欢迎来到云栖网

免费注册

新IT环境下,“零信任”守护企业数据安全

云栖网 2022-06-24 11:55 来源:云栖网

作者:Akamai大中华区产品市场经理 刘炅 

新IT环境下,“零信任”守护企业数据安全

云栖网在2022中国国际大数据产业博览会中,会议强调了加强数据安全治理体系和能力建设对当今数据引领的经济发展的重要性。另外,根据联合国贸易发展组织(UNCTAD)统计,截至2022年2月21日,全球约80%的国家(共194个国家)已完成数据安全和隐私立法,或已提出法律草案。

在这一环境下,中国也不断在数据安全顶层建设方面提速加码。2021年,中国已初步搭建完成数据安全的法律架构:继《网络安全法》施行后,《数据安全法》、《个人信息保护法》又相继于2021年9月和11月落地实施。

尽管各国政府相继出台支持数据安全措施的框架,过去一年发生的各种网络入侵事件仍突显出企业需要加大在系统数据安全和隐私合规方面的投资。据Risk Based Security(RBS)机构的数据泄露报告显示,2021年度全球披露的数据泄露事件有4145起,共导致227.7亿条数据泄露。

IT环境的快速改变令这一问题变得更加复杂。随着云计算、大数据、移动互联网、物联网5G及其应用,以及混合工作模式的转变,恶意攻击者借助这些变化不断进行网络攻击,网络安全风险与日俱增。在这种威胁无处不在的情况下,基于“永不信任,永远验证”原则的零信任架构成为新时代为企业机构网络安全保驾护航的重要手段。

新IT环境下,“零信任”已成为企业网络安全的必选项

Gartner报告显示,2022年,面向生态系统合作伙伴开放的80%新数字业务应用程序将通过零信任网络进行访问。到2023年,将有60%的企业从远程访问VPN 向零信任网络架构转变。新IT环境下,零信任模式将取代以边界为中心的安全架构。

零信任模式会对每个设备和个人进行高强度的身份验证和授权,无论设备或个人在网络边界之内还是之外,验证通过后才能在专用网络上进行任何访问或数据传输。该过程还会结合分析、筛查和记录来验证行为的正确性,以及持续监控入侵信号。如果用户或设备表现出不同以往的行为迹象,系统则会将其记录下来并视为疑似威胁进行监控。

这种模式的转变在过去十年间抵御了大量入侵,攻击者无法利用边界中的漏洞,进入防御层来滥用企业的敏感数据和应用程序。如今,零信任安全模式已得到扩展,基于零信任原则的架构形式众多,完整的零信任解决方案将整合不同防御型技术以应对安全挑战,提供更高级的威胁防护。

新IT环境下,“零信任”守护企业数据安全

Zero Trust关键组成部分

零信任网络访问

数字化转型和云计算驱动的业务生态系统实际上扩大了企业的受攻击面。最近的报告显示:在远程办公期间,超过67%的员工使用个人设备办公,而80%员工的自带设备(BYOD)均为完全非托管设备,只有不到10%的组织表示他们完全了解哪些设备访问了他们的网络。

2021年61%的针对组织的恶意软件通过云应用程序对远程办公人员发起攻击,大约30%的组织报告网络攻击尝试激增,这种现象不免令人担忧。超过四分之三(75%)的员工和经理预计将在未来三年内在其业务或代理机构内采用混合工作模式,企业采用零信任网络访问(ZTNA)提高自己的安全能力已刻不容缓。

零信任网络访问(ZTNA)技术能够加强网络访问控制,消除冗余的访问权限,执行基于风险的多重身份验证。在应用零信任网络访问时,用户只有通过身份验证后,才能被授予对特定应用程序或资源的访问权限。一旦通过身份验证,零信任网络访问技术就会使用安全的加密隧道授予用户对特定应用程序的访问权限。该隧道通过将原本可见的 IP 地址屏蔽起来提供额外的安全保护层,以保障数据的私密性。

安全Web网关

随着云计算服务、BYOD和远程办公的增加,网络攻击已超越了传统的企业网络边界。Gartner指出,网络安全和风险相关的七大趋势中,第一个就是“攻击面扩大”。最新数据也揭示了严峻的网络安全形势,其中网络钓鱼攻击问题十分严重。据 Verizon 报告,网络钓鱼仍是数据泄露的主要原因 (36%),其次是使用被盗凭证 (25%) 和勒索软件 (10%)。究其原因,经济利益仍是第一驱动力。同时,70%的企业面临网络钓鱼邮件增加的风险,76%的公司称网络钓鱼行为有所增加。

在企业安全边界消失的情况下,安全Web网关通过其URL过滤、应用程序控制、数据丢失防护技术可为组织提供可靠的Web安全性能。URL过滤可控制对网站的访问,阻止对恶意域、URL和内容的访问,有效确保访问云端资源的安全。

另外,安全Web网关的数据丢失防护(DLP)可通过监控数据移动并遵守行业合规性法规和标准,防止关键和敏感信息泄露。而应用程序控制能够根据用户创建的Web安全策略,识别、阻止或限制 Web 应用程序和小部件的使用,确保应用程序使用和共享的数据的私有性和安全性。

微分段技术

随着数据存储、应用的不断增多,以及远程办公模式的改变,数据中心网络流量从以前的南北向为主转变为东西向流量为主,逐渐扩大了攻击者的影响范围,攻击也变得愈加频繁。数据显示,2022年,勒索软件攻击导致的数据泄露事件增加了13%,超过了过去五年的总和。此外,勒索软件攻击的频率在2021年翻了一倍。例如美国最大的输油管道公司Colonial Pipeline等公司被勒索软件攻击,并在 2021年成为头条新闻。

因此,企业对内部流量进行安全管控就变得尤为重要,一旦攻击者冲破边界防护,便可随意攻击数据中心内部的服务。而一旦受到攻击,勒索软件会对数据和文件进行加密,使数据不可用,对数据安全造成极大的危害。因此用户在数据中心内部,需要针对内外部的流量构建全面的安全体系。在新的网络环境中,严格遵守零信任原则,把攻击范围降至最小。

基于网络的微分段技术是实现零信任模式“最小权限”原则的基础。首先,微分段可以提供比子网粒度更细的分组规则,并对数据中心的内部网络进行分组,然后对所有分组之间的流量部署安全策略,监控不同分段、主机之间的数据流动。这种方法可以在协议层面、应用进程层面进行识别和阻断,阻挡勒索软件的扩散。这样就可以实现更精细的业务策略控制,限制攻击行为在网络内部横向移动的能力,以增强安全性。其次,利用微分段技术可以深入探究跨数据中心和云应用程序的应用程序流,使企业能够更细致地了解和保护从核心到云的整个基础设施。这有助于企业提早发现入侵,以便尽快采取纠正措施。

随着数字经济的快速发展,传统IT架构正在从“有边界”向“无边界”转变。零信任代表了新一代的网络安全防护理念。应用零信任架构可确保企业核心数据资产不受侵害,数据安全则业务安全。相信企业通过与值得信赖的云安全合作伙伴合作,利用创新的零信任解决方案保护网络和资源,将成功击退攻击者,使商业生态系统蓬勃发展。