侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

Check Point: 企業(yè)部署零信任網(wǎng)絡(luò)(ZTNA)的核心要素

2022-07-06 10:45
來源: 粵訊

自2020 年開始,新冠疫情的爆發(fā)導(dǎo)致各企業(yè)、機(jī)構(gòu)大規(guī)模轉(zhuǎn)向了遠(yuǎn)程和混合工作環(huán)境,這大大增加了其攻擊面和風(fēng)險(xiǎn)。同時(shí),許多公司加速實(shí)施云計(jì)劃,以提供對(duì)數(shù)據(jù)和資源的訪問;企業(yè)復(fù)工后的BYOD 策略允許員工通過家庭和個(gè)人設(shè)備訪問公司資產(chǎn);供應(yīng)鏈合作伙伴現(xiàn)在也需要遠(yuǎn)程訪問信息……這一系列變化無疑為不法分子提供了全方位的攻擊機(jī)會(huì),這也是近年來網(wǎng)絡(luò)攻擊事件不斷增加的主要驅(qū)動(dòng)因素之一。

到目前為止,各公司依靠虛擬專用網(wǎng)絡(luò) (VPN) 和基于本地的安全方法來實(shí)現(xiàn)安全的遠(yuǎn)程訪問。新冠以來,這些方法的局限性變得愈發(fā)明顯。首先VPN在部署上無法真正實(shí)現(xiàn)按需擴(kuò)展,這使得在BYOD以及合作伙伴設(shè)備上進(jìn)行安裝維護(hù)極難落實(shí);同時(shí),混合云環(huán)境中部署、使用VPN十分復(fù)雜,企業(yè)往往需要面對(duì)性能與靈活性下降的影響;最后VPN與本地安全方法大多缺乏面向DevOps和工程用戶的特權(quán)訪問管理(PAM)功能,使得它們的運(yùn)維成本十分高昂。

因此,零信任網(wǎng)絡(luò)訪問 (ZTNA) 正成為標(biāo)準(zhǔn)化安全架構(gòu)的關(guān)鍵要素。ZTNA 模型“從不信任并始終驗(yàn)證”。實(shí)施時(shí),ZTNA 能夠:

● 根據(jù)具體應(yīng)用限制訪問;

● 隨時(shí)隨地對(duì)每個(gè)設(shè)備和用戶進(jìn)行身份驗(yàn)證;

● 深知當(dāng)今復(fù)雜網(wǎng)絡(luò)態(tài)勢(shì),不做任何假設(shè)。

Gartner® 將 ZTNA 定義為“可創(chuàng)建基于身份和基于上下文的邏輯訪問邊界的產(chǎn)品和服務(wù)。代理在驗(yàn)證特定參與者的身份、上下文和策略遵從性后方可允許訪問,并能夠最大限度地減少在網(wǎng)絡(luò)中其他位置的橫向移動(dòng)!

如下所示,Gartner 的定義將控制層與數(shù)據(jù)層分開。

Check Point: 企業(yè)部署零信任網(wǎng)絡(luò)(ZTNA)的核心要素

ZTNA 不僅僅是 VPN 的替代方案,還能夠確保機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)外部的所有用戶和設(shè)備在被允許或支持訪問應(yīng)用和數(shù)據(jù)之前,均經(jīng)過身份驗(yàn)證和授權(quán)并通過安全配置和防護(hù)的持續(xù)驗(yàn)證。

選擇最佳 ZTNA 解決方案

Check Point建議在為企業(yè)的環(huán)境評(píng)估 ZTNA 解決方案時(shí),應(yīng)考慮以下幾大要素。

確保支持所有用戶

解決方案必須確保員工、第三方合作伙伴、工程團(tuán)隊(duì)和 DevOps 用戶能夠安全訪問并使用托管設(shè)備、BYOD 設(shè)備及移動(dòng)設(shè)備。同時(shí),該方案可以支持使用托管設(shè)備和無客戶端架構(gòu)的員工安全訪問 Web 應(yīng)用、數(shù)據(jù)庫、遠(yuǎn)程桌面及安全 Shell (SSH) 服務(wù)器。對(duì)于需要訪問多云環(huán)境和單點(diǎn)登錄 (SSO) 至服務(wù)器、終端及數(shù)據(jù)庫等專有資源的團(tuán)隊(duì),務(wù)必考慮基本PAM 要求。

