云计算的本质是资源池共享。通过云服务的灵活资源分配服务,为企业提供与业务运营相匹配的硬件设施和服务资源,具有基础设施建设成本低、安全能力快、安全运营管理简化等特点。这一先天性特征在应对非预期、临时和紧急业务方面具有显著的优势。新技术使云计算更加成熟,云原始安全能力的发展使云基础设施更加坚固AI赋能云计算更智能,边缘计算使云更接近用户,SD-WAN让云更方便。新技术使云服务的应用更加广泛,成为国家基础设施建设的重要组成部分。
疫情如穹庐笼罩四野,居家隔离仍是目前我们应对疫情的最有效方式,业务走出去成为大疫环境下企业新的营运战略,这促使云计算更快速扩张。疫情扩大了企业远程访问的需求,疫情防护常态化让企业加速资产数字化、业务和服务纷纷上云。新的需求变化导致安全和风险管理也需要一种融合云交付的安全服务来应对安全需求的突变。零信任不再是一个让企业百感陌生的新名词,在企业纷纷规划和构建自己零信任安全 *** 的同时,正如Gartner的预测《The Future of Network Security Is in the Cloud》,安全制造商也开始部署云上零信任服务战略。
应用程序远程访问的业务特性决定了零信任 *** 访问本身不是一个点或企业内部个人的安全保护,而是基于业务完整性和与 *** 域划分无关的三维防御。它避免了传统 *** 隧道默认信任引入的安全风险、业务访问安全和服务质量。
在《现代企业零信任安全建设应用指南》报告的研究过程中,我们发现许多制造商通过部署云服务提供零信任解决方案,并在采访中发现了一些用途SaaS建立自己零信任安全访问 *** 的企业。根据调查分析,零信任云服务主要有以下形式:
- 基于CDN *** 构建零信任访问 *** 服务;
- 基于internet构建端—端安全访问服务;
- 基于终端沙箱构建端—端安全访问服务;
- 构建基于虚拟桌面的零信任访问服务。
一、基于CDN构建零信任 *** 访问服务
CDN它本身就是一个基于反向 *** 原理的 *** 网关,用于应用访问 *** 访问请求和响应服务。CDN在广域网配送 *** 边缘连接优势的帮助下,可以在各配送节点加强零信任访问控制,为业务提供零信任的安全访问能力。
基于CDN零信任访问 *** 的优势:
- 利用CDN *** 广域连接的优势可以帮助企业实现广域零信任连接;
- CDN节点间冗余能力强,接近节点故障,不影响用户远程接入;
- 分发节点与企业数据中心分离,CDN业务服务器不受节点攻击失败影响;
- 分发 *** 与安全访问控制相结合,企业无需单独为远程访问控制寻找解决方案。
适用于公众访问。
二、基于internet构建端-端安全访问服务
在现有的物理 *** 中,零信任服务提供商通过端到端连接组件的部署为用户构建安全访问连接overlay表面设备和策略的维护和管理如下图所示。客户配置DNS服务器使URL对服务提供商的控制器进行分析,经云控制器认证授权后建立业务访问连接。
该方案是传统虚拟专用 *** 应用的升级。其优点是将安全延伸到终端。对话不再像虚拟专用 *** 那样拥挤在隧道中,释放虚拟专用 *** 隧道的负载压力,避免相互影响。
但从下图可以看出DP前置控制器,一旦出现故障或故障,不仅外部访问中断,还涉及到企业内部的应用访问。SDP网关本身的脆弱性,抵抗力D能力、访问性能、单点故障和部署位置是企业内部 *** 安全和业务连续性的重要保证。因此,虽然该方案通过软件定义边界解决了资源包的授权和访问控制,但企业内部 *** 的风险控制仍然非常重要。
是远程办公场景的典型应用方案,适用于企业分支互联和移动终端连接企业内网。
三、基于终端沙箱构建端-端安全访问服务
客户端通过控制计算和存储资源,如文件,使用虚拟化部署和微隔离的安全容器/沙箱构建安全域IO、在相对独立的空间内,确保应用程序运行加载、资源调用和数据存储。
管理员统一管理安全域的 *** 配置和可信应用,安全域DNS服务器需要配备零信任服务提供商的控制器,以确保URL请求可以分析到云控制器。用户使用虚拟空间中的应用程序启动访问连接,并在身份验证和授权后为访问建立业务连接。
终端的隔离域可以保证数据应用的全过程可控、无外发、转储或本地留存。
适用于流动性强、数据安全要求高的设备应用场景。
四、构建基于虚拟化桌面的零信任访问服务
虚拟桌面也是一种常见的远程办公方式,利用虚拟化技术动态分配vCPU、内存、存储和 *** 资源。当 *** 路由可达时,用户可以随时随地使用不同类型的终端访问云桌面。这个跟踪WEB 虚拟专用 *** 有点相似,区别在于客户端需要安装企业浏览器或插件来访问云桌面上的应用和服务。
优点是浏览器兼容性好,用户部署简单,不需要定制配置。当应用服务器发布到虚拟桌面服务器时,不需要太多URL重写工作量。
缺点是传统虚拟桌面面面对传统虚拟桌面C/S访问及PC此外,虚拟桌面的性能很容易成为大量访问时的瓶颈。
更适合企业远程办公的应用场景。
总结
在上述典型的零信任云服务中,我们可以看到传统的云,如零信任和云分发、虚拟化和云桌面—业务整合,任何一个或多或少都能看到一些传统安全的影子。
云服务短、快的优势是显而易见的,它确实可以帮助我们在一定程度上应对紧急和紧急的远程访问的安全需求。但缺陷也是如此,所有的业务都必须从内部 *** 出来,这显然不适用于任何企业。
企业内网现有的安全风险管理能否与第三方云服务有更深入的有机结合,更大化企业的成本效益,基于云的零信任安全访问能力和市场整合能否帮助我们形成新的安全结构,仍值得进一步探索。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看作者更好的文章