零信任时代，分支机构的网络安全该怎么搞

零信任时代，分支机构的网络安全该怎么搞

1、分支机构的现状
                大中型企业一般都有分支机构，分公司、某公司、营业网点、连锁零售店、维修点等等。
                一直以来，分支机构场景下的网络技术都没有什么变化，还是几年前的那些老技术。通过MPLS专线或者IPSec  VPN，把分公司员工跟总部数据中心的业务系统连接在一起，如下图。

2、时代变了
如果业务系统只存在于数据中心，不需要其他连接的话，这种架构看起来还不错。
但是今天我们的IT架构已经不再是这样了。人们需要访问的信息不止存在于数据中心。很多内部业务系统已经迁移到了云端。
        （1）SaaS：很多公司的HR管理系统、报销系统都是采用了SaaS服务。
        （2）IaaS/PaaS：很多公司内部开发的业务系统部署在了云服务上，可能是某公司，可能是某公司，或者一些某公司上。享受IaaS或PaaS云服务带来的便利。
        （3）互联网：上网是正常工作必备的条件。员工需要查资料，下载软件等等。


在这种网络架构下，分支机构的员工想访问SaaS服务的时候，流量是从总部数据中心分流出去的。例如，大连的员工，访问互联网的出口可能是在上海。
总部数据中心成了网络中心中转点，所有安全设备也都部署在总部，如下图。防火墙、入侵检测、上网行为管理、VPN等等都部署在总部的数据中心，以此保证用户的访问安全。


3、传统架构的安全挑战
         上述的这种传统的网络安全架构并不适应新时代的需求。整个架构显得臃肿不堪。
                （1）体验问题：用户访问SaaS应用要先回总部再出去，连接过程中有很多不必要的额外的开销，最终必然导致用户体验的降低。
                （2）安全问题：传统架构的基本假设是——内网安全，外网不安全。但是在今天看来，这种假设是不对的。
传统架构的安全思路是，把分公司和总部打通成一个内网，只有员工能进内网，所以默认内网是安全的。再在内外网之间部署一堆安全设备，把威胁拦在外部，不让威胁进入内网。这样内网就完全安全了。


传统的依赖于内外边界的安全理论已经不再适用于今天的场景。
        （1）内部威胁：各类APT攻击的泛滥，勒索病毒的肆虐，来自企业内部的威胁日益增加。员工可能会把互联网上的病毒带到公司内网里来。
        （2）云的流行：而且随着应用上云的趋势，业务系统也慢慢在脱离内网，无法再受到内网本地的安全设备保护。
        （3）移动办公：访问者可能来自任何时间任何地点。这大大增加了企业网络的攻击面。


4、如何应对挑战？
目前业界最新的安全架构就是“零信任”。零信任顾名思义就是对任何人都不信任，无论用户在哪，要访问什么应用，只有经过最严格的身份认证，才能获得授权，连接企业的数据资产。
分支机构场景下，零信任架构本身可以是基于云端的
                （1）分布式提升效率
                （2）先验证，后连接，更安全
                （3）应用层准入，减小攻击面
                （4）异常检测


5、与传统安全的集成
        零信任不是改朝换代的全新技术。零信任可以集成很多传统安全设备。例如，入侵检测、防病毒等等依然可以放在零信任安全云里面发挥作用。
        零信任的身份认证可以集成MFA（多因子身份认证）来增强认证强度，集成SSO（单点登录）来提升用户体验。
        零信任不只是安全接入，也可以保护用户的安全上网。通过集成上网行为管理等功能，屏蔽恶意网站，保护用户不被互联网上的木马病毒和钓鱼网站攻击。


          （1）复杂性降低
          （2）灵活性提高
          （3）威胁更远了


7、总结
分支机构场景非常适合零信任架构的落地。零信任安全云跟传统的IPSec VPN硬件相比，有很多优势。
                （1）首先就是更安全，不再是直接将用户置于内网，而是通过零信任策略验证后接入。
                （2）其次就是体验的提升，零信任安全云可以支持更大的并发，用户访问速度会提升
                （3）最后是成本上的降低，用了安全云就不用硬件了，会省掉很多麻烦

感谢楼主带来的干货分享，已将文章收录并放到社区技术博客中，以便让更多的用户关注和学习！


PS：内容中缺少图片，请楼主确认下哦，谢谢啦！

打卡学习

感谢分享

打卡学习

感谢分享

感谢分享

感谢分享

感谢分享

打卡学习！