2020年初,因新冠疫情影響,遠程辦公成為國內企業的首選辦公方式。中大型企業的VPN在遠程辦公過程中暴露了諸多問題:家庭網絡難連上公司VPN、VPN頻頻掉線等。其中,某上市公司生產環境遭到惡意破壞的事件尤其讓人印象深刻:其運維人員通過VPN登入公司內網跳板機,在權限管控缺失的情況下,報復性破壞客戶數據,導致公司市值縮水近20億元。
因此,大中型企業需要思考,企業遠程辦公的核心訴求是什麼。
2010年起,Google發起BeyondCorp項目,目標是“讓所有Google員工從不受信任的網絡中不接入VPN就能順利工作”。該項目用零信任理念打造安全便捷的遠程辦公系統,發展至今谷歌員工已經可以從世界各地訪問大部分公司應用,只有少部分場景仍依賴VPN。
Gartner預測,到2023年,全球將有60%的企業淘汰大部分VPN,轉向使用零信任訪問網絡。
形成這種轉變趨勢的根本原因,是遠程辦公對安全、穩定且易用的訴求:
1、 安全。除通信加密外,實施員工操作最小化授權,用戶行為風險可控;
2、 穩定。訪問企業應用通暢高效;
3、 易用。不限運營商服務,保障客戶全國分支機構員工均可低時延訪問企業應用。
基於零信任理念打造的企業安全訪問體系,有哪些重要的價值點?下面綠盟君就從上述三個方面來詳細描述零信任遠程辦公方案(相較於 VPN)在企業遠程辦公場景下的優勢,以及利用它的能力優勢如何解決現階段遠程辦公問題。
突出的安全能力優勢
首先,大家可以通過一次具體的工作流程來看零信任如何提升遠程辦公安全性:
員工在家中訪問零信任單點登錄平臺,用戶認證成功後默認情況下不可見任何應用,在管理員基於角色/屬性授權後,用戶可訪問最小化授權的應用、使用最小授權的功能。用戶訪問應用過程中,安全風險會被持續評估,如果零信任系統發現終端環境、用戶行為存在風險,或用戶將進行敏感高危操作,則會觸發動態授權、二次認證等,進一步可進入審批環節,從而將風險降到最低。
總結零信任遠程辦公方案在安全性上的優勢,主要有以下幾個方面:
• 訪問零信任化
賬戶、應用、認證授權統一管理,實現所有用戶接入前統一認證,即先認證、再連接,隱藏應用,減少攻擊暴露面。
具備細粒度多層級的授權控制能力,支持應用級、功能級、數據多層級細粒度授權,實現全面最小化授權。
• 動態風險評估
實時評估終端環境、用戶行為等安全風險,發現異常立刻觸發訪問控制,提供豐富詳盡的日誌供審計追溯,形成安全事件響應閉環。
• 統一多因素認證
多因素認證已經被驗證為大幅提升資產安全性的方式,沒有一種身份識別技術是萬能的,但結合起來時卻能本質上提升安全等級。
安全研究機構SANS新發布了一篇論文《Incident Response In A Zero Trust World》,最終證明零信任網絡比傳統網絡有更強的安全事件響應能力。特別是在安全事件響應效率上具有明顯的優勢。隨著測試環境發展到更復雜的應用程序和終端組成,基於邊界防護的安全體系將失去有效的洞察力和控制力。
論文中,研究人員使用PC+防火牆組成傳統網絡測試床,用PC+數個雲組件組成零信任網絡測試床。再用五個常見安全事件分別測試傳統模型和零信任模型的事件響應效率,基於兩類防禦模型對事件的響應程度給出分數,彙總評分表如下:
從彙總的評分表可以看出,在雲服務使用場景中,零信任架構在識別檢測和遏制處置上,對比傳統邊界防禦模型有了明顯優勢。論文最後還給出了網絡建設建議,包括統一應用身份管理、關聯多個組件快速響應事件等,並表示當前的威脅態勢幾乎已經逼迫使用雲服務的企業儘早開始建設零信任安全體系。
美國近期也開始了大規模遠程辦公, CISA(美國國土安全部的網絡安全和基礎設施安全局)於2020年3月發佈企業VPN安全警告,對VPN安全問題做了多條分析,可見VPN在安全性上的多方不足。(附CISA 企業VPN安全警告原文https://www.us-cert.gov/ncas/alerts/aa20-073a)
