——下一代網(wǎng)絡(luò )準入控制系統助力零信任時(shí)代下的企業(yè)安全體系建設

背景

近20年來(lái)，數字化轉型給企業(yè)帶來(lái)便利的同時(shí)，也給企業(yè)安全帶來(lái)了巨大變化，尤其是企業(yè)面臨的網(wǎng)絡(luò )威脅逐漸呈現復雜和多變的趨勢，迫使企業(yè)不得不構筑一道道網(wǎng)絡(luò )安全防護墻來(lái)抵御各種風(fēng)險。其中，作為內網(wǎng)安全防護的“第一道關(guān)卡”，網(wǎng)絡(luò )準入控制系統依托身份認證和安全檢查結果實(shí)施訪(fǎng)問(wèn)控制措施，在網(wǎng)絡(luò )安全中發(fā)揮了積極的防御作用，降低網(wǎng)絡(luò )安全的脆弱性，保證了企業(yè)網(wǎng)絡(luò )邊界的安全。

隨著(zhù)零信任時(shí)代和萬(wàn)物互聯(lián)時(shí)代的到來(lái)，企業(yè)網(wǎng)絡(luò )設備的數量和類(lèi)型激增，網(wǎng)絡(luò )邊界不斷延伸，訪(fǎng)問(wèn)與操作已變得極其復雜。傳統技術(shù)手段下已難以適應當前安全需求和趨勢，這就要求新一代的網(wǎng)絡(luò )準入控制技術(shù)來(lái)滿(mǎn)足不斷變化的網(wǎng)絡(luò )和終端環(huán)境，包括提出更具有適應性的技術(shù)架構、更具廣度的大數據計算、更具開(kāi)放性的對外接口等。

主要問(wèn)題分析

面對未來(lái)愈加復雜異構的網(wǎng)絡(luò )環(huán)境，一種或者固定的網(wǎng)絡(luò )準入控制手段早已不能適應種類(lèi)繁多和復雜的安全場(chǎng)景，相比較現有的網(wǎng)絡(luò )準入控制系統，下一代的網(wǎng)絡(luò )準入控制系統應該重點(diǎn)關(guān)注并解決以下方面的問(wèn)題：

1、終端資產(chǎn)全面收集

網(wǎng)絡(luò )的發(fā)展和信息化程度的提升，各種打印機、攝像頭、IP電話(huà)、BYOD手持設備等“啞終端”不斷涌現。Gartner 預計，到2020年將安裝超過(guò)204億臺物聯(lián)網(wǎng)設備。90%的用戶(hù)隨身攜帶移動(dòng)設備。早期的網(wǎng)絡(luò )準入技術(shù)通過(guò)客戶(hù)端收集終端信息，但受客戶(hù)端與平臺之間兼容性等問(wèn)題的影響，信息收集容易導致不全面的后果?，F今要想在多樣化的網(wǎng)絡(luò )環(huán)境中保證網(wǎng)絡(luò )安全，必須全方位掌握網(wǎng)絡(luò )中的終端（資產(chǎn)）信息，感知各類(lèi)資產(chǎn)的運行狀況和異常情況，是做好網(wǎng)絡(luò )安全防護的關(guān)鍵一步。

2、持續檢測功能

現有的網(wǎng)絡(luò )準入控制系統是“靜態(tài)”的看設備，設備入網(wǎng)前嚴格檢查，入網(wǎng)后終端就自由通行，即使設備合規狀態(tài)變化了也無(wú)從知曉。面對現在愈發(fā)復雜的網(wǎng)絡(luò )環(huán)境和攻擊威脅，新一代網(wǎng)絡(luò )準入控制系統除了強制安全基線(xiàn)合規外，更應加強對終端的威脅檢測、行為分析、網(wǎng)絡(luò )流量分析，實(shí)現對終端的情報檢測、大數據分析、異常威脅畫(huà)像，提高對終端安全威脅的檢測和發(fā)現能力。

傳統網(wǎng)絡(luò )準入控制系統設備入網(wǎng)檢測流程

3、內部威脅監測

傳統的防護手段難以發(fā)現一些潛伏性和持續性等威脅巨大的攻擊行為。然而新一代網(wǎng)絡(luò )準入控制系統可以通過(guò)對終端漏洞進(jìn)行控制、對網(wǎng)絡(luò )中的異常行為進(jìn)行監視以及與周邊安全設備進(jìn)行互操作，在防御高級持續性威脅攻擊方面發(fā)揮作用，最終構筑一套縱深防御的安全體系。

下一代網(wǎng)絡(luò )準入控制技術(shù)的幾個(gè)“亮點(diǎn)”

1、終端全面收集，精準定位

軟、硬件探針技術(shù)充分結合，秒級發(fā)現剛入網(wǎng)的設備。并能根據不同的行業(yè)，形成了特有的行業(yè)設備類(lèi)型識別規則（如金融、制造、醫院、公共安全的視頻專(zhuān)網(wǎng)等），可以精準的識別各種IT、IoT、ICT設備，同時(shí)支持自定義設備類(lèi)型和識別規則。

針對ICT、IoT設備支持10+個(gè)維度的指紋特征，更加精準的標識一臺設備，讓設備仿冒無(wú)所遁形。針對計算機設備，可以采用安全控件或者遠程安全檢查的方式，同時(shí)支持與AD域、WSUS結合形成閉環(huán)管理。

