【直播】全新定義下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)
聯(lián)軟科技
2022年11月14日
在上篇《網(wǎng)絡(luò)準(zhǔn)入:正在變,即將變?》發(fā)布后,本周聯(lián)軟在線分享了《下一代網(wǎng)絡(luò)準(zhǔn)入助力企業(yè)構(gòu)建網(wǎng)絡(luò)安全縱深防御》,掃描或識(shí)別下方二維碼即可查看直播回放(需登錄):
以下為直播精彩內(nèi)容:
大家好,非常榮幸今天為大家介紹下一代網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)。聯(lián)軟科技成立于2003年,是國內(nèi)首家網(wǎng)絡(luò)準(zhǔn)入控制廠商,現(xiàn)產(chǎn)品累計(jì)管理終端眾多,并從網(wǎng)絡(luò)準(zhǔn)入產(chǎn)品發(fā)展擴(kuò)充了終端管理、數(shù)據(jù)防泄密、移動(dòng)終端管理、SDP等全套端點(diǎn)安全產(chǎn)品,是國內(nèi)企業(yè)級(jí)端點(diǎn)安全市場(chǎng)的領(lǐng)導(dǎo)者,聯(lián)軟科技在網(wǎng)絡(luò)準(zhǔn)入控制領(lǐng)域深耕十多年,在當(dāng)前企業(yè)信息化技術(shù)不斷變化的今天,通過定義新的下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)助力企業(yè)構(gòu)建內(nèi)部網(wǎng)絡(luò)安全的縱深防御。
當(dāng)前企業(yè)網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的現(xiàn)狀
在現(xiàn)代企業(yè)的內(nèi)部終端管理中,網(wǎng)絡(luò)準(zhǔn)入已由傳統(tǒng)安全產(chǎn)品轉(zhuǎn)化為一項(xiàng)基礎(chǔ)設(shè)施,因?yàn)榫W(wǎng)絡(luò)準(zhǔn)入是企業(yè)終端安全管理的基礎(chǔ),誰進(jìn)入了網(wǎng)絡(luò)、終端是否安全合規(guī)、網(wǎng)絡(luò)權(quán)限是否正確這些都是網(wǎng)絡(luò)準(zhǔn)入的細(xì)節(jié)。但是隨著現(xiàn)代企業(yè)IT架構(gòu)和安全需求的變化,當(dāng)前的準(zhǔn)入系統(tǒng)已無法滿足企業(yè)的安全需求。主要有三個(gè)方面的變化:
01安全威脅向傳統(tǒng)邊界和控制區(qū)域之外遷移
第一,安全威脅向傳統(tǒng)邊界和控制區(qū)域之外移動(dòng),以前企業(yè)的網(wǎng)絡(luò)是煙囪式的網(wǎng)絡(luò),整個(gè)企業(yè)是一套大的網(wǎng)絡(luò),網(wǎng)絡(luò)內(nèi)部劃分各隔離子網(wǎng)。但隨著移動(dòng)化辦公、byod設(shè)備的使用及系統(tǒng)的云遷移,網(wǎng)絡(luò)邊界已經(jīng)不再清晰,尤其是在當(dāng)前疫情的影響下,企業(yè)遠(yuǎn)程辦公逐漸增加,迫切需要一種新的準(zhǔn)入方式實(shí)現(xiàn)企業(yè)內(nèi)部全場(chǎng)景的管控。
02內(nèi)部可信走向零信任安全體系
第二由內(nèi)部可信走向了零信任網(wǎng)絡(luò),由原來的企業(yè)內(nèi)部即等于可信,變?yōu)榱藦牟恍湃危冀K校驗(yàn)。傳統(tǒng)的安全方式依據(jù)用戶終端所在網(wǎng)絡(luò)范圍實(shí)現(xiàn)可信,即終端在生產(chǎn)網(wǎng)時(shí),生產(chǎn)網(wǎng)的終端都是可信的。一次一種驗(yàn)證,這種方式顯然是不安全的,這也是為什么企業(yè)開始逐步向零信任網(wǎng)絡(luò)遷徙,通過零信任網(wǎng)絡(luò)架構(gòu),對(duì)每一次的資源訪問進(jìn)行校驗(yàn)和重新授權(quán)。
03云邊端一體化管控是下一代網(wǎng)絡(luò)準(zhǔn)入控制的關(guān)注點(diǎn)
隨著中國大數(shù)據(jù)、云計(jì)算市場(chǎng)的普及發(fā)展和5G技術(shù)在終端準(zhǔn)入控制市場(chǎng)的應(yīng)用,終端承載的數(shù)據(jù)價(jià)值和功能價(jià)值也日益提升,傳統(tǒng)準(zhǔn)入只考慮邊界的問題,但在當(dāng)前多種網(wǎng)絡(luò)環(huán)境、多類型終端形態(tài)和安全要求的情況下,下一代網(wǎng)絡(luò)準(zhǔn)入勢(shì)必要基于零信任網(wǎng)絡(luò)的持續(xù)驗(yàn)證,解決安全威脅問題,實(shí)現(xiàn)云邊端一體化的管控。
