【直播】全新定義下一代網(wǎng)絡(luò )準入控制系統
聯(lián)軟科技
2022年11月14日
在上篇《網(wǎng)絡(luò )準入:正在變,即將變?》發(fā)布后,本周聯(lián)軟在線(xiàn)分享了《下一代網(wǎng)絡(luò )準入助力企業(yè)構建網(wǎng)絡(luò )安全縱深防御》,掃描或識別下方二維碼即可查看直播回放(需登錄):
以下為直播精彩內容:
大家好,非常榮幸今天為大家介紹下一代網(wǎng)絡(luò )準入系統。聯(lián)軟科技成立于2003年,是國內首家網(wǎng)絡(luò )準入控制廠(chǎng)商,現產(chǎn)品累計管理終端眾多,并從網(wǎng)絡(luò )準入產(chǎn)品發(fā)展擴充了終端管理、數據防泄密、移動(dòng)終端管理、SDP等全套端點(diǎn)安全產(chǎn)品,是國內企業(yè)級端點(diǎn)安全市場(chǎng)的領(lǐng)導者,聯(lián)軟科技在網(wǎng)絡(luò )準入控制領(lǐng)域深耕十多年,在當前企業(yè)信息化技術(shù)不斷變化的今天,通過(guò)定義新的下一代網(wǎng)絡(luò )準入控制系統助力企業(yè)構建內部網(wǎng)絡(luò )安全的縱深防御。
當前企業(yè)網(wǎng)絡(luò )準入系統的現狀
在現代企業(yè)的內部終端管理中,網(wǎng)絡(luò )準入已由傳統安全產(chǎn)品轉化為一項基礎設施,因為網(wǎng)絡(luò )準入是企業(yè)終端安全管理的基礎,誰(shuí)進(jìn)入了網(wǎng)絡(luò )、終端是否安全合規、網(wǎng)絡(luò )權限是否正確這些都是網(wǎng)絡(luò )準入的細節。但是隨著(zhù)現代企業(yè)IT架構和安全需求的變化,當前的準入系統已無(wú)法滿(mǎn)足企業(yè)的安全需求。主要有三個(gè)方面的變化:
01安全威脅向傳統邊界和控制區域之外遷移
第一,安全威脅向傳統邊界和控制區域之外移動(dòng),以前企業(yè)的網(wǎng)絡(luò )是煙囪式的網(wǎng)絡(luò ),整個(gè)企業(yè)是一套大的網(wǎng)絡(luò ),網(wǎng)絡(luò )內部劃分各隔離子網(wǎng)。但隨著(zhù)移動(dòng)化辦公、byod設備的使用及系統的云遷移,網(wǎng)絡(luò )邊界已經(jīng)不再清晰,尤其是在當前疫情的影響下,企業(yè)遠程辦公逐漸增加,迫切需要一種新的準入方式實(shí)現企業(yè)內部全場(chǎng)景的管控。
02內部可信走向零信任安全體系
第二由內部可信走向了零信任網(wǎng)絡(luò ),由原來(lái)的企業(yè)內部即等于可信,變?yōu)榱藦牟恍湃?,始終校驗。傳統的安全方式依據用戶(hù)終端所在網(wǎng)絡(luò )范圍實(shí)現可信,即終端在生產(chǎn)網(wǎng)時(shí),生產(chǎn)網(wǎng)的終端都是可信的。一次一種驗證,這種方式顯然是不安全的,這也是為什么企業(yè)開(kāi)始逐步向零信任網(wǎng)絡(luò )遷徙,通過(guò)零信任網(wǎng)絡(luò )架構,對每一次的資源訪(fǎng)問(wèn)進(jìn)行校驗和重新授權。
03云邊端一體化管控是下一代網(wǎng)絡(luò )準入控制的關(guān)注點(diǎn)
隨著(zhù)中國大數據、云計算市場(chǎng)的普及發(fā)展和5G技術(shù)在終端準入控制市場(chǎng)的應用,終端承載的數據價(jià)值和功能價(jià)值也日益提升,傳統準入只考慮邊界的問(wèn)題,但在當前多種網(wǎng)絡(luò )環(huán)境、多類(lèi)型終端形態(tài)和安全要求的情況下,下一代網(wǎng)絡(luò )準入勢必要基于零信任網(wǎng)絡(luò )的持續驗證,解決安全威脅問(wèn)題,實(shí)現云邊端一體化的管控。
