零信任安全架構(gòu)及在HVV中的實(shí)踐
疫情常態(tài)化的當(dāng)下,我們?nèi)孕鑷?yán)防死守,不能松懈。其實(shí)防范疫情與防御威脅兩者之間有相似之處,如“應(yīng)檢盡檢、不漏一個(gè)”的防疫措施也能很好地體現(xiàn)零信任理念;為了防止疫情擴(kuò)散所實(shí)施的“封城政策”則與網(wǎng)絡(luò)安全加固異曲同工,都是將邊界作為阻斷危機(jī)的首道防線(xiàn)。
“零信任”最早雛形源于2004年成立的耶利哥論壇(Jericho Forum ),2010年“零信任”概念由時(shí)任市場(chǎng)研究機(jī)構(gòu)Forrester的研究員John Kindervag正式提出,John后來(lái)加入Palo Alto Networks任面向客戶(hù)的CTO (Field CTO)。零信任要解決的是缺省或者隱式信任帶來(lái)的信息系統(tǒng)弱點(diǎn)問(wèn)題。 傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)中,默認(rèn)內(nèi)網(wǎng)是安全的,網(wǎng)絡(luò)安全重點(diǎn)在邊界防御,因此在邊界部署大量安全產(chǎn)品如防火墻、DDoS, WAF, IDS/ IPS、網(wǎng)閘等設(shè)備對(duì)網(wǎng)絡(luò)邊界進(jìn)行防護(hù),而對(duì)企業(yè)內(nèi)網(wǎng)安全則重視度不夠,一旦網(wǎng)絡(luò)邊界防護(hù)被突破,攻擊者可以在內(nèi)網(wǎng)暢行無(wú)阻,因?yàn)閮?nèi)網(wǎng)主機(jī)和用戶(hù)默認(rèn)全部“可信”。隨著業(yè)務(wù)需求和技術(shù)的演進(jìn),內(nèi)部員工、業(yè)務(wù)合作伙伴甚至供應(yīng)商都有訪(fǎng)問(wèn)企業(yè)數(shù)據(jù)的需求,在這種情況下,傳統(tǒng)的安全邊界變得模糊,外網(wǎng)和內(nèi)網(wǎng)已經(jīng)不再?zèng)芪挤置?,行業(yè)迫切需要一種顛覆性的思維和方法來(lái)重新定義網(wǎng)絡(luò)安全,“零信任安全”應(yīng)運(yùn)而生。
“零信任安全”引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化,從默認(rèn)信任走向確信的信任,從靜態(tài)檢查走向持續(xù)監(jiān)控,其本質(zhì)是“從不信任、永遠(yuǎn)驗(yàn)證!”(Never Trust,Always Verify?。?。
正是基于零信任理念,我們對(duì)HVV行動(dòng)進(jìn)行了總結(jié),以下經(jīng)驗(yàn)與大家分享:
1.梳理和熟悉經(jīng)常被命中的威脅攻擊簽名,如掃描工具,IoT漏洞掃描等
2.關(guān)注各種安全公眾號(hào),快速自定義新披露漏洞的簽名;內(nèi)網(wǎng)NGFW開(kāi)啟端口掃描檢測(cè)
3.傳統(tǒng)防護(hù)思路注重南北向頭重腳輕,用戶(hù)缺少一個(gè)有效的安全架構(gòu)指引
4.NGFW在HVV的優(yōu)勢(shì):7層應(yīng)用識(shí)別、高檢測(cè)率低誤報(bào)率、開(kāi)放靈活的API
為敏捷開(kāi)發(fā)而生的容器安全
云原生作為一個(gè)概念集合,既包含微服務(wù)、容器,也包含更多的管理方法,如持續(xù)交付、DevOps和重組等。隨著微服務(wù)的廣泛采用,微服務(wù)容器化趨勢(shì)愈加明顯,在為DevOps團(tuán)隊(duì)帶來(lái)敏捷性的同時(shí),也給后端管理帶了負(fù)面影響,對(duì)信息系統(tǒng)的安全性和業(yè)務(wù)的連續(xù)性提出了挑戰(zhàn)。
