新IT環(huán)境下，“零信任”守護(hù)企業(yè)數(shù)據(jù)安全

劉炅

在2022中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)中，會(huì)議強(qiáng)調(diào)了加強(qiáng)數(shù)據(jù)安全治理體系和能力建設(shè)對(duì)當(dāng)今數(shù)據(jù)引領(lǐng)的經(jīng)濟(jì)發(fā)展的重要性。另外，根據(jù)聯(lián)合國(guó)貿(mào)易發(fā)展組織（UNCTAD）統(tǒng)計(jì)，截至2022年2月21日，全球約80%的國(guó)家（共194個(gè)國(guó)家）已完成數(shù)據(jù)安全和隱私立法，或已提出法律草案。

在這一環(huán)境下，中國(guó)也不斷在數(shù)據(jù)安全頂層建設(shè)方面提速加碼。2021年，中國(guó)已初步搭建完成數(shù)據(jù)安全的法律架構(gòu)：繼《網(wǎng)絡(luò)安全法》施行后，《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》又相繼于2021年9月和11月落地實(shí)施。

盡管各國(guó)政府相繼出臺(tái)支持?jǐn)?shù)據(jù)安全措施的框架，過(guò)去一年發(fā)生的各種網(wǎng)絡(luò)入侵事件仍突顯出企業(yè)需要加大在系統(tǒng)數(shù)據(jù)安全和隱私合規(guī)方面的投資。據(jù)Risk Based Security（RBS）機(jī)構(gòu)的數(shù)據(jù)泄露報(bào)告顯示，2021年度全球披露的數(shù)據(jù)泄露事件有4145起，共導(dǎo)致227.7億條數(shù)據(jù)泄露。

IT環(huán)境的快速改變令這一問(wèn)題變得更加復(fù)雜。隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G及其應(yīng)用，以及混合工作模式的轉(zhuǎn)變，惡意攻擊者借助這些變化不斷進(jìn)行網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與日俱增。在這種威脅無(wú)處不在的情況下，基于“永不信任，永遠(yuǎn)驗(yàn)證”原則的零信任架構(gòu)成為新時(shí)代為企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)安全保駕護(hù)航的重要手段。

新IT環(huán)境下，“零信任”已成為企業(yè)網(wǎng)絡(luò)安全的必選項(xiàng)

Gartner報(bào)告顯示，2022年，面向生態(tài)系統(tǒng)合作伙伴開(kāi)放的80%新數(shù)字業(yè)務(wù)應(yīng)用程序?qū)⑼ㄟ^(guò)零信任網(wǎng)絡(luò)進(jìn)行訪問(wèn)。到2023年，將有60%的企業(yè)從遠(yuǎn)程訪問(wèn) VPN 向零信任網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)變。新IT環(huán)境下，零信任模式將取代以邊界為中心的安全架構(gòu)。

零信任模式會(huì)對(duì)每個(gè)設(shè)備和個(gè)人進(jìn)行高強(qiáng)度的身份驗(yàn)證和授權(quán)，無(wú)論設(shè)備或個(gè)人在網(wǎng)絡(luò)邊界之內(nèi)還是之外，驗(yàn)證通過(guò)后才能在專(zhuān)用網(wǎng)絡(luò)上進(jìn)行任何訪問(wèn)或數(shù)據(jù)傳輸。該過(guò)程還會(huì)結(jié)合分析、篩查和記錄來(lái)驗(yàn)證行為的正確性，以及持續(xù)監(jiān)控入侵信號(hào)。如果用戶或設(shè)備表現(xiàn)出不同以往的行為跡象，系統(tǒng)則會(huì)將其記錄下來(lái)并視為疑似威脅進(jìn)行監(jiān)控。

這種模式的轉(zhuǎn)變?cè)谶^(guò)去十年間抵御了大量入侵，攻擊者無(wú)法利用邊界中的漏洞，進(jìn)入防御層來(lái)濫用企業(yè)的敏感數(shù)據(jù)和應(yīng)用程序。如今，零信任安全模式已得到擴(kuò)展，基于零信任原則的架構(gòu)形式眾多，完整的零信任解決方案將整合不同防御型技術(shù)以應(yīng)對(duì)安全挑戰(zhàn)，提供更高級(jí)的威脅防護(hù)。