下一代網(wǎng)絡(luò )準入系統的五個(gè)關(guān)鍵點(diǎn)
01全網(wǎng)資產(chǎn)可視是網(wǎng)絡(luò )準入的基礎
隨著(zhù)物聯(lián)網(wǎng)的發(fā)展進(jìn)程,ip電話(huà)、攝像頭等泛終端設備增多,企業(yè)內部的未知IT設備也越來(lái)越多,我們必須首先做好全網(wǎng)資產(chǎn)的可視才能做好網(wǎng)絡(luò )準入控制。
02靜態(tài)的安全校驗存在多種安全風(fēng)險
傳統網(wǎng)絡(luò )準入是靜態(tài)校驗機制,即在入網(wǎng)前進(jìn)行安全檢測,檢查后就放行,在下次認證前是沒(méi)有任何安全措施的,類(lèi)似我們疫情期間進(jìn)入一棟大廈需要檢查帶口罩,但只在入大廈前檢查,進(jìn)入大廈后隨時(shí)可以把口罩摘掉,這樣的靜態(tài)防御是沒(méi)有用途的。
03內部威脅感知是網(wǎng)絡(luò )準入的最終目的
傳統安全方案以識別用戶(hù)身份,檢測終端入網(wǎng)狀態(tài)為目標,注重入網(wǎng)時(shí)的安全狀態(tài),而忽略了入網(wǎng)后的終端安全變化;下一代企業(yè)網(wǎng)絡(luò )準入管控系統建設的路徑是由資產(chǎn)管理開(kāi)始,延伸至入網(wǎng)管控和持續性安全監測,最終實(shí)現對內部網(wǎng)絡(luò )威脅檢測與處置。
04網(wǎng)絡(luò )的復雜性使得邊界管控可能存在死角
當今終端類(lèi)型復雜、應用系統復雜、網(wǎng)絡(luò )復雜,安全需求逐漸改變,傳統的網(wǎng)絡(luò )意義開(kāi)始逐步出現無(wú)法管控的死角。
05準入部署要保障網(wǎng)絡(luò )的高可用
企業(yè)的數字化轉型對網(wǎng)絡(luò )的可用性依賴(lài)更高,準入部署要保障網(wǎng)絡(luò )的高可用。
下一代網(wǎng)絡(luò )準入控制整體框架
下一代網(wǎng)絡(luò )準入系統的功能
01支持多種準入控制技術(shù)適應復雜網(wǎng)絡(luò )環(huán)境
在網(wǎng)絡(luò )適應上,通過(guò)一套系統實(shí)現多種網(wǎng)絡(luò )環(huán)境下的準入管理和動(dòng)態(tài)授權,包括交換機有線(xiàn)接入、無(wú)線(xiàn)接入、還有HUB接入、nat接入、vpn接入等場(chǎng)景,并可針對不同場(chǎng)景下實(shí)行不同的網(wǎng)絡(luò )授權體系,實(shí)現端口級別的準入管控。
02多重高可用設計保障網(wǎng)絡(luò )可靠性
下一代網(wǎng)絡(luò )準入在保障網(wǎng)絡(luò )可靠性上通過(guò)六種手段實(shí)現:
(一)通過(guò)傳統雙機熱備方式實(shí)現冗余;
(二)實(shí)現數據庫冗余,終端在入網(wǎng)時(shí)及入網(wǎng)后都會(huì )進(jìn)行入網(wǎng)安全校驗,安全校驗策略存儲在數據庫內,下一代網(wǎng)絡(luò )準入可實(shí)現安全校驗策略的冗余,當數據庫發(fā)生故障時(shí)依然可正常檢驗;
(三)認證源冗余,下一代準入系統在A(yíng)D/Ldap等認證源服務(wù)器斷開(kāi)或發(fā)生故障時(shí)依然可以利用冗余信息實(shí)現用戶(hù)認證;
(四)一鍵撤防實(shí)現緊急逃生機制;
(五)miniradius逃生模塊可使得下一代網(wǎng)絡(luò )準入系統在完全宕機的情況下實(shí)現逃生;
(六)熔斷機制,當一定時(shí)間內超出預設閾值的終端數量準入認證失敗時(shí),系統自動(dòng)切換到逃生,保障業(yè)務(wù)的平穩運行。
03全網(wǎng)探測實(shí)現資產(chǎn)的持續可見(jiàn)性