零信任和VPN在通用遠程辦公場景的對比,我們簡要總結如下:
從圖表中不難看出,零信任方案的安全性多個方面都優於VPN。
更低的網絡質量要求
大規模遠程辦公大勢下,不得不啟用的VPN被公司員工廣泛吐槽的情況屢見不鮮。主要歸咎於使用體驗不佳。而這主要受這兩方面限制:
一是國內大網環境硬傷。網絡多層NAT導致VPN跨網能力差。
二是易用性不佳。無論是SSL VPN還是IPSEC VPN,均需用戶在客戶端安裝軟件或插件,以此實現撥號,建立維持隧道,且仍受網絡質量影響。且一旦掉線所有連接需要重連,用戶體驗差。
而基於零信任理念的遠程辦公方案,可以最大程度讓員工擁有內外網一致的辦公體驗。通過反向代理,零信任方案讓終端用戶可以直接公網進行認證後,訪問授權的企業應用,而不會因網絡連通性影響辦公效率。運維人員也不會再接到員工“連不上VPN”的抱怨。
此外,特殊時期遇上突增的遠程辦公需求,很難有公司能立馬滿足,畢竟正常情況下遠程辦公能力僅是預備給部分人使用的。這種情況下,遠程辦公方案能否適配高併發場景、能否快速擴容就成了關鍵。
在架構設計上,VPN的隧道機制決定了其需要消耗性能在新建和維持大量隧道上。而零信任的安全認證網關不新建維持大量隧道,連接更穩定,能更好的支持高併發。零信任安全認證網關可以軟/硬件形式部署在本地或雲上。虛擬版對硬件配置要求不高,可以在普通性能的服務器上快速擴容,完美支持高併發場景。
顯著提升的使用體驗
過去,在安全和便捷之間,很難達到一個理想的平衡。綠盟科技基於零信任理念的遠程辦公方案(由安全認證網關SAG和統一身份認證平臺UIP組合而成),無論是對終端用戶還是安全運營人員,都在易用性上有明顯的提升。
對遠程辦公的用戶而言:
· 無需客戶端安裝任何軟件/插件,避開繁瑣安裝配置流程,電腦或手機只需瀏覽器+Internet即可輕鬆遠程辦公。
· 支持單點登錄,用戶一次認證授權成功即可訪問與授權相恰的應用,無需反覆登錄,後續的零信任校驗於用戶無感知。
對安全運營人員而言:
賬戶、應用、認證授權統一管理,並有詳盡的日誌記錄,方便運營人員統一管理,為應用配置統一的安全策略,提高運營效率。
綠盟科技零信任遠程辦公解決方案
針對遠程辦公場景,綠盟科技推出了零信任遠程辦公方案,方案由安全認證網關(NSFOCUS SAG)和統一身份認證平臺(NSFOCUS UIP)組合而成。
綠盟零信任遠程辦公方案
該方案旨在為企業打造穩定、易用、安全的零信任遠程辦公網絡,用戶可在任意位置、使用任意設備,通過UIP提供的單點登錄訪問與其授權相恰的應用。同時,SAG & UIP會校驗每次訪問請求,結合細粒度授權控制,實現用戶的最小化授權,以防止攻擊內部橫向移動,防範內外部的安全風險,保障遠程辦公安全。
結合綠盟科技20年來的信息安全技術實踐與積累,相對傳統遠程辦公方案,綠盟零信任遠程辦公方案優勢總結如下:
1、 訪問安全零信任化
• 賬戶、應用、認證授權統一管理,所有訪問先認證、再建立連接;
• 隱藏業務暴露面、具備細粒度多層級的的授權控制能力,實現全面最小化授權。
• 支持應用級、功能級、API級、數據級多層級細粒度授權;
• 支持多重風險評估,並相應做出動態調整授權。
3、 統一認證接入高效化
• 支持標準的協議和單點登錄,統一應用接入口;
• 一個賬戶打通所有應用,統一多因素認證,降低管理成本提高。
4、 用戶行為追溯與響應閉環化
• 細粒度、多維度的業務日誌與系統日誌記錄;
• 持續、實時的信任評估與驗證,動態調整授權控制,審計預警聯動,形成響應閉環;
5、 終端用戶體驗優化
• 網絡連通性佳,用戶遠程訪問企業應用對網絡質量要求不高;
• 易用性好,用戶側零安裝零配置即可用,支持各類終端設備;
• 穩定性好不掉線,完美支持高併發場景,虛擬版本可快速擴容。
此外,從成本投入角度,該方案對於客戶而言改造成本更低,見效更快,可立即投入實際生產,改善企業的遠程辦公條件,也是功能性外的一大優勢所在。
閱讀更多 綠盟科技 的文章
