(jìn)行監(jiān)視以及與周邊安全設(shè)備進(jìn)行互操作，在防御高級(jí)持續(xù)性威脅攻擊方面發(fā)揮作用，最終構(gòu)筑一套縱深防御的安全體系。

下一代網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的幾個(gè)“亮點(diǎn)”

1、終端全面收集，精準(zhǔn)定位

軟、硬件探針技術(shù)充分結(jié)合，秒級(jí)發(fā)現(xiàn)剛?cè)刖W(wǎng)的設(shè)備。并能根據(jù)不同的行業(yè)，形成了特有的行業(yè)設(shè)備類型識(shí)別規(guī)則（如金融、制造、醫(yī)院、公共安全的視頻專網(wǎng)等），可以精準(zhǔn)的識(shí)別各種IT、IoT、ICT設(shè)備，同時(shí)支持自定義設(shè)備類型和識(shí)別規(guī)則。

針對(duì)ICT、IoT設(shè)備支持10+個(gè)維度的指紋特征，更加精準(zhǔn)的標(biāo)識(shí)一臺(tái)設(shè)備，讓設(shè)備仿冒無(wú)所遁形。針對(duì)計(jì)算機(jī)設(shè)備，可以采用安全控件或者遠(yuǎn)程安全檢查的方式，同時(shí)支持與AD域、WSUS結(jié)合形成閉環(huán)管理。

同時(shí)可以對(duì)設(shè)備進(jìn)行分組，針對(duì)不同的設(shè)備分組進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制；對(duì)于存在威脅或者其它不合規(guī)行為的設(shè)備，可以動(dòng)態(tài)下發(fā)網(wǎng)絡(luò)控制權(quán)限，進(jìn)行隔離或下線。

2、零信任安全理念運(yùn)用

傳統(tǒng)安全中攻擊者在成功突破一個(gè)防御點(diǎn)（例如防火墻或用戶登錄名）之后便能利用網(wǎng)絡(luò)固有的信任弱點(diǎn)，通過(guò)在網(wǎng)絡(luò)、應(yīng)用環(huán)境中橫向移動(dòng)來(lái)鎖定敏感數(shù)據(jù)目標(biāo)。在受信任區(qū)域內(nèi)發(fā)起攻擊的內(nèi)部威脅更容易獲得更高的權(quán)限。而零信任架構(gòu)的安全體系，以資產(chǎn)可見(jiàn)性驅(qū)動(dòng)安全策略的制定，提供盡可能豐富的情報(bào)和可見(jiàn)性，僅向經(jīng)驗(yàn)證和授權(quán)的用戶和設(shè)備提供應(yīng)用程序和數(shù)據(jù)訪問(wèn)。信任不是一次性的，也不是恒久不變的，需要持續(xù)驗(yàn)證。動(dòng)態(tài)訪問(wèn)控制策略，訪問(wèn)決策的制定以每一次重新建立起的信任為基礎(chǔ)。

3、持續(xù)監(jiān)控能力

運(yùn)用協(xié)議還原技術(shù)、入侵檢測(cè)技術(shù)、幻影技術(shù)、面包屑技術(shù)、威脅情報(bào)結(jié)合AI，智能感知針對(duì)高價(jià)值資產(chǎn)的攻擊；自動(dòng)檢測(cè)已知、未知的威脅和網(wǎng)絡(luò)異常行為。同時(shí)可以與其他產(chǎn)品聯(lián)動(dòng)，對(duì)存在問(wèn)題的主機(jī)進(jìn)行調(diào)查取證。

4、聯(lián)合其他網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建縱深防御體系

傳統(tǒng)管理思路的局限性體現(xiàn)在不能完整覆蓋終端類型和網(wǎng)絡(luò)環(huán)境，不能統(tǒng)一管理，導(dǎo)致形成安全系統(tǒng)的孤島建設(shè)，不僅管理效率低，還存在安全系統(tǒng)間的安全空隙風(fēng)險(xiǎn)；且終端上將會(huì)積累越來(lái)越多的客戶端，使得終端運(yùn)行越來(lái)越慢，用戶體驗(yàn)感變差，運(yùn)維壓力變大。隨著技術(shù)的新運(yùn)用，終端準(zhǔn)入控制產(chǎn)品將更有效地加強(qiáng)用戶終端主動(dòng)管理能力，并加強(qiáng)與其他網(wǎng)絡(luò)安全系統(tǒng)的聯(lián)動(dòng)，例如與VPN/SDP/EMM-APN/EDR等結(jié)合起來(lái)，進(jìn)一步對(duì)網(wǎng)絡(luò)端和終端實(shí)現(xiàn)同等保護(hù)服務(wù)。

下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)整體框架

下一代網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的優(yōu)勢(shì)

隨著互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等現(xiàn)代信息技術(shù)的深度發(fā)展和推廣，IT系統(tǒng)規(guī)模也在不斷擴(kuò)展，給企業(yè)IT運(yùn)維管理帶來(lái)了新挑戰(zhàn)。在用戶、在終端、應(yīng)用層面、安全管理等方面，都需要將網(wǎng)絡(luò)安全從疲于奔命的被動(dòng)防御轉(zhuǎn)為主動(dòng)防御，提高整體網(wǎng)絡(luò)安全防護(hù)能力。所以，解決IT運(yùn)維管理的復(fù)雜性，需要標(biāo)準(zhǔn)化的管理流程工具，避免人為失誤與網(wǎng)絡(luò)威脅。

下一代網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)采用了“動(dòng)態(tài)”防御技術(shù)與傳統(tǒng)的“靜態(tài)”檢查結(jié)合起來(lái)，不論員工在哪里，不論設(shè)備從哪里接入，都能持續(xù)監(jiān)控網(wǎng)絡(luò)攻擊及異常行為，保證企業(yè)網(wǎng)絡(luò)的“邊界”安全。

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)發(fā)展歷程

結(jié)語(yǔ)

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)發(fā)展至今，一直在迭代更新，不同時(shí)期的技術(shù)特點(diǎn)和關(guān)注點(diǎn)也不一樣，下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的發(fā)展將走向何方？作為國(guó)內(nèi)最早研發(fā)、應(yīng)用最廣的網(wǎng)絡(luò)準(zhǔn)入控制廠商，聯(lián)軟科技認(rèn)為網(wǎng)絡(luò)準(zhǔn)入控制是安全技術(shù)與管理流程的結(jié)合，它不只是一個(gè)安全工具，也是解決安全管理問(wèn)題的基礎(chǔ)設(shè)施，下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)將會(huì)具有功能更完備、自適應(yīng)能力強(qiáng)、部署維護(hù)簡(jiǎn)便、分析展現(xiàn)直觀等特點(diǎn)，在面對(duì)更多樣的網(wǎng)絡(luò)環(huán)境時(shí)，例如面對(duì)當(dāng)前零信任、遠(yuǎn)程辦公等的運(yùn)用環(huán)境，下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)將會(huì)有更廣闊的應(yīng)用前景。