下一代網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的五個(gè)關(guān)鍵點(diǎn)
01全網(wǎng)資產(chǎn)可視是網(wǎng)絡(luò)準(zhǔn)入的基礎(chǔ)
隨著物聯(lián)網(wǎng)的發(fā)展進(jìn)程,ip電話、攝像頭等泛終端設(shè)備增多,企業(yè)內(nèi)部的未知IT設(shè)備也越來越多,我們必須首先做好全網(wǎng)資產(chǎn)的可視才能做好網(wǎng)絡(luò)準(zhǔn)入控制。
02靜態(tài)的安全校驗(yàn)存在多種安全風(fēng)險(xiǎn)
傳統(tǒng)網(wǎng)絡(luò)準(zhǔn)入是靜態(tài)校驗(yàn)機(jī)制,即在入網(wǎng)前進(jìn)行安全檢測(cè),檢查后就放行,在下次認(rèn)證前是沒有任何安全措施的,類似我們疫情期間進(jìn)入一棟大廈需要檢查帶口罩,但只在入大廈前檢查,進(jìn)入大廈后隨時(shí)可以把口罩摘掉,這樣的靜態(tài)防御是沒有用途的。
03內(nèi)部威脅感知是網(wǎng)絡(luò)準(zhǔn)入的最終目的
傳統(tǒng)安全方案以識(shí)別用戶身份,檢測(cè)終端入網(wǎng)狀態(tài)為目標(biāo),注重入網(wǎng)時(shí)的安全狀態(tài),而忽略了入網(wǎng)后的終端安全變化;下一代企業(yè)網(wǎng)絡(luò)準(zhǔn)入管控系統(tǒng)建設(shè)的路徑是由資產(chǎn)管理開始,延伸至入網(wǎng)管控和持續(xù)性安全監(jiān)測(cè),最終實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)威脅檢測(cè)與處置。
04網(wǎng)絡(luò)的復(fù)雜性使得邊界管控可能存在死角
當(dāng)今終端類型復(fù)雜、應(yīng)用系統(tǒng)復(fù)雜、網(wǎng)絡(luò)復(fù)雜,安全需求逐漸改變,傳統(tǒng)的網(wǎng)絡(luò)意義開始逐步出現(xiàn)無法管控的死角。
05準(zhǔn)入部署要保障網(wǎng)絡(luò)的高可用
企業(yè)的數(shù)字化轉(zhuǎn)型對(duì)網(wǎng)絡(luò)的可用性依賴更高,準(zhǔn)入部署要保障網(wǎng)絡(luò)的高可用。
下一代網(wǎng)絡(luò)準(zhǔn)入控制整體框架
下一代網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的功能
01支持多種準(zhǔn)入控制技術(shù)適應(yīng)復(fù)雜網(wǎng)絡(luò)環(huán)境
在網(wǎng)絡(luò)適應(yīng)上,通過一套系統(tǒng)實(shí)現(xiàn)多種網(wǎng)絡(luò)環(huán)境下的準(zhǔn)入管理和動(dòng)態(tài)授權(quán),包括交換機(jī)有線接入、無線接入、還有HUB接入、nat接入、vpn接入等場(chǎng)景,并可針對(duì)不同場(chǎng)景下實(shí)行不同的網(wǎng)絡(luò)授權(quán)體系,實(shí)現(xiàn)端口級(jí)別的準(zhǔn)入管控。
02多重高可用設(shè)計(jì)保障網(wǎng)絡(luò)可靠性
下一代網(wǎng)絡(luò)準(zhǔn)入在保障網(wǎng)絡(luò)可靠性上通過六種手段實(shí)現(xiàn):
(一)通過傳統(tǒng)雙機(jī)熱備方式實(shí)現(xiàn)冗余;
(二)實(shí)現(xiàn)數(shù)據(jù)庫冗余,終端在入網(wǎng)時(shí)及入網(wǎng)后都會(huì)進(jìn)行入網(wǎng)安全校驗(yàn),安全校驗(yàn)策略存儲(chǔ)在數(shù)據(jù)庫內(nèi),下一代網(wǎng)絡(luò)準(zhǔn)入可實(shí)現(xiàn)安全校驗(yàn)策略的冗余,當(dāng)數(shù)據(jù)庫發(fā)生故障時(shí)依然可正常檢驗(yàn);
(三)認(rèn)證源冗余,下一代準(zhǔn)入系統(tǒng)在AD/Ldap等認(rèn)證源服務(wù)器斷開或發(fā)生故障時(shí)依然可以利用冗余信息實(shí)現(xiàn)用戶認(rèn)證;
(四)一鍵撤防實(shí)現(xiàn)緊急逃生機(jī)制;
(五)miniradius逃生模塊可使得下一代網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在完全宕機(jī)的情況下實(shí)現(xiàn)逃生;
(六)熔斷機(jī)制,當(dāng)一定時(shí)間內(nèi)超出預(yù)設(shè)閾值的終端數(shù)量準(zhǔn)入認(rèn)證失敗時(shí),系統(tǒng)自動(dòng)切換到逃生,保障業(yè)務(wù)的平穩(wěn)運(yùn)行。