在這樣的背景下,Palo Alto Networks 推出Prisma Cloud Compute 容器安全解決方案。該方案可有效應(yīng)對(duì)微服務(wù)容器化趨勢(shì)帶來(lái)的諸多不便,及時(shí)發(fā)現(xiàn)新版本應(yīng)用中的安全漏洞和隱患,實(shí)現(xiàn)更透明、更快速、更自動(dòng)化的應(yīng)用迭代和交付。此外,該容器解決方案能夠?qū)崟r(shí)監(jiān)測(cè)和掃描各種風(fēng)險(xiǎn),滿(mǎn)足企業(yè)對(duì)合規(guī)和風(fēng)控的要求,其可執(zhí)行如下功能:
攻擊面管理及安全運(yùn)維自動(dòng)化
軟件定義網(wǎng)絡(luò)的普及,帶來(lái)的是攻擊面的不斷擴(kuò)大,而攻擊種類(lèi)與規(guī)模的不斷增加,加之以受管理服務(wù)器在數(shù)量上的日益增多,使得人工運(yùn)維捉襟見(jiàn)肘,自動(dòng)化運(yùn)維開(kāi)始走上歷史舞臺(tái)。
內(nèi)容一:外部威脅攻擊面管理
隨著全球云計(jì)算市場(chǎng)的不斷擴(kuò)大,攻擊面也在不斷擴(kuò)大。根據(jù)ESET 2020年第四季度威脅報(bào)告,主要云提供商的遠(yuǎn)程桌面協(xié)議(RDP)暴露增加了27%,而2020年第一季度到第四季度 RDP攻擊則暴增了768%。
Palo Alto Networks Cortex Xpanse可對(duì)攻擊面進(jìn)行有效管理,包括:
具有如下特性:
■ 無(wú)需部署任何軟件與硬件
■ 從外部評(píng)估企業(yè)暴露在Internet上的資產(chǎn)的風(fēng)險(xiǎn)
■ 實(shí)時(shí)評(píng)估暴露在Internet的資產(chǎn)的風(fēng)險(xiǎn)
■ 為CISO及安全團(tuán)隊(duì)提供已知和未知資產(chǎn)的可見(jiàn)性
■ 縮短MTTI時(shí)間
內(nèi)容二:安全自動(dòng)化編排與響應(yīng)
Palo Alto Networks 安全編排、自動(dòng)化與響應(yīng)平臺(tái)Cortex™ XSOAR可執(zhí)行如下功能:
金融發(fā)展,安全為先
Palo Alto Networks(派拓網(wǎng)絡(luò))作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者,在金融安全領(lǐng)域已樹(shù)立多個(gè)標(biāo)桿性案例,具備豐富的產(chǎn)品解決方案與項(xiàng)目實(shí)踐經(jīng)驗(yàn),將不斷夯實(shí)自身優(yōu)勢(shì)基礎(chǔ),持續(xù)發(fā)力云端安全研究,以實(shí)際行動(dòng)賦能金融數(shù)字化轉(zhuǎn)型建設(shè),為全球客戶(hù)的數(shù)字化經(jīng)濟(jì)高質(zhì)量發(fā)展貢獻(xiàn)更多力量。
友情鏈接
總部/北區(qū)
地址:北京市海淀區(qū)高梁橋斜街42號(hào)院1號(hào)樓融匯國(guó)際大廈-3A層信亦宏達(dá)
電話(huà):400-650-6601(9:00-18:00)
服務(wù)熱線(xiàn):13522376611(7*24h)
傳真:+86 010-62260557-666
Email: service@sinynet.com
售前咨詢(xún)熱線(xiàn) 400-650-6601
關(guān)注信亦宏達(dá)
微信
微博
2012-2020 版權(quán)所有?信亦宏達(dá)網(wǎng)絡(luò)存儲(chǔ)技術(shù)(北京)有限公司 京ICP備09114115號(hào)-1