零信任内网安全访问

news2024/11/19 18:32:28

随着互联网的持续发展,便捷的共享方式极大地提高了企业的生产力和工作效率,但随之也给企业内网带来了极大的安全隐患。企业内网承载大量的核心资产和机密数据,一旦受到攻击可能会造成大量损失,因此,如何通过零信任内网安全解决方案保障企业数据安全,加强企业信息化建设,是提高企业信息安全管理水平的关键。

一、企业内网安全面临的问题与挑战

数字经济时代,数字应用是推动经济社会发展的必要生产要素,其重要性日益凸显。面对新基建的历史机遇,随着5G网络、人工智能、工业互联网等产业的成熟,移动互联网、物联网、工业互联网、车联网等新型应用场景的持续推广也随之带来了许多安全问题,企业内网安全面临以下挑战:

1、针对企业网络边界的猛烈攻击

攻击者大量利用弱口令、口令爆破等惯用伎俩,在登录过程中突破企业边界、在传输过程中截获或伪造登录凭证。大型组织甚至国家发起的APT高级攻击,还可以绕过或攻破企业网络防护边界在企业内部进行横向访问。  

2、企业资源暴露程度大幅度增加

在非授权访问、员工无意犯错等情况下,“合法用户”非法访问特定的业务和数据资源后,造成企业内部数据泄漏,甚至可能发生内部员工“获取”管理员权限,导致更大范围、更高级别的企业信息安全灾难性事故。

3、传统安全防御体系已经无法适应安全管控需求

传统的安全架构以“纵深防御+边界防御”为主,企业在成长过程中,安全边界逐步被打破,并彻底走向模糊化,基于边界的安全防护体系逐渐失效,已经难以适应企业快速成长,难以应对业务的快速变化。

二、企业内网安全场景分析

企业内部业务一方面实现了多部门、多平台、多业务的数据融合;另一方面业务访问方面打破了业务之间、部门之间的网络边界,实现互通互访。其主要的零信任业务场景包括:

1、企业分支机构实现内网访问

通常企业有一个总部和一个或多个位置分散的分支机构,这些机构没有由企业自有的物理网络连接,员工可通过内网访问企业内部应用,其应用系统会暴露于各种安全威胁下,易受到各种形式的攻击,包括暴力破解、DDoS、XSS和任何TLS漏洞。

2、企业内部员工出差实现内网访问

员工在出差过程中,经常通过不同的环境或设备远程访问企业内网进行公文处理、邮件收发或资料上传下载,因不安全的环境和设备非常容易导致恶意软件通过内网进行传播,带来巨大的安全风险。

3、企业运维人员通过远程实现内网访问

企业内部运维人员在非工作时间,为快速支持和解决业务的应急问题,需要通过远程访问后台服务器的端口和访问权限进行管理,而粗放式的端口授权和访问机制,导致攻击者可快速扫描其服务器漏洞,增加了被攻击风险。

4、企业内部人员通过外网直接访问被暴露的应用系统

一部分企业为方便应用系统被全球用户或分支机构访问,采取直接通过NAT方式映射至互联网,并开通其访问端口和访问路径,其安全隐患一是应用系统无法应对各种攻击和病毒入侵,二是攻击者使用DDoS等攻击手段导致业务瘫痪。

三、零信任内网安全解决方案

派拉零信任身份安全系统是基于“零信任”架构,集成账户管理、统一认证、访问授权、集中审计、特权管理、应用安全等,实现内网安全管理功能和服务。

1、SDP方式实现BYOD分支机构访问

基于零信任资源门户部署方式,对用户的自有设备实现设备、人员和权限的综合鉴权与访问,其中门户网关可以是单个资源或资源集,并且不需要在客户端设备安装代理软件。

图片

2、SDP方式实现不支持BYOD分支机构访问

基于零信任设备代理/网关部署方式,对用户的非自有设备实现设备、人员和权限的综合鉴权与访问,其中每个资源都具备一个网关,并且在客户端设备安装代理软件。

图片

3、SDP方式实现运维管理及业务应用远程访问

使用SDP网关,针对运维管理人员及企业内部用户,通过远程访问或直接访问形式,首先进行SPA单包认证,只有用户身份、访问权限和设备通过验证且可信,则建立相应的TCP连接,同时开放服务器运维端口及应用系统访问端口等权限。

图片

4、使用微隔离技术加强企业内部业务安全访问

通过新一代防火墙NGFW技术,实现针对企业内部以应用维度进行网络隔离,主要包括两种实现模式:

  • 第三方防火墙微隔离:通过第三方防火墙供应商提供的虚拟防火墙进行隔离,其特点包括具备丰富的安全能力、支持自动化编排和丰富的分析报告;