03全網(wǎng)探測(cè)實(shí)現(xiàn)資產(chǎn)的持續(xù)可見性
通過網(wǎng)絡(luò)探針、終端主機(jī)探針、服務(wù)器主機(jī)探針和外部探針結(jié)合實(shí)現(xiàn)覆蓋全網(wǎng)空間的資產(chǎn)探測(cè)能力。
04構(gòu)建基于信任驗(yàn)證的動(dòng)態(tài)訪問控制
解決靜態(tài)校驗(yàn)問題的關(guān)鍵在于構(gòu)建基于信任驗(yàn)證的動(dòng)態(tài)訪問控制,系統(tǒng)可根據(jù)終端網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)上下文關(guān)聯(lián)分析,動(dòng)態(tài)下發(fā)網(wǎng)絡(luò)控制權(quán)限,并通過威脅情報(bào)信息進(jìn)行威脅評(píng)級(jí),實(shí)現(xiàn)快速響應(yīng)。
三種場(chǎng)景:下一代網(wǎng)絡(luò)準(zhǔn)入需求
01面向企業(yè)的安全管控
·面向企業(yè)員工的安全管控
建立嚴(yán)格的網(wǎng)絡(luò)準(zhǔn)入機(jī)制,避免非法終端入網(wǎng),并可實(shí)現(xiàn)對(duì)異常終端進(jìn)行端口級(jí)阻斷。
·適應(yīng)多場(chǎng)景的安全合規(guī)檢查
智能準(zhǔn)入環(huán)境下,依據(jù)不同終端不同網(wǎng)絡(luò)不同角色,進(jìn)行客戶端方式、插件方式及無代理方式的安全檢查。
·SDN網(wǎng)絡(luò)環(huán)境下的聯(lián)動(dòng)集成
在SDN網(wǎng)絡(luò)中,通過Radius代理將SDN認(rèn)證中心與聯(lián)軟準(zhǔn)入系統(tǒng)進(jìn)行聯(lián)動(dòng)。聯(lián)軟準(zhǔn)入系統(tǒng)負(fù)責(zé)終端的802.1X 認(rèn)證和終端安全檢查,然后把用戶身份標(biāo)簽返回給SDN認(rèn)證中心。
·外部訪客接入
對(duì)于外部訪客或駐場(chǎng)外協(xié)人員,可通過臨時(shí)賬號(hào)、自助注冊(cè)和審批授權(quán)的方式實(shí)現(xiàn)網(wǎng)絡(luò)認(rèn)證和控制。
02物聯(lián)網(wǎng)安全管控場(chǎng)景,主要針對(duì)企業(yè)內(nèi)部的啞終端設(shè)備進(jìn)行管理
傳統(tǒng)準(zhǔn)入的啞終端設(shè)備管理是通過IP/MAC地址添加的白名單內(nèi)進(jìn)行管理,但不僅維護(hù)工作量巨大,同時(shí)及其容易被偽造。同時(shí),面多終端的啞終端設(shè)備,下一代終端通過,多種設(shè)備屬性形成設(shè)備指紋,并可以關(guān)聯(lián)到設(shè)備歸屬人。威脅檢測(cè)發(fā)現(xiàn)威脅行為后是可以快速關(guān)聯(lián)到對(duì)應(yīng)歸屬人,而威脅行為的發(fā)現(xiàn)是通過多維度的數(shù)據(jù)采集進(jìn)行行為建模,并形成設(shè)備類型畫像,當(dāng)發(fā)生差異性行為時(shí)進(jìn)行快速告警和處置。
03云主機(jī)安全管控
第一種措施是通過流量監(jiān)控,捕捉攻擊行為,針對(duì)DDoS攻擊流量阻斷;
第二種通過偽裝技術(shù)自動(dòng)模擬大量內(nèi)網(wǎng)主機(jī)(幻影),誘捕非法攻擊,進(jìn)行攻擊路徑的追溯,并進(jìn)行防御;
第三種,基于零信任網(wǎng)絡(luò)邊界下,通過應(yīng)用安全網(wǎng)絡(luò)實(shí)現(xiàn)企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)的隱藏,當(dāng)用戶訪問業(yè)務(wù)系統(tǒng)時(shí),必須經(jīng)過訪問控制引擎的動(dòng)態(tài)認(rèn)證授權(quán),才能正常訪問業(yè)務(wù)。而動(dòng)態(tài)認(rèn)證的參數(shù)包含了用戶身份、終端類型、接入地點(diǎn)、訪問應(yīng)用和健康狀態(tài)等信息。
整套下一代網(wǎng)絡(luò)準(zhǔn)入方案,在補(bǔ)充了傳統(tǒng)網(wǎng)絡(luò)準(zhǔn)入在全網(wǎng)資產(chǎn)可見性、云邊端基礎(chǔ)安全防護(hù)及威脅持續(xù)監(jiān)測(cè)響應(yīng)的不足外,通過提高入侵難度,強(qiáng)化企業(yè)安全對(duì)抗能力,改變網(wǎng)絡(luò)安全行業(yè)內(nèi)攻防不平衡的現(xiàn)狀。