以下文章轉載自數說安全

新場景下遠程安全接入正面臨新的挑戰

后疫情時代，移動/遠程辦公逐漸成為常態，企業內外部協作增多，用戶使用的終端設備日益多樣化，終端設備的安全風險不斷提升，這導致企業對遠程接入的安全需求也逐漸升級。與此同時，云計算技術以及混合云架構的廣泛采用，逐步瓦解傳統的辦公網絡邊界，給原本通過傳統VPN技術實現遠程安全接入的方案帶來了較大的挑戰，主要體現在以下三個方面：

• 終端安全風險缺乏有效管控。

傳統VPN只針對用戶做認證，缺乏對終端設備的認證及安全性評估。終端種類和來源的多樣性帶來的安全風險大大增加，存在終端被入侵并作為攻擊跳板的可能性。

• 傳統VPN難以適應云環境和多云多數據中心應用場景出現。

傳統VPN通常采用加密隧道劃分安全可信區域，在云環境下，尤其是存在多云多數據中心的情況下，難以適應統一安全接入、統一建立安全邊界的需求。

• VPN接入后的橫向攻擊難以控制。

用戶通過傳統VPN接入內網后，缺少更細粒度、動態的訪問和權限控制，導致關鍵應用可能存在被攻擊滲透的風險。

因此，為解決傳統VPN功能上的局限性，新的解決方案需要在以下三個方面進行提升：

• 除用戶身份認證外，對用戶終端的安全性也要進行持續評估。動態限制終端安全性不符合要求的用戶對關鍵系統的訪問，提升系統安全水平。

• 適應云計算環境下統一接入、統一管控的要求，包括公有云、私有云、混合云環境。

• 對內網中的橫向攻擊進行有效管控。對用戶可信度的評估及訪問權限不能只通過物理位置、靜態狀態來判斷，需要基于用戶身份及角色、當前的安全狀態進行更細粒度的動態授權，從而進一步提升系統安全訪問水平。

零信任架構的崛起

作為一種全新的安全理念，零信任架構從理念提出到應用落地，已歷經十年時間。傳統VPN的安全模型是建立在靜態邊界安全模型基礎之上的，基本假設是“通過認證接入內網即是安全的”。與此相對照，零信任架構的基本假設是：一是網絡時時刻刻都處于危險之中；二是始終存在著來自外部或內部的威脅，與網絡位置無關。

基于以上兩項假設，零信任架構的訪問控制措施也更加嚴格：任何訪問（設備、用戶、網絡流量）都應當經過認證與授權，無論來自內網還是外網；安全策略應當是動態調整的，這種策略調整是以保障訪問安全性為目標，基于盡可能多的信息源做判斷決策。

零信任架構可以有效解決傳統VPN方案的局限性，尤其適用于更復雜、安全性要求更高的場景：

• 引入終端安全性的持續評估。對終端環境、進程進行動態檢測，確保終端可信。

• 無論是傳統計算環境還是多樣化的云計算環境，包括公有云、私有云、混合云，零信任架構均可以靈活部署，統一管控。

• 零信任架構基于最小授權原則，全訪問周期、動態評估更準確，訪問控制基于當前用戶的綜合安全狀態執行，因而可以更好地防御橫向攻擊，保護核心業務。

此外，Gartner也預測到2023年，60%的企業將逐步淘汰大部分VPN，轉而使用零信任網絡訪問業務。

零信任的輕量落地——零信任“VPN”

近年來，國內企業逐步加大對“零信任架構”的研究和布局。深信服憑借自身在遠程辦公領域的積累與創新，融合零信任思想，推出了基于“以身份為中心，可信訪問、智能權限、極簡運維”理念的輕量級零信任架構遠程辦公解決方案——零信任“VPN”。

