新手537797 发表于 2024-6-11 10:51
  
感谢分享,学习一下~
赵安 发表于 2024-10-3 19:31
  
感谢分享,学习一下~
水之蓝色 发表于 2024-10-4 21:55
  

感谢楼主倾力分享,学习了
【2022争霸赛*干货满满】零信任aTrust与SSL VPN的区别
  

莫冷 150803人觉得有帮助

{{ttag.title}}
哈喽,各位小伙伴大家好,2022争霸赛第一周已经圆满结束了,不知道各位有没有获得理想的成绩呢?(虽然我只拿到了8分),高分小伙伴想评论区晒晒分数也是可以的哦
好了,话不多说,咱们赶紧进入正题吧
说起零信任各位小伙伴想必已经不陌生了吧,相信很多小伙伴已经实施过了咱们的零信任-aTrust产品,那么有的小伙伴就要问了,这不就是SSL VPN的功能嘛,为啥还要出个新产品呢,这个跟SSL VPN有啥区别吗?
那么为什么会有零信任这款产品呢,它到底能发挥什么作用呢?
说到这,我就得给大家讲讲零信任的发展背景了
传统的网络安全是基于防火墙的物理边界防御,也就是为大众所熟知的“内网”。防火墙的概念起源于上世纪80年代,该防御模型前提假设是企业所有的办公设备和数据资源都在内网,并且内网是完全可信的。
然而,随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。随着以5G、工业互联网为代表的新基建的不断推进,还会进一步加速“无边界”的进化过程。与此同时,零信任安全逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。
说白了就是,现在的网络比以前复杂的多了,云上业务越来越多,而且很多大企业都不止一个数据中心,这样的网络架构大到无边无界,那么如何能更好的保障内网的网络安全,不让贼人有可乘之机呢?
所以零信任产品就应运而生了
零信任的定义
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
以上是百度词条的内容,其中最主要的一点就是“持续验证,永不信任”,也就是说你每次访问资源都需要验证身份,并且在验证通过之前你永远都是不可信的,不知道这样说大家可不可以理解
好了,铺垫了这么多,终于到了重头戏了,也就是大家最关心的,零信任到底跟VPN有什么关系呢?下面我就来跟大家讲讲
严格意义来说,VPN并非纯粹的安全解决方案,而是一种将远程用户接入企业网络的一种技术手段,因此,大多数VPN产品都具有一次认证网络全开、基于静态规则、单体架构难以扩展等诸多不足,特别是在网络攻击日益严峻的今天,VPN的安全问题凸显,攻击者惯用伎俩就是“打穿”VPN进入内网,VPN的典型安全痛点包括:
痛点1:端口之痛
VPN产品无一例外,都需要开放网络端口进行监听,这无疑是门户洞开,攻击者可以全天候的对VPN进行密码爆破、注入攻击尝试等,并往往最终得逞。
痛点2:认证之痛
VPN产品采用静态认证方式,安全性弱。缺乏终端认证、自适应多因子认证等能力;VPN一次认证始终访问的工作模式无法在用户访问过程中持续验证用户身份和终端是否可信。
痛点3:权限之痛
VPN产品提供网络隧道接入能力,用户拨通VPN后,事实上就和内网在网络层面打通了,用户终端上的恶意软件,意图不轨的用户都可以肆无忌惮的对内网资源进行访问和窃取。
痛点4:漏洞之痛
VPN产品漏洞层出不穷,攻击者利用VPN漏洞极易绕过VPN用户验证,直接进入VPN后台将VPN作为渗透内网的跳板,进行肆意横向移动。
痛点5:架构之痛
VPN产品作为远程接入的专用产品,大多属于单体架构,自成一体,和其他安全能力,比如终端安全能力、权限管理系统、威胁检测系统等难以打通;事实上,VPN在安全运营范畴也经常位于 “遗忘角落”。
零信任远程访问解决方案
知名咨询机构Gartner指出,到2021年,60%的企业将使用基于零信任的远程访问解决方案逐步替代现有的VPN产品,更好地保障企业数字化转型。
零信任远程访问解决方案,基于零信任架构,以身份为基石重塑企业安全边界,为企业全业务提供更安全更易用的远程访问体验,保障企业数字化工作空间。
针对VPN典型痛点,零信任远程访问解决方案,应提供如下安全能力:
能力1:端口隐藏
基于SPA单包授权技术,默认情况下端口全隐藏,业务全隐身,只有验证用户和设备身份的合法性后,才针对合法用户合规终端开放网络端口和业务访问权限。有效缓解DDoS攻击、流量攻击、端口扫描、远程注入等威胁。
能力2:最小权限
遵循最小权限原则,基于场景化应用授权而非网络全开放,用户只能访问完成其日常工作所必须的应用资源。访问权限可以基于角色、访问上下文、访问者的信任等级等多维属性制定,并可在风险发生时动态实时撤销。
能力3:自身安全
内置WAF组件,有效缓解漏洞注入、溢出攻击等威胁;内置RASP模块,抵御基于传统签名方式无法有效保护的未知攻击,同时具备基于自学习的进程白名单和驱动级文件防纂改能力。
能力4:持续验证
通过自适应多因子认证能力,根据人员、终端、环境等因素动态调整认证策略,兼顾安全与易用,访问过程中,根据风险情况,持续验证用户身份是否可信;另外,不仅仅验证人员身份,还持续对终端设备身份、设备归属、设备健康度进行评估。
能力5:架构安全
在统一的零信任架构视野下构建远程安全访问能力,避免远程接入场景成为整体安全能力的短板,且可持续扩展到其他业务场景,最终实现全场景零信任架构。
好了,今天的分享就到这里了,在下的一点愚见,不知道对各位有没有帮助,如果各位有什么不同的见解,还请各位大佬不吝赐教,在下定当感激不尽
走过路过不要错过,点个赞再走呗~

打赏鼓励作者,期待更多好文!

打赏
29人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
技术盲盒
社区新周刊
干货满满
每日一问
新版本体验
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

25
14
5

发帖

粉丝

关注

本版达人