同時(shí)可以對設備進(jìn)行分組，針對不同的設備分組進(jìn)行網(wǎng)絡(luò )訪(fǎng)問(wèn)控制；對于存在威脅或者其它不合規行為的設備，可以動(dòng)態(tài)下發(fā)網(wǎng)絡(luò )控制權限，進(jìn)行隔離或下線(xiàn)。

2、零信任安全理念運用

傳統安全中攻擊者在成功突破一個(gè)防御點(diǎn)（例如防火墻或用戶(hù)登錄名）之后便能利用網(wǎng)絡(luò )固有的信任弱點(diǎn)，通過(guò)在網(wǎng)絡(luò )、應用環(huán)境中橫向移動(dòng)來(lái)鎖定敏感數據目標。在受信任區域內發(fā)起攻擊的內部威脅更容易獲得更高的權限。而零信任架構的安全體系，以資產(chǎn)可見(jiàn)性驅動(dòng)安全策略的制定，提供盡可能豐富的情報和可見(jiàn)性，僅向經(jīng)驗證和授權的用戶(hù)和設備提供應用程序和數據訪(fǎng)問(wèn)。信任不是一次性的，也不是恒久不變的，需要持續驗證。動(dòng)態(tài)訪(fǎng)問(wèn)控制策略，訪(fǎng)問(wèn)決策的制定以每一次重新建立起的信任為基礎。

3、持續監控能力

運用協(xié)議還原技術(shù)、入侵檢測技術(shù)、幻影技術(shù)、面包屑技術(shù)、威脅情報結合AI，智能感知針對高價(jià)值資產(chǎn)的攻擊；自動(dòng)檢測已知、未知的威脅和網(wǎng)絡(luò )異常行為。同時(shí)可以與其他產(chǎn)品聯(lián)動(dòng)，對存在問(wèn)題的主機進(jìn)行調查取證。

4、聯(lián)合其他網(wǎng)絡(luò )安全系統構建縱深防御體系

傳統管理思路的局限性體現在不能完整覆蓋終端類(lèi)型和網(wǎng)絡(luò )環(huán)境，不能統一管理，導致形成安全系統的孤島建設，不僅管理效率低，還存在安全系統間的安全空隙風(fēng)險；且終端上將會(huì )積累越來(lái)越多的客戶(hù)端，使得終端運行越來(lái)越慢，用戶(hù)體驗感變差，運維壓力變大。隨著(zhù)技術(shù)的新運用，終端準入控制產(chǎn)品將更有效地加強用戶(hù)終端主動(dòng)管理能力，并加強與其他網(wǎng)絡(luò )安全系統的聯(lián)動(dòng)，例如與VPN/SDP/EMM-APN/EDR等結合起來(lái)，進(jìn)一步對網(wǎng)絡(luò )端和終端實(shí)現同等保護服務(wù)。

下一代網(wǎng)絡(luò )準入控制系統整體框架

下一代網(wǎng)絡(luò )準入控制技術(shù)的優(yōu)勢

隨著(zhù)互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數據、云計算等現代信息技術(shù)的深度發(fā)展和推廣，IT系統規模也在不斷擴展，給企業(yè)IT運維管理帶來(lái)了新挑戰。在用戶(hù)、在終端、應用層面、安全管理等方面，都需要將網(wǎng)絡(luò )安全從疲于奔命的被動(dòng)防御轉為主動(dòng)防御，提高整體網(wǎng)絡(luò )安全防護能力。所以，解決IT運維管理的復雜性，需要標準化的管理流程工具，避免人為失誤與網(wǎng)絡(luò )威脅。

下一代網(wǎng)絡(luò )準入控制技術(shù)采用了“動(dòng)態(tài)”防御技術(shù)與傳統的“靜態(tài)”檢查結合起來(lái)，不論員工在哪里，不論設備從哪里接入，都能持續監控網(wǎng)絡(luò )攻擊及異常行為，保證企業(yè)網(wǎng)絡(luò )的“邊界”安全。

網(wǎng)絡(luò )準入控制技術(shù)發(fā)展歷程

結語(yǔ)

網(wǎng)絡(luò )準入控制技術(shù)發(fā)展至今，一直在迭代更新，不同時(shí)期的技術(shù)特點(diǎn)和關(guān)注點(diǎn)也不一樣，下一代網(wǎng)絡(luò )準入控制系統的發(fā)展將走向何方？作為國內最早研發(fā)、應用最廣的網(wǎng)絡(luò )準入控制廠(chǎng)商，聯(lián)軟科技認為網(wǎng)絡(luò )準入控制是安全技術(shù)與管理流程的結合，它不只是一個(gè)安全工具，也是解決安全管理問(wèn)題的基礎設施，下一代網(wǎng)絡(luò )準入控制系統將會(huì )具有功能更完備、自適應能力強、部署維護簡(jiǎn)便、分析展現直觀(guān)等特點(diǎn)，在面對更多樣的網(wǎng)絡(luò )環(huán)境時(shí)，例如面對當前零信任、遠程辦公等的運用環(huán)境，下一代網(wǎng)絡(luò )準入控制系統將會(huì )有更廣闊的應用前景。