 ▲零信任安全架構

作為國內最早推出針對遠程辦公場景的零信任安全解決方案之一，零信任“VPN”對于用戶有怎樣特別的價值呢？

一是，提供更輕量級、更容易落地的方案。

零信任走進企業是一種趨勢，但零信任整體架構部署落地的龐大工程讓許多企業望而卻步。而深信服零信任“VPN”可為企業提供一個更輕量級、更容易落地的遠程辦公安全方案。

• 通過零信任控制中心、代理網關兩大核心組件，即可滿足遠程辦公場景訪問全周期的動態訪問控制安全訴求。

• 針對WEB應用，零信任“VPN”還可實現免客戶端訪問，用戶使用和管理運維上更方便。

二是，基于長期在遠程辦公領域的積淀，更可靠、體驗更好。

針對遠程辦公場景，如果沒有遠程辦公領域的積累和沉淀，單純照搬零信任的復雜體系來建設，不注重遠程辦公特定的體驗優化、運維簡化需求，容易水土不服，適得其反。

深信服在遠程辦公解決方案及VPN技術領域有近20年的技術積累和經驗沉淀，將其充分應用在零信任方案上，緊貼企業用戶日益復雜的遠程辦公需求，通過極致的用戶訪問體驗、極簡的運維特性，為企業提供更安全、更可靠、體驗更好的遠程辦公方案。

三是，具備前沿的核心技術優勢，可持續成長以應對日益復雜的安全需求。

深信服零信任“VPN”基于“以身份為中心，可信訪問、智能權限、極簡運維”的理念，實現了遠程辦公場景下的身份可信、環境可信、行為可信，同時安全能力持續成長，幫助用戶應對未來遠程辦公的復雜需求。

• 身份可信：網絡隱身與自適應認證，確保身份可信

零信任“VPN”通過新一代SPA單包授權機制，最大程度縮小暴露面，只有特定攜帶安全票據的客戶端才能訪問請求連接，實現網絡隱身。在認證環節中，零信任“VPN”可以基于地理位置、網絡環境等因素的變化自動調整認證強度，平衡安全與體驗。

• 環境可信：終端環境安全性進行持續檢測，全訪問周期環境安全

在用戶登錄時、登錄后訪問業務期間進行實時檢測，當發現終端安全狀態不能滿足安全要求時，限制終端對系統的訪問。與此同時，還可以針對不同業務系統調整終端安全狀態的要求，如訪問官網等非敏感業務終端不需要安裝殺毒軟件，而訪問ERP、財務等敏感系統時，要求終端必須安裝EDR軟件并且更新到最新版本。

• 行為可信：動態訪問控制，行為可控，保護業務 

零信任“VPN”利用“信任引擎”來實現動態權限控制，當發現終端環境、身份、行為存在風險時，通過收縮用戶的訪問權限，降低被攻擊入侵的風險。

• 安全能力持續成長，以應對日益復雜的業務、數據保護需求

零信任“VPN”可以通過API接口與態勢感知、下一代防火墻、終端檢測與響應等多種設備進行安全聯動，并保持安全能力持續成長，更準確地識別異常行為和未知威脅；同時，通過結合沙箱能力，更好地滿足遠程辦公場景下的數據防泄密需求。

 

從90年代SUN提出“網絡就是計算機”開始，計算范式從傳統計算到云計算的遷移用了將近三十年時間。云計算的發展和普及帶動了安全防御理念和產品的推陳出新，而新的安全理念和產品成為市場主流也需要一個漫長的培育和發展過程。深信服零信任“VPN”產品在江蘇銀行的部署和使用過程中，取得了預期中的良好效果。除銀行客戶外，深信服還成功交付了運營商、互聯網企業、大型制造業、教育、政府科研、企事業單位等各行各業遠程安全辦公的零信任方案，并獲得用戶的一致認可。

深信服秉持一貫的理念，為用戶提供更簡單、更安全、更有價值的零信任安全方案和產品，助力客戶網絡安全體系向零信任架構遷移，幫助客戶實現流量身份化、權限智能化、訪問控制動態化、運維管理極簡化的新一代網絡安全架構。