零信任網(wǎng)絡(luò)訪問(wèn)

數(shù)字化轉(zhuǎn)型和云計(jì)算驅(qū)動(dòng)的業(yè)務(wù)生態(tài)系統(tǒng)實(shí)際上擴(kuò)大了企業(yè)的受攻擊面。最近的報(bào)告顯示：在遠(yuǎn)程辦公期間，超過(guò)67%的員工使用個(gè)人設(shè)備辦公，而80%員工的自帶設(shè)備（BYOD）均為完全非托管設(shè)備，只有不到10%的組織表示他們完全了解哪些設(shè)備訪問(wèn)了他們的網(wǎng)絡(luò)。

2021年61%的針對(duì)組織的惡意軟件通過(guò)云應(yīng)用程序?qū)h(yuǎn)程辦公人員發(fā)起攻擊，大約30%的組織報(bào)告網(wǎng)絡(luò)攻擊嘗試激增，這種現(xiàn)象不免令人擔(dān)憂。超過(guò)四分之三（75%）的員工和經(jīng)理預(yù)計(jì)將在未來(lái)三年內(nèi)在其業(yè)務(wù)或代理機(jī)構(gòu)內(nèi)采用混合工作模式，企業(yè)采用零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）提高自己的安全能力已刻不容緩。

零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）技術(shù)能夠加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制，消除冗余的訪問(wèn)權(quán)限，執(zhí)行基于風(fēng)險(xiǎn)的多重身份驗(yàn)證。在應(yīng)用零信任網(wǎng)絡(luò)訪問(wèn)時(shí)，用戶只有通過(guò)身份驗(yàn)證后，才能被授予對(duì)特定應(yīng)用程序或資源的訪問(wèn)權(quán)限。一旦通過(guò)身份驗(yàn)證，零信任網(wǎng)絡(luò)訪問(wèn)技術(shù)就會(huì)使用安全的加密隧道授予用戶對(duì)特定應(yīng)用程序的訪問(wèn)權(quán)限。該隧道通過(guò)將原本可見(jiàn)的 IP 地址屏蔽起來(lái)提供額外的安全保護(hù)層，以保障數(shù)據(jù)的私密性。

安全Web網(wǎng)關(guān)

隨著云計(jì)算服務(wù)、BYOD和遠(yuǎn)程辦公的增加，網(wǎng)絡(luò)攻擊已超越了傳統(tǒng)的企業(yè)網(wǎng)絡(luò)邊界。Gartner指出，網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)相關(guān)的七大趨勢(shì)中，第一個(gè)就是“攻擊面擴(kuò)大”。最新數(shù)據(jù)也揭示了嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，其中網(wǎng)絡(luò)釣魚(yú)攻擊問(wèn)題十分嚴(yán)重。據(jù) Verizon 報(bào)告，網(wǎng)絡(luò)釣魚(yú)仍是數(shù)據(jù)泄露的主要原因 （36%），其次是使用被盜憑證 （25%） 和勒索軟件 （10%）。究其原因，經(jīng)濟(jì)利益仍是第一驅(qū)動(dòng)力。同時(shí)，70%的企業(yè)面臨網(wǎng)絡(luò)釣魚(yú)郵件增加的風(fēng)險(xiǎn)，76%的公司稱(chēng)網(wǎng)絡(luò)釣魚(yú)行為有所增加。

在企業(yè)安全邊界消失的情況下，安全Web網(wǎng)關(guān)通過(guò)其URL過(guò)濾、應(yīng)用程序控制、數(shù)據(jù)丟失防護(hù)技術(shù)可為組織提供可靠的Web安全性能。URL過(guò)濾可控制對(duì)網(wǎng)站的訪問(wèn)，阻止對(duì)惡意域、URL和內(nèi)容的訪問(wèn)，有效確保訪問(wèn)云端資源的安全。