通過(guò)網(wǎng)絡(luò )探針、終端主機探針、服務(wù)器主機探針和外部探針結合實(shí)現覆蓋全網(wǎng)空間的資產(chǎn)探測能力。
04構建基于信任驗證的動(dòng)態(tài)訪(fǎng)問(wèn)控制
解決靜態(tài)校驗問(wèn)題的關(guān)鍵在于構建基于信任驗證的動(dòng)態(tài)訪(fǎng)問(wèn)控制,系統可根據終端網(wǎng)絡(luò )行為進(jìn)行實(shí)時(shí)上下文關(guān)聯(lián)分析,動(dòng)態(tài)下發(fā)網(wǎng)絡(luò )控制權限,并通過(guò)威脅情報信息進(jìn)行威脅評級,實(shí)現快速響應。
三種場(chǎng)景:下一代網(wǎng)絡(luò )準入需求
01面向企業(yè)的安全管控
·面向企業(yè)員工的安全管控
建立嚴格的網(wǎng)絡(luò )準入機制,避免非法終端入網(wǎng),并可實(shí)現對異常終端進(jìn)行端口級阻斷。
·適應多場(chǎng)景的安全合規檢查
智能準入環(huán)境下,依據不同終端不同網(wǎng)絡(luò )不同角色,進(jìn)行客戶(hù)端方式、插件方式及無(wú)代理方式的安全檢查。
·SDN網(wǎng)絡(luò )環(huán)境下的聯(lián)動(dòng)集成
在SDN網(wǎng)絡(luò )中,通過(guò)Radius代理將SDN認證中心與聯(lián)軟準入系統進(jìn)行聯(lián)動(dòng)。聯(lián)軟準入系統負責終端的802.1X 認證和終端安全檢查,然后把用戶(hù)身份標簽返回給SDN認證中心。
·外部訪(fǎng)客接入
對于外部訪(fǎng)客或駐場(chǎng)外協(xié)人員,可通過(guò)臨時(shí)賬號、自助注冊和審批授權的方式實(shí)現網(wǎng)絡(luò )認證和控制。
02物聯(lián)網(wǎng)安全管控場(chǎng)景,主要針對企業(yè)內部的啞終端設備進(jìn)行管理
傳統準入的啞終端設備管理是通過(guò)IP/MAC地址添加的白名單內進(jìn)行管理,但不僅維護工作量巨大,同時(shí)及其容易被偽造。同時(shí),面多終端的啞終端設備,下一代終端通過(guò),多種設備屬性形成設備指紋,并可以關(guān)聯(lián)到設備歸屬人。威脅檢測發(fā)現威脅行為后是可以快速關(guān)聯(lián)到對應歸屬人,而威脅行為的發(fā)現是通過(guò)多維度的數據采集進(jìn)行行為建模,并形成設備類(lèi)型畫(huà)像,當發(fā)生差異性行為時(shí)進(jìn)行快速告警和處置。
03云主機安全管控
第一種措施是通過(guò)流量監控,捕捉攻擊行為,針對DDoS攻擊流量阻斷;
第二種通過(guò)偽裝技術(shù)自動(dòng)模擬大量?jì)染W(wǎng)主機(幻影),誘捕非法攻擊,進(jìn)行攻擊路徑的追溯,并進(jìn)行防御;
第三種,基于零信任網(wǎng)絡(luò )邊界下,通過(guò)應用安全網(wǎng)絡(luò )實(shí)現企業(yè)內部業(yè)務(wù)系統的隱藏,當用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)系統時(shí),必須經(jīng)過(guò)訪(fǎng)問(wèn)控制引擎的動(dòng)態(tài)認證授權,才能正常訪(fǎng)問(wèn)業(yè)務(wù)。而動(dòng)態(tài)認證的參數包含了用戶(hù)身份、終端類(lèi)型、接入地點(diǎn)、訪(fǎng)問(wèn)應用和健康狀態(tài)等信息。
整套下一代網(wǎng)絡(luò )準入方案,在補充了傳統網(wǎng)絡(luò )準入在全網(wǎng)資產(chǎn)可見(jiàn)性、云邊端基礎安全防護及威脅持續監測響應的不足外,通過(guò)提高入侵難度,強化企業(yè)安全對抗能力,改變網(wǎng)絡(luò )安全行業(yè)內攻防不平衡的現狀。