网络连接矩阵复杂化,安全防护框架需重构
时间:2022-03-06 06:26:01 | 来源:行业动态
时间:2022-03-06 06:26:01 来源:行业动态
大家好,我是山石网科蒋东毅。
数字化的本质是让人更方便的获取信息,利用信息,也就是构建人与数字信息的连接。但相比过去,数字接入的移动性和服务的云化,已经让人和业务之间的连接变得更加复杂。过去,组织在网络访问上,按照职能和功能,对办公区和数据区进行划分,访问模式还是比较固定的。但现在,移动终端的普及,人在居家、差旅、办公区之间移动切换,业务在私有云和公有云中部署和迁移,SaaS类业务也越来越多,构成了一个复杂的连接矩阵。
可以很清晰的看到,连接矩阵的边界趋于模糊且易变,给组织带来安全防护的极大挑战。以往按照区域划分,区域之间配置安全策略的防控模式,已经难以适应复杂易变的连接矩阵了。
如何应对?山石网科认为,以身份为核心,建立基于动态最小授权策略的零信任安全防控框架,是应对这个挑战的最优解。
可以这么理解,安全防控的基本理念是出了问题可以控制在最小影响范围,当区域边界变的模糊时,我们需要看有什么是相对稳定的,那么可以基于一个相对稳定的基础构建新的安全防控框架。既然信息化的本质是人与信息之间的连接,那么防控体系也可以从人出发进行重构,也就是以身份为基础,建立动态最小授权策略的零信任安全防控框架。所谓动态最小授权,除了根据身份之外,还需要结合接入设备的类型、软硬件合规要求、风险状态等多重因素,进行访问权限控制。
山石网科的iNGFW产品,在零信任管理中心的统一控制下,实现用户接入场景的零信任防控。零信任防控除了针对用户接入侧,还包括业务应用侧。业务应用云化之后,部署和扩展便捷了,但应用之间的访问控制容易被忽视,一旦某个应用被攻破,很容易扩散感染到其他应用。山石网科针对云计算环境,以完整的云内、云外一系列安全产品,来满足东西、南北全方位全场景的微隔离,实现云计算环境的零信任防控。
那未来零信任的方案应该是什么样的。山石网科认为,随着SaaS业务和移动办公的推广普及,SASE作为零信任的运营方案,将为用户带来便捷安全的业务访问。
SASE 本质是SD-WAN Security, 是基于云网的企业网 安全的运营模式,其产生的原因是分散的移动办公加上多点的云服务。传统的接入模式:spoke-n-hub,不适应现在的环境。SASE通过广泛部署PoP点,为分支机构和在外办公提供接入,既提供路由选择、QoS等网络优化功能,也提供各类安全功能,由专业的网络安全公司提供安全的网络接入和运营,保证了办公的便捷性和安全性。
目前来看,中国的SaaS用户,主要还是中小企业,SaaS业务的类型主要还是企业微信、钉钉这样的通用办公类SaaS。SASE会从中小客户开始,随着客户的成长,与用户使用习惯的培养,未来的客户群体会更加广泛。
对网安公司来说,从卖产品,到卖解决方案,提供服务,到提供一整套网络与安全运营,是未来的趋势之一。