本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:随着数字化转型和业务上云的发展需求日益增长,企业在云原生背景下的防护能力成为其安全建设的重点,传统的网络安全架构无法满足技术架构和业务模式变革下的安全需求。通过整合零信任核心技术,提出了一种满足企业端到端的零信任安全解决方案。首先介绍了企业 IT架构变化下的安全需求及零信任理念和其核心技术,并在此基础上设计了企业端到端零信任安全解决方案。随后对零信任安全解决方案和传统的安全方案进行了对比分析,最后展望了零信任安全在云原生环境下的应用前景。
关键词:零信任;虚拟安全域;SDP;MSG
doi:10.12045/j.issn.1007-3043.2023.08.004
企业防护架构变化
信息化技术普及后,企业面临着信息安全防护的考验和压力。为确保信息安全,企业在防范来自互联网的入侵和攻击的同时,更应重视来自企业内部网的入侵和攻击。在不改变现有架构的前提下,要以有限的资源加强内部网络的通信安全,考虑到构建方便与可用性高等因素,采用以 VPN 结合防火墙的安全控管,为企业提供一种增强内部网络通信安全的方法。
传统IT架构设计部署方式为:办公终端为企业资产,可进行操作系统级的安全管控,包括杀毒、桌管、DLP等,还可以使用云桌面实现更强数据保护;使用企业级 SSL VPN 实现安全远程接入和数据安全传输;互联网边界部署多重安全机制,控制来自互联网的安全风险;通过二层 VLAN 和三层路由实现内部网络区域的隔离和互通;企业关键应用和数据资产集中在企业内网环境。企业传统IT系统架构如图1所示。
图1 企业传统IT系统架构
云原生环境下的企业IT计算资源全面云化,部分关键应用和数据迁移出私有数据中心,部署在公有云上,或直接使用公有云 SaaS 服务;业务移动化推动多种角色(员工外包方、合作伙伴)使用多样化 BYOD 终端(PC、笔记本电脑、移动终端)从内、外网访问私有云/公有云中企业关键应用服务和数据;以网络边界为中心,严防外部安全威胁,保护内部服务和数据资产的安全保障思路遭遇挑战。
业务云化也带了很多应用局限性。更多的第三方终端设备进入默认信任程度更高的企业内网环境,若缺乏有效管控,则易增加内网恶意代码爆发、恶意人为攻击、数据泄露等安全风险;更多的BYOD终端从内、外网访问企业关键业务应用,若无法进行设备级安全管控,则易发生业务数据在终端侧的泄露;更多的互联网服务端口暴露,存在安全漏洞,发生入侵攻击的可能性增加;在默认信任级别更高的内网环境中,网络访问控制机制不够严格,给恶意攻击者在内网的横向移动提供了可乘之机;安全通信机制缺失易发生网络流量劫持,导致账户、权限、敏感数据泄露。
零信任理念及其核心技术可以针对性地解决云化所带来的企业安全应用问题,本文提出了一种基于零信任理念的企业端到端安全解决方案。