確保支持所有目標(biāo)資源

確保 ZTNA 解決方案支持所有高優(yōu)先級(jí)專有應(yīng)用和資源,而不僅僅是 Web 應(yīng)用。其中包括訪問 SSH 終端、SQL 數(shù)據(jù)庫、遠(yuǎn)程桌面 (RDP) 及服務(wù)器。DevOps 和工程團(tuán)隊(duì)需要零信任訪問基礎(chǔ)設(shè)施即服務(wù) (IaaS) 產(chǎn)品、云生產(chǎn)環(huán)境、微服務(wù)及虛擬私有云。

確保操作簡(jiǎn)便

該方案需支持企業(yè)在不增加人員成本的情況下,以最低限度的維護(hù)獲取最大安全能力。同時(shí),該方案需具有統(tǒng)一控制臺(tái)的基于云的解決方案,不僅易于使用,而且還能夠提供所有 ZTNA 用例的可視性。

確保高性能和服務(wù)可用性

ZTNA 服務(wù)必須提供接近 99.999% 的正常運(yùn)行時(shí)間和可滿足服務(wù)水平協(xié)議 (SLA) 的高性能。查看廠商的 SLA 標(biāo)準(zhǔn),尋找在每個(gè)區(qū)域中支持冗余的全局接入點(diǎn) (PoP) 網(wǎng)絡(luò)。

確保零信任安全穩(wěn)健性

尋找將控制層和數(shù)據(jù)層分開的 ZTNA 解決方案,以真正實(shí)現(xiàn)對(duì)應(yīng)用及其他資源的最低權(quán)限訪問。該解決方案應(yīng)提供細(xì)粒度應(yīng)用內(nèi)控制,例如讀取、寫入、管理權(quán)限并支持在命令和查詢級(jí)別實(shí)施策略。它可通過訪問視頻會(huì)話記錄報(bào)告群組、用戶及應(yīng)用使用情況,從而提供深度可視性。還需檢查其他集成式安全特性,例如沙盒、云 IPS 和 DLP。

面向未來的安全服務(wù)邊緣的一部分

考慮如何通過安全服務(wù)邊緣 (SSE) 將 ZTNA 解決方案擴(kuò)展到其他應(yīng)用,例如分支機(jī)構(gòu)訪問、互聯(lián)網(wǎng)接入、專有應(yīng)用。保護(hù)遠(yuǎn)程 ZTNA 是構(gòu)建更大的零信任安全架構(gòu)的關(guān)鍵一環(huán)。

為何選擇 Check Point Harmony Connect 遠(yuǎn)程訪問

Check Point Harmony Connect 遠(yuǎn)程訪問可有效保護(hù)對(duì)位于數(shù)據(jù)中心、IaaS、公有云或私有云中的任何內(nèi)部公司應(yīng)用的訪問。易于使用,可在 10 分鐘內(nèi)完成部署。

Harmony Connect 遠(yuǎn)程訪問可通過以下兩種方式實(shí)施:? 無客戶端應(yīng)用級(jí)訪問:通過細(xì)粒度應(yīng)用內(nèi)控制將直觀的 ZTNA 應(yīng)用于 Web 應(yīng)用、數(shù)據(jù)庫、遠(yuǎn)程桌面及 SSH 服務(wù)器。由于無需代理,因此非常適合保護(hù)員工自有設(shè)備和第三方合作伙伴的遠(yuǎn)程訪問。它還能夠?yàn)樾枰S富的云原生自動(dòng)化功能的工程和 DevOps 團(tuán)隊(duì)提供安全訪問。

● 基于客戶端的網(wǎng)絡(luò)級(jí)訪問:該 VPN 即服務(wù)選項(xiàng)非常適合保護(hù)員工通過托管設(shè)備進(jìn)行訪問。它添加了嵌入式云 DLP 和行業(yè)領(lǐng)先的 IPS,可保護(hù)應(yīng)用免受最新漏洞(如 Log4J)的影響。

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請(qǐng)聯(lián)系我們。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長度6~500個(gè)字

您提交的評(píng)論過于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無評(píng)論

暫無評(píng)論

    安防 獵頭職位 更多
    文章糾錯(cuò)
    x
    *文字標(biāo)題:
    *糾錯(cuò)內(nèi)容:
    聯(lián)系郵箱:
    *驗(yàn) 證 碼:

    粵公網(wǎng)安備 44030502002758號(hào)