網絡準入:正在變,即將變?
——下一代網絡準入控制系統助力零信任時代下的企業安全體系建設
背景
近20年來,數字化轉型給企業帶來便利的同時,也給企業安全帶來了巨大變化,尤其是企業面臨的網絡威脅逐漸呈現復雜和多變的趨勢,迫使企業不得不構筑一道道網絡安全防護墻來抵御各種風險。其中,作為內網安全防護的“第一道關卡”,網絡準入控制系統依托身份認證和安全檢查結果實施訪問控制措施,在網絡安全中發揮了積極的防御作用,降低網絡安全的脆弱性,保證了企業網絡邊界的安全。
隨著零信任時代和萬物互聯時代的到來,企業網絡設備的數量和類型激增,網絡邊界不斷延伸,訪問與操作已變得極其復雜。傳統技術手段下已難以適應當前安全需求和趨勢,這就要求新一代的網絡準入控制技術來滿足不斷變化的網絡和終端環境,包括提出更具有適應性的技術架構、更具廣度的大數據計算、更具開放性的對外接口等。
主要問題分析
面對未來愈加復雜異構的網絡環境,一種或者固定的網絡準入控制手段早已不能適應種類繁多和復雜的安全場景,相比較現有的網絡準入控制系統,下一代的網絡準入控制系統應該重點關注并解決以下方面的問題:
1、終端資產全面收集
網絡的發展和信息化程度的提升,各種打印機、攝像頭、IP電話、BYOD手持設備等“啞終端”不斷涌現。Gartner 預計,到2020年將安裝超過204億臺物聯網設備。90%的用戶隨身攜帶移動設備。早期的網絡準入技術通過客戶端收集終端信息,但受客戶端與平臺之間兼容性等問題的影響,信息收集容易導致不全面的后果。現今要想在多樣化的網絡環境中保證網絡安全,必須全方位掌握網絡中的終端(資產)信息,感知各類資產的運行狀況和異常情況,是做好網絡安全防護的關鍵一步。
2、持續檢測功能
現有的網絡準入控制系統是“靜態”的看設備,設備入網前嚴格檢查,入網后終端就自由通行,即使設備合規狀態變化了也無從知曉。面對現在愈發復雜的網絡環境和攻擊威脅,新一代網絡準入控制系統除了強制安全基線合規外,更應加強對終端的威脅檢測、行為分析、網絡流量分析,實現對終端的情報檢測、大數據分析、異常威脅畫像,提高對終端安全威脅的檢測和發現能力。
傳統網絡準入控制系統設備入網檢測流程
3、內部威脅監測
傳統的防護手段難以發現一些潛伏性和持續性等威脅巨大的攻擊行為。然而新一代網絡準入控制系統可以通過對終端漏洞進行控制、對網絡中的異常行為進行監視以及與周邊安全設備進行互操作,在防御高級持續性威脅攻擊方面發揮作用,最終構筑一套縱深防御的安全體系。
下一代網絡準入控制技術的幾個“亮點”
1、終端全面收集,精準定位
軟、硬件探針技術充分結合,秒級發現剛入網的設備。并能根據不同的行業,形成了特有的行業設備類型識別規則(如金融、制造、醫院、公共安全的視頻專網等),可以精準的識別各種IT、IoT、ICT設備,同時支持自定義設備類型和識別規則。
針對ICT、IoT設備支持10+個維度的指紋特征,更加精準的標識一臺設備,讓設備仿冒無所遁形。針對計算機設備,可以采用安全控件或者遠程安全檢查的方式,同時支持與AD域、WSUS結合形成閉環管理。
同時可以對設備進行分組,針對不同的設備分組進行網絡訪問控制;對于存在威脅或者其它不合規行為的設備,可以動態下發網絡控制權限,進行隔離或下線。
2、零信任安全理念運用
傳統安全中攻擊者在成功突破一個防御點(例如防火墻或用戶登錄名)之后便能利用網絡固有的信任弱點,通過在網絡、應用環境中橫向移動來鎖定敏感數據目標。在受信任區域內發起攻擊的內部威脅更容易獲得更高的權限。而零信任架構的安全體系,以資產可見性驅動安全策略的制定,提供盡可能豐富的情報和可見性,僅向經驗證和授權的用戶和設備提供應用程序和數據訪問。信任不是一次性的,也不是恒久不變的,需要持續驗證。動態訪問控制策略,訪問決策的制定以每一次重新建立起的信任為基礎。
3、持續監控能力
運用協議還原技術、入侵檢測技術、幻影技術、面包屑技術、威脅情報結合AI,智能感知針對高價值資產的攻擊;自動檢測已知、未知的威脅和網絡異常行為。同時可以與其他產品聯動,對存在問題的主機進行調查取證。
4、聯合其他網絡安全系統構建縱深防御體系
傳統管理思路的局限性體現在不能完整覆蓋終端類型和網絡環境,不能統一管理,導致形成安全系統的孤島建設,不僅管理效率低,還存在安全系統間的安全空隙風險;且終端上將會積累越來越多的客戶端,使得終端運行越來越慢,用戶體驗感變差,運維壓力變大。隨著技術的新運用,終端準入控制產品將更有效地加強用戶終端主動管理能力,并加強與其他網絡安全系統的聯動,例如與VPN/SDP/EMM-APN/EDR等結合起來,進一步對網絡端和終端實現同等保護服務。
下一代網絡準入控制系統整體框架
下一代網絡準入控制技術的優勢
隨著互聯網、移動互聯網、大數據、云計算等現代信息技術的深度發展和推廣,IT系統規模也在不斷擴展,給企業IT運維管理帶來了新挑戰。在用戶、在終端、應用層面、安全管理等方面,都需要將網絡安全從疲于奔命的被動防御轉為主動防御,提高整體網絡安全防護能力。所以,解決IT運維管理的復雜性,需要標準化的管理流程工具,避免人為失誤與網絡威脅。
下一代網絡準入控制技術采用了“動態”防御技術與傳統的“靜態”檢查結合起來,不論員工在哪里,不論設備從哪里接入,都能持續監控網絡攻擊及異常行為,保證企業網絡的“邊界”安全。
網絡準入控制技術發展歷程
結語
網絡準入控制技術發展至今,一直在迭代更新,不同時期的技術特點和關注點也不一樣,下一代網絡準入控制系統的發展將走向何方?作為國內最早研發、應用最廣的網絡準入控制廠商,聯軟科技認為網絡準入控制是安全技術與管理流程的結合,它不只是一個安全工具,也是解決安全管理問題的基礎設施,下一代網絡準入控制系統將會具有功能更完備、自適應能力強、部署維護簡便、分析展現直觀等特點,在面對更多樣的網絡環境時,例如面對當前零信任、遠程辦公等的運用環境,下一代網絡準入控制系統將會有更廣闊的應用前景。