传统的网络安全基于边界防护,通过防火墙将企业内部与外部隔离,无论墙外暗藏多少攻击与危机,墙内都默认是安全的。但随着云计算、移动化、5G时代到来,网络安全的边界正在逐渐走向消失,企业被迫重构安全边界,“零信任”已然成为网络安全的最新流行语之一。

零信任——网络安全防护新理念

“Never trust, always verify.(永不信任,持续验证)”是零信任的基本原则,默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。

在传统的远程访问模式中,用户完成身份验证连接至VPN,然后在网络上可以不受限制地访问。在零信任网络访问(Zero-Trust Network Access,简称ZTNA)环境中,访问策略是默认拒绝访问,通过强身份验证技术保护数据。

Gartner零信任网络访问市场指南(最新版)中提到,安全和风险管理领导人应试点ZTNA项目作为安全访问服务边缘战略的一部分,或用ZTNA迅速扩展远程访问。

零信任架构下对身份管理要求

ZTNA目前作为VPN最适合的替代品,为内外部用户提供在任何环境中的精细访问策略。然而,零信任安全场景仍然面临各种各样的挑战:

1)无法准确判断访问者的可信性,并为员工、外包、供应商等对应角色用户提供相应的最小权限。

2)没有统一入口,门户安全性无法保证,无法灵活地适配各类型应用等问题频出,办公效率低。

3)不做任何管控下的网络中,非授权人员/终端可以随意接入,安全性无法保障。

4)零信任体系建设周期长、成本高,身份管理系统无法快速与各厂商们兼容适配,形成联合解决方案。

在Gartner于2021年8月25发布的资料中显示,身份是零信任策略的基础,企业需要了解AM和ZTNA之间的关系,了解如何最能满足用户到应用程序的访问要求。

AM(Access Management)通过强大的自适应访问控制、集中身份验证、授权实施和单点登录为企业内外部用户提供本地和云应用的实时访问。通过利用身份数据,AM可以动态评估风险和信任,并持续调整和监控,随着风险和信任级别的持续可见性,安全基础设施可以相应地进行调整——例如,阻止下载或终止访问。

ZTNA需要一个安全的身份管理系统,并与身份提供商集成,以建立用户和设备身份验证以及用作ZTNA访问安全策略一部分的属性。ZTNA主要依靠AM进行身份验证。因此,前瞻性的企业已经开始使用AM和ZTNA。

宁盾企业身份管理框架

宁盾新一代IAM解决方案——宁盾AM7,以全场景、标准化为特性,帮助企业应对混合云及多云架构、移动办公场景、物联网技术、国产化信创带来的身份安全管理挑战,解决企业用户身份、终端、应用的管理和安全问题。

图:宁盾AM7产品能力框架

通过AM7和ND ACE联动,从“人”和“端”分别对身份进行“可信”验证的解决方案,就是宁盾的零信任场景解决方案:

1)一次登录,安全访问各个应用

统一的单点登录门户,快速接入企业本地、云及SaaS应用,如OA、ERP、财务、HR系统等,兼容SAML2.0、OAuth2.0、CAS、OpenID等标准协议,并可以灵活扩展Easy SSO、应用私有协议,帮助员工跨应用高效办公。

2)统一身份管理

多认证源统一管理和策略控制,建立统一身份库,联合如iOA等零信任客户端和智能网关共同打造的新一代企业网,抹平网络边界,帮助员工在不受信的网络环境下安全、稳定、高效地访问企业资源,提供内外网一致的身份管理。

3)多因素认证加固账号安全

动态令牌身份安全加固方案,覆盖各类场景,提供短信、邮件、手机app等齐全的令牌形式、灵活的认证策略、完备的对接方式,有效提高企业身份安全的同时,快速实现合规。

4)敏捷终端准入

基于零信任的终端准入管理,在内网环境下,联合零信任厂商的安全管控、威胁感知等能力全方位保护入网人员、终端安全,并提供十余种portal认证方式以及802.1x认证,实现内外网一致的入网身份体验和访问控制。

宁盾生态联合,助力零信任转型

宁盾目前已联合多家零信任厂商兼容适配,形成联合解决方案。以腾讯iOA为例,iOA是腾讯零信任安全管理系统,宁盾凭借专业的技术能力和iOA达成深度合作。以某互联网行业项目举例,用户打开腾讯iOA客户端,通过宁盾的单点登录功能,可以统一管理身份;通过宁盾的多因素认证,可以进行登录验证;配合合规策略,针对已安装和未安装iOA客户端的终端采用不同的管理策略。

在宁盾和腾讯的联合方案中,腾讯iOA解决外网访问业务的问题,宁盾解决内网访问业务的问题,提供身份和内网准入的能力,二者相结合,助力企业零信任转型,联合方案已在政府、金融、医疗等多个行业应用落地。

零信任的时代已然到来,当然企业移动化转型会遇到形形色色的问题,零信任安全并非一朝一夕就能完成的。中大型企业,尤其是有着复杂IT环境和大量遗留系统的,应将零信任安全框架的搭建看做是一项多阶段、持续性的系统工程,循序渐进地进行安全变革。

宁盾AM7,新一代敏捷的身份识别与访问管理基础设施,致力于成为企业数字化转型,迈向零信任安全的助力者。未来,宁盾也将和更多零信任厂商联合,共建零信任生态体系。