图片

  • 基于代理模式微隔离:通过使用将代理软件部署至主机或虚拟机中,实现动态方式控制代理主机间的通信和安全,其特点包括适用各种线下线下平台、支持自动化编排和安全策略的快速迁移。

图片

5、企业内部用户身份管理与访问控制

通过对企业多身份源的统一、可信终端管控以及不同网络访问场景的安全管控,促进企业对内部、外部、客户、消费者、合作伙伴等不同群体和对象的管理。同时基于主体、客体和环境等层面的角色动态管理和最小权限管控,满足安全治理要求。通过AI风险分析与监测,动态感知安全边界的变化,更多的用户通过手机、Pad等不同可信终端进行业务访问,进一步扩大安全管理边界。基于可信设备的准入和身份鉴别,保障设备可信接入和安全环境的合规访问。

图片

四、零信任内网安全访问业务价值

1、构建更安全的内部安全网络

通过实施“从不信任并始终验证”,不同类型用户只能按照预先确定的信任级别,访问预先申请的企业资源,未预先申请的企业资源将无法被访问,阻止企业内部“漫游”情况。

2、增强对企业应用和数据的保护

在实施“按需受控访问”的基础上,有效整合资源保护相关的数据加密、网络分段、数据防泄露等技术,保护应用资源、数据在网络中的传输和存储,并优先保护高价值资源。

3、大面积减少攻击企业内部风险

用户通过访问认证之前,资源对用户隐身;即便在用户通过访问认证和授权,成功进入网络以后,零信任架构也将阻止用户漫游到未经授权的区域。零信任思维从根本上降低了外部(互联网可发现)和内部(内部威胁)攻击面。

4、缩减企业安全管理成本和建设成本

零信任架构终结了安全防护手段各自为政的现状,在零信任架构实施时,可以通过与现有工具的集成,大幅度降低零信任潜在建设成本。

据旧金山计算机安全研究所的统计,60%到80%的网络滥用事件来自内部网络,对内部人的信任所造成的危害程度,远远超过黑客攻击和病毒造成的损失。展望未来,随着网络防护从传统边界安全理念向零信任理念演进,零信任将成为数字安全时代的主流架构。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2166254.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

快手一面:给定一棵二叉树,要求将其转换为其镜像?

目录标题 题解:二叉树的镜像(Invert Binary Tree)问题描述示例解题思路代码实现详细分析复杂度分析优点注意事项💕 题解:二叉树的镜像(Invert Binary Tree) 问题描述 给定一棵二叉树&#xff…

探索AI新纪元:揭秘Mammoth库的神秘面纱

文章目录 探索AI新纪元:揭秘Mammoth库的神秘面纱背景:为何选择Mammoth?简介:Mammoth是什么?安装:如何获取Mammoth?使用:Mammoth的基本函数场景应用:Mammoth在实际中的运用…

基于Python大数据的B站热门视频的数据分析及可视化系统

作者:计算机学姐 开发技术:SpringBoot、SSM、Vue、MySQL、JSP、ElementUI、Python、小程序等,“文末源码”。 专栏推荐:前后端分离项目源码、SpringBoot项目源码、Vue项目源码、SSM项目源码 精品专栏:Java精选实战项目…

宠物空气净化器和普通的空气净化器有区别吗?哪款能吸猫毛

这不是国庆节要来了吗,想着假期变多了可以多陪一下自家的小猫咪,但是也怕猫咪的毛发太多让我产生退缩的念头。 刚开始养的时候,我就知道猫咪是会掉毛的,毕竟猫咪的毛发这么旺盛,掉毛也是正常的,但是我似乎…

SpringCloud源码:客户端分析(二)- 客户端源码分析

背景 我们继续分析EurekaClient的两个自动化配置类: 自动化配置类功能职责EurekaClientAutoConfiguration配置EurekaClient确保了Eureka客户端能够正确地:- 注册到Eureka服务端- 周期性地发送心跳信息来更新服务租约- 下线时通知Eureka服务端- 获取服务实…

Qt网络编程——QUdpSocket

文章目录 Qt网络编程QUdpSocketUdp回显服务器Udp客户端 Qt网络编程 网络编程本质上是写应用层代码,需要传输层提供支持。 而传输层最核心的协议就是UDP和TCP,这两个协议有较大差别,所以Qt提供了两套API。 要是有Qt网络编程的API&#xff0…

9.23-9.25学习

前置知识 docker:Docker-CSDN博客 docker安装mysql和 redis:https://blog.csdn.net/weixin_73118927/article/details/142530243?fromshareblogdetail&sharetypeblogdetail&sharerId142530243&sharereferPC&sharesourceweixin_7311892…