另外，安全Web網(wǎng)關(guān)的數(shù)據(jù)丟失防護(hù)（DLP）可通過(guò)監(jiān)控?cái)?shù)據(jù)移動(dòng)并遵守行業(yè)合規(guī)性法規(guī)和標(biāo)準(zhǔn)，防止關(guān)鍵和敏感信息泄露。而應(yīng)用程序控制能夠根據(jù)用戶創(chuàng)建的Web安全策略，識(shí)別、阻止或限制 Web 應(yīng)用程序和小部件的使用，確保應(yīng)用程序使用和共享的數(shù)據(jù)的私有性和安全性。

微分段技術(shù)

隨著數(shù)據(jù)存儲(chǔ)、應(yīng)用的不斷增多，以及遠(yuǎn)程辦公模式的改變，數(shù)據(jù)中心網(wǎng)絡(luò)流量從以前的南北向?yàn)橹鬓D(zhuǎn)變?yōu)闁|西向流量為主，逐漸擴(kuò)大了攻擊者的影響范圍，攻擊也變得愈加頻繁。數(shù)據(jù)顯示，2022年，勒索軟件攻擊導(dǎo)致的數(shù)據(jù)泄露事件增加了13%，超過(guò)了過(guò)去五年的總和。此外，勒索軟件攻擊的頻率在2021年翻了一倍。例如美國(guó)最大的輸油管道公司Colonial Pipeline等公司被勒索軟件攻擊，并在 2021年成為頭條新聞。

因此，企業(yè)對(duì)內(nèi)部流量進(jìn)行安全管控就變得尤為重要，一旦攻擊者沖破邊界防護(hù)，便可隨意攻擊數(shù)據(jù)中心內(nèi)部的服務(wù)。而一旦受到攻擊，勒索軟件會(huì)對(duì)數(shù)據(jù)和文件進(jìn)行加密，使數(shù)據(jù)不可用，對(duì)數(shù)據(jù)安全造成極大的危害。因此用戶在數(shù)據(jù)中心內(nèi)部，需要針對(duì)內(nèi)外部的流量構(gòu)建全面的安全體系。在新的網(wǎng)絡(luò)環(huán)境中，嚴(yán)格遵守零信任原則，把攻擊范圍降至最小。

基于網(wǎng)絡(luò)的微分段技術(shù)是實(shí)現(xiàn)零信任模式“最小權(quán)限”原則的基礎(chǔ)。首先，微分段可以提供比子網(wǎng)粒度更細(xì)的分組規(guī)則，并對(duì)數(shù)據(jù)中心的內(nèi)部網(wǎng)絡(luò)進(jìn)行分組，然后對(duì)所有分組之間的流量部署安全策略，監(jiān)控不同分段、主機(jī)之間的數(shù)據(jù)流動(dòng)。這種方法可以在協(xié)議層面、應(yīng)用進(jìn)程層面進(jìn)行識(shí)別和阻斷，阻擋勒索軟件的擴(kuò)散。這樣就可以實(shí)現(xiàn)更精細(xì)的業(yè)務(wù)策略控制，限制攻擊行為在網(wǎng)絡(luò)內(nèi)部橫向移動(dòng)的能力，以增強(qiáng)安全性。其次，利用微分段技術(shù)可以深入探究跨數(shù)據(jù)中心和云應(yīng)用程序的應(yīng)用程序流，使企業(yè)能夠更細(xì)致地了解和保護(hù)從核心到云的整個(gè)基礎(chǔ)設(shè)施。這有助于企業(yè)提早發(fā)現(xiàn)入侵，以便盡快采取糾正措施。

隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展，傳統(tǒng)IT架構(gòu)正在從“有邊界”向“無(wú)邊界”轉(zhuǎn)變。零信任代表了新一代的網(wǎng)絡(luò)安全防護(hù)理念。應(yīng)用零信任架構(gòu)可確保企業(yè)核心數(shù)據(jù)資產(chǎn)不受侵害，數(shù)據(jù)安全則業(yè)務(wù)安全。相信企業(yè)通過(guò)與值得信賴(lài)的云安全合作伙伴合作，利用創(chuàng)新的零信任解決方案保護(hù)網(wǎng)絡(luò)和資源，將成功擊退攻擊者，使商業(yè)生態(tài)系統(tǒng)蓬勃發(fā)展。