《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 零信任應用的新進化 —— 統(tǒng)一微隔離

零信任應用的新進化 —— 統(tǒng)一微隔離

2022-11-04
來源:安全牛
關鍵詞: 零信任 微隔離

  一直以來,,ZTNA(零信任網絡訪問)與微隔離兩種技術被認為是零信任架構落地的兩個重要基石,,ZTNA主要用于解決業(yè)務外部訪問安全接入問題,,微隔離則用于解決業(yè)務內部流量安全交互問題,。但是在這種應用模式中,,ZTNA與微隔離通常會分別獨立部署,,在相互協(xié)同配合時會存在較大的“縫隙”,,這就給了攻擊者繞過零信任策略的可乘之機,。

  日前,,薔薇靈動研發(fā)出一款創(chuàng)新設計的統(tǒng)一微隔離產品,,通過融合傳統(tǒng)ZNTA技術和微隔離技術的應用特點,幫助用戶在一個統(tǒng)一平臺上,,通過一套完整的身份規(guī)則和策略規(guī)則,,實現對企業(yè)全部網絡流量(南北向+東西向)的零信任化管理,并實現全網精細化的安全策略編排,。

  統(tǒng)一化應用將是大勢所趨

  研究機構Gartner在其今年2月發(fā)布的《2022年ZTNA市場指南報告》中指出:微隔離可能被當作獨立的產品提供,,也可能直接和ZTNA產品整合在一起。ZTNA供應商應該積極嘗試為數據中心用戶提供融合微隔離技術的一體化解決方案,,從而打破兩種分段技術的區(qū)隔,。

  以企業(yè)數據中心為例,這是零信任需要保護的最重要對象,。數據中心的流量可分為兩類,,一類是南北向流量(占比約30%),一類是東西向流量(占比約70%),。微隔離可以將全部東西向流量零信任化(基于ID的最小權限訪問),,但是對于南北向流量管理則沒有很好辦法。目前,,我國企業(yè)數據中心的入口建設事實上非常多樣,,通過微隔離產品,能夠看到來自各種入口的南北向流量,,如本地辦公網,、遠程分支、VPN以及堡壘機等,,而這些流量都是非零信任的,。在這種情況下,微隔離技術只能基于IP地址段,,給出一個非常寬泛的訪問權限,。因為沒有具體的身份信息,微隔離無法對其來源做進一步驗證,,更無法基于其角色給出細粒度的訪問權限,。

  有觀點認為,,ZTNA技術可以對南北向流量進行檢測,微隔離只要放開就可以,。但事實上,,當下的ZTNA應用還不普及,大量的業(yè)務并不通過ZTNA進入,,甚至很多用戶還沒有部署ZTNA,。即便是通過ZTNA接入的流量,微隔離也不應該直接放行,,而是應該根據其訪問的業(yè)務訴求,,嚴格限制其在內部的訪問空間,這樣能夠避免ZTNA成為新的攻擊點,。一旦ZTNA被突破乃至被控制,,微隔離還可以構建起縱深防御體系,和ZTNA網關形成異構,。

  目前,,我們可以看到,以Zscaler為代表的各大ZTNA廠商都在積極嘗試打通和微隔離之間的邊界,,從而構建統(tǒng)一的零信任網絡,。可以認為,,各種零信任技術的獨立應用模式將會改變,,統(tǒng)一化部署將會成為零信任技術應用未來發(fā)展的大勢所趨。

  實現5大維度的統(tǒng)一

  據薔薇靈動介紹,,其最新發(fā)布的統(tǒng)一微隔離方案,,是一種在傳統(tǒng)微隔離與ZTNA技術基礎上發(fā)展起來的,可以打通企業(yè)辦公網和數據中心網絡,,為用戶提供端到端的安全分析與統(tǒng)一身份控制的新一代零信任應用產品,,其中的統(tǒng)一包含了五大方面內涵:

  01 實現辦公網與數據中心的統(tǒng)一

  統(tǒng)一微隔離可以將辦公網與數據中心的邊界打開,將企業(yè)的全部基礎設施(包括公有云和遠程辦公終端)整合成一張統(tǒng)一的網絡,,然后進行統(tǒng)一的策略管理,。這將有效改變企業(yè)過去一直以來“做拼圖、建孤島”式的安全管理窘境,。

  02 實現各種身份屬性的統(tǒng)一

  統(tǒng)一微隔離將人,、設備、網絡,、業(yè)務,、數據的身份屬性完全打通,并進行統(tǒng)一管理,,讓用戶基礎設施中的每一個要素,,都能夠不受位置,、環(huán)境、網絡的約束,,擁有一個唯一的身份標識,。這種對全要素進行身份化網絡標識與管理的能力,可以幫助用戶構建覆蓋全要素的統(tǒng)一零信任網絡,。

  微信圖片_20221104162917.png

  03 實現網絡策略統(tǒng)一

  統(tǒng)一微隔離允許用戶對整個基礎設施做軟件定義策略管理,,通過一套統(tǒng)一的微隔離策略,對全部網絡流量進行統(tǒng)一管理,,用戶可以用一條策略直接描述出跨部門、跨崗位的業(yè)務訪問權限,,而這樣的訪問控制要求,,在過去要在若干分散的安全產品上通過組合式策略才能達成。

  04 實現安全數據統(tǒng)一

  對全局安全數據進行統(tǒng)一管理和分析是體系化安全建設的必然要求,,也是等級保護2.0標準體系中的重要組成部分,,但是在實際應用中往往很難實現。統(tǒng)一微隔離方案可以基于其統(tǒng)一微隔離網絡和統(tǒng)一身份空間,、統(tǒng)一策略空間的框架能力加持,,將全部流量建立起一份全局關聯、全局索引,,并且是按照用戶身份和業(yè)務信息進行整理和呈現的統(tǒng)一安全數據視圖,,這將使安全運營工作變得更加便捷和有效。

  微信圖片_20221104162921.png

  05 實現與零信任平臺統(tǒng)一

  統(tǒng)一微隔離可以在一個統(tǒng)一平臺上同時解決了外部業(yè)務安全接入與內部流量安全訪問兩個問題,,避免了現有架構下的協(xié)同縫隙,,真正做到全局統(tǒng)一業(yè)務分析和全局統(tǒng)一精細化策略編排,這是對零信任技術發(fā)展的一次積極創(chuàng)新,,也是未來零信任技術發(fā)展的重要方向,。


更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,,并不代表本網站贊同其觀點,。轉載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經濟損失,。聯系電話:010-82306118,;郵箱:[email protected]