从预测性维护到智能物流:ARM边缘计算控制器的工业实践

工业4.0时代的到来,边缘计算技术成为连接物理世界与数字世界的桥梁。ARM架构的边缘计算控制器凭借其低功耗、高能效和灵活性等特点,在工业自动化领域展现出巨大潜力。本文将通过几个实际应用案例来探讨ARM边缘计算控制器是如何提升生产线效率和安全性的&…

03DSP学习-利用syscfg配置IO

上一篇博客介绍了syscfg,对syscfg有了初步的了解,但是在真正使用上它之前,还不能理解他是一个神器。 (在写博客的时候,我是在从头到尾重新完成这个步骤,希望对初学者有点帮助) 找到Board Component 打开syscfg文件&…

【Tourism】Yuncheng(4)

文章目录 1、永乐宫(AAAA)2、寿圣寺3、城隍庙4、池神庙 1、永乐宫(AAAA) 永乐宫,原名大纯阳万寿宫,位于山西省运城市芮城县以北约三公里处的龙泉村东,是为纪念八仙之一吕洞宾而修建的一座道教宫…

VR虚拟展厅可以在手机上打开吗?

虚拟展厅是可以在手机上打开的。 随着数字技术和虚拟现实技术的不断发展,虚拟展厅已经实现了多平台无缝对接,包括手机、平板、电脑等多种电子设备。具体来说,虚拟展厅通常采用HTML5360全景架构,这种架构使得虚拟展厅不需要安装任…

Mac优化清理工具CleanMyMac X 4.15.6 for mac中文版

CleanMyMac X 4.15.6 for mac中文版下载是一款功能更加强大的系统优化清理工具,软件只需两个简单步骤就可以把系统里那些乱七八糟的无用文件统统清理掉,节省宝贵的磁盘空间。CleanMyMac X 4.15.6 for mac 软件与最新macOS系统更加兼容,流畅地…

2024年配置YOLOX运行环境+windows+pycharm24.0.1+GPU

1.配置时间2024/9/25 2.Anaconda-python版本3.7,yolox版本0.2.0 YOLOX网址: https://github.com/Megvii-BaseDetection/YOLOX 本人下载的这个版本 1.创建虚拟环境 conda create -n yolox37 python37 激活 conda activate yolox37 2.安装Pytorch cuda等&…

vue路由的基本使用

文章目录 1.路由的基本使用2.路由的默认路径3.嵌套路由4.路由懒加载5.动态路由匹配 1.路由的基本使用 安装 vue-router: npm install vue-router创建路由文件: 在 src 目录下创建 router 目录,并在其中创建 index.js 文件。 在 main.js 中使…

【Linux操作系统】进程优先级

目录 一、为什么要有优先级二、进程优先级1.进程优先级的基本概念2.进程优先级的表现形式3. 默认优先级4.进程优先级的修改5.为什么调整优先级是要受限制的? 一、为什么要有优先级 在学习进程优先级之前,我们要先知道为什么会出现进程优先级这个东西 从…

2015年国赛高教杯数学建模A题太阳影子定位解题全过程文档及程序

2015年国赛高教杯数学建模 A题 太阳影子定位 技术就是通过分析视频中物体的太阳影子变化,确定视频拍摄的地点和日期的一种方法。   1.建立影子长度变化的数学模型,分析影子长度关于各个参数的变化规律,并应用你们建立的模型画出2015年10月…

C++入门day3-面向对象编程(下)

前言:C入门day3-面向对象编程(中)-CSDN博客 初识:继承特性 继承的基础语法 class A{ public:int a; }; class B:public A { public:int b; }; B类通过继承A类后,内部会继承一个int变量 a:从下图我们可以…

Nginx基础详解2(首页解析过程、进程模型、处理Web请求机制、nginx.conf语法结构)

续:Nginx基础详解1(单体部署与集群部署、负载均衡、正反代理、nginx安装)-CSDN博客 目录 4.Nginx默认首页的过程解析 5.Nginx进程模型的详解 5.1启动nginx后的关于nginx的进程查看 5.2master进程与process进程 5.3Nginx进程图解 5.4wo…

【已解决】【Hadoop】【./bin的使用】bash: ./bin/hdfs: 没有那个文件或目录

在 Hadoop 环境中,决定何时在命令前添加 ./bin 和如何处理路径 /home/hadoop 与 /usr/local/hadoop 的问题,主要取决于你的当前工作目录和环境变量的设置。以下是一些指导原则: 何时使用 ./bin: 当前目录是 Hadoop 安装目录&…

【分类|回归】深度学习中的分类和回归?离散数据or连续数值?

【分类|回归】深度学习中的分类和回归?离散数据or连续数值? 【分类|回归】深度学习中的分类和回归?离散数据or连续数值? 文章目录 【分类|回归】深度学习中的分类和回归?离散数据or连续数值?前言1.分类问题…