日本道中文字幕久久一区,久久精品国产精品亚洲下载,国产一区国产二区国产精品,又粗又色又硬又爽的免费视频播放,2012免费观看完整版高清

VPN替代品需要具備的五大安全要素

2019-12-12 15:32:24

賬戶入侵威脅和性能瓶頸促使公司企業(yè)實現(xiàn)新的網(wǎng)絡安全模型。

 

圖片關(guān)鍵詞 

 

多年來,虛擬專用網(wǎng) (VPN) 和防火墻的組合,是公司企業(yè)尋求安全互聯(lián)網(wǎng)連接的模型之選。而該模型也歷經(jīng)時間檢驗,堪稱成功典型。

 

然而,邊界安全幾近消亡的時代,加速了兩個趨勢:

 

首先,利用用戶瀏覽習慣獲取企業(yè)內(nèi)網(wǎng)立足點的攻擊復雜性不斷增長。一旦進入,攻擊者可巡游企業(yè)內(nèi)網(wǎng),查找可以入侵或盜取的資產(chǎn)。

 

其次,應用從內(nèi)部部署到托管于云端的轉(zhuǎn)變。

 

通常,遠程員工的流量通過 VPN 回傳至企業(yè)數(shù)據(jù)中心或分公司,然后通過另一 VPN 連接從合適的互聯(lián)網(wǎng)路徑重新路由至云端 IT 服務。此類回傳很慢,且會增加額外的成本、復雜性和故障點。

 

為解決這些威脅,克服性能瓶頸,公司企業(yè)試圖找尋或多或少具備以下五個元素的 VPN 替代品:

 

No.1:分布式網(wǎng)絡安全

 

構(gòu)建 VPN 安全模型的第一步,是去除集中式防火墻及相關(guān)流量回傳的需求。該新方式將單個工作站和移動設(shè)備連接至基于云的防火墻服務。這些連接需在后臺以始終在線的方式維護,無需終端用戶任何互動。

 

這種架構(gòu)要求服務提供商具備健壯的網(wǎng)絡,保障終端用戶無論身在何處都能體驗優(yōu)良網(wǎng)絡性能。同時,該架構(gòu)還應使安全經(jīng)理能夠訪問自己慣于在傳統(tǒng)防火墻中看到的那種日志、儀表板和安全控制。

 

No.2:應用訪問代理

 

復雜代理是該新安全架構(gòu)的基本元素。這些代理需經(jīng)恰當設(shè)計,賦予企業(yè)用戶通過 Web 瀏覽器輕松訪問內(nèi)部應用的能力。用戶應能無需經(jīng)歷繁瑣 VPN 客戶端連接建立過程,僅簡單輸入 URL 便可達成內(nèi)部應用訪問目的。

 

同時,這些代理還能保護應用不受互聯(lián)網(wǎng)威脅侵擾,讓 IT 部門完全掌握誰在什么時候從什么地方使用哪些服務的信息——所有一切都基于企業(yè)策略、設(shè)備和用戶身份及設(shè)備配置。該架構(gòu)使 IT 在提供可靠服務的同時還能集中管理應用。

 

其核心是代理需要 HTTPS 網(wǎng)關(guān)驗證用戶身份,保護應用。理想情況下,該網(wǎng)關(guān)基于設(shè)備及其用戶的唯一身份,為每個工作站和移動設(shè)備自動提供加密客戶端證書。

 

No.3:用戶和設(shè)備身份驗證

 

想平滑安全運行云托管的應用,作為支撐的網(wǎng)絡安全架構(gòu)應采用多因子身份驗證 (MFA) 授予或拒絕用戶對應用的訪問權(quán)。同時,應監(jiān)視并審計終端設(shè)備及其行為,包括系統(tǒng)狀態(tài)和配置信息。設(shè)備狀態(tài)及行為可見性可用于確定風險和是批準還是拒絕設(shè)備訪問權(quán)。

 

最后,須防止非托管設(shè)備、自帶設(shè)備和物聯(lián)網(wǎng)機器連接這些應用。

 

No.4:零信任

 

企業(yè)網(wǎng)絡不會徹底消失,它們面臨的威脅也不會。出于這個原因,需要清除內(nèi)部網(wǎng)絡的信任,防止威脅橫向擴散。實現(xiàn)零信任需要動態(tài)網(wǎng)絡分隔,并且隨用戶和主機互動實時在每個終端上實施防火墻策略。理想狀態(tài)下,策略應圍繞用戶和設(shè)備身份,以及傳統(tǒng) IP 地址、端口和協(xié)議做出調(diào)整更新。

 

現(xiàn)實世界中,零信任分隔意味著不同團隊的兩位不同用戶可接入同一局域網(wǎng),而擁有對不同資源的訪問權(quán)。此類分隔極大增強了安全人員響應潛在威脅的速度和準確性。

 

No.5:持續(xù)監(jiān)視及報告

 

如今,企業(yè)網(wǎng)絡安全項目的功能偏向于滿足合規(guī)要求。但同時,這些項目越來越分散,增加了 IT 部門有效監(jiān)視安全控制的難度。

 

VPN 安全架構(gòu)可很大程度上緩解,甚至全然消除此類監(jiān)視難題,方法就是持續(xù)收集每個網(wǎng)絡防火墻和終端設(shè)備上所用安全控制的數(shù)據(jù)。另外,該情報可用于證明 NIST、PCI、HIPAA、CIS 等監(jiān)管和安全框架合規(guī)情況。

 

盡管廣泛采用且有效,傳統(tǒng)防火墻和 VPN 很難跟上企業(yè)網(wǎng)絡架構(gòu)、用戶訪問模式和混合現(xiàn)場/云端托管資源的發(fā)展。將傳統(tǒng)防火墻和 VPN 的諸多安全控制、策略實施和聯(lián)網(wǎng)元素置于云端的分布式方法,便作為很有吸引力的替代方法興起了。

文章來源公眾號安全牛