如今,远程办公、云计算、移动互联的广泛应用导致企业物理边界日益模糊,以APT攻击为代表的高级安全威胁持续突破安全防线,对私有业务的非授权访问、数据窃取等层出不穷。以“永不信任、持续验证”为核心的零信任安全模型应运而生,成为构筑企业安全体系的新方式。

当越来越多的企业开始关注并实施零信任下的安全解决方案,如何成功落地、发挥实效成为业界普遍关注的重点。基于此,在杭州市余杭区数字经济协会指导下,由杭州虎符网络有限公司主办、浙江菜根科技产业发展有限公司协办的“零信任落地探索研讨会”于5月21日在杭州举办,邀请汇聚来自多个领域的安全专家,分享能源、互联网、政府等行业不同业务场景下零信任技术落地的思考与实践。会议期间,主办方虎符网络发布重磅新品虎盾零信任远程访问系统“虎盾ZRA”,为企业提供升级换代传统VPN的下一代远程访问解决方案。

来自杭州市余杭区数字经济协会的秘书长任中起先生在会议致辞中表示,发展数字经济,打造具有国际竞争力的数字产业集群是国家在十四五规划中明确的基本发展路线。当前,浙江省数字化改革工作迅猛推进,杭州市余杭区也充分利用数字经济赋能制造业发展,促进数字产业化和产业数字化融合,加快建设全国数字经济先行区。在推进数字化改革的过程中,网络安全、数据安全等问题接踵而至,零信任作为网络安全的未来发展趋势,希望产学研用各领域充分钻研、探讨零信任技术的落地实践,让安全建设与数字经济发展协调一致、齐头并进,以安全保发展,以发展促安全。

在零信任技术应用实践探讨环节,来自能源企业、知识星球、政府单位的安全专家分享了在组织内部运用零信任安全理念、通过引入虎符网络的零信任解决方案来构建外防攻击、内护数据的新安全体系的实践情况。数字化时代,企业组织普遍面临业务庞杂、资产梳理困难等业务难题,各种扫描、安全检测都带来较大压力,人员流动、上下游供应链的合作导致内部应用的访问权限濒临失控。零信任安全方案可以有效帮助组织实现业务管理、业务隐身、账号管理、数据安全等有益价值,真实提高复杂的内部业务的安全性,同时降低研发、管理成本。

任中起秘书长

会议的一大重磅环节,虎符网络于现场举行了虎盾零信任远程访问系统(Zero-trust Remote Access System,简称虎盾ZRA)的新品发布仪式。虎符网络创始人、CEO王伟(Alert7)介绍,基于零信任原则,虎符网络提出了可信身份网络理论——网络环境中所有用户都不可信任,需对用户、设备、访问及权限进行持续评估。依据该理念,虎符网络打造的虎盾ZRA将作为传统VPN的下一代升级换代方案,不仅给远程用户提供一个访问通道,更重要的是提供多种安全保障。

虎盾ZRA通过对设备身份和用户身份进行鉴别,以用户身份为访问凭证进行接入授权。用户在访问企业内网应用时,系统会对结合访问者、访问设备和访问环境等多维度因素进行动态评估判定,并基于判定结果对用户授予最小访问权限,确保企业的远程访问安全。

虎符网络创始人、CEO王伟(Alert7)

之所以被定义为下一代零信任远程访问系统,在于虎盾ZRA比传统VPN具备更好的体验,更安全的防御措施:

自身服务隐身能力。作为外网访问内网的关键通道,虎盾ZRA基于零信任原则,通过SDP网络敲门,隐藏了代理应用和自身的暴露面服务端口,让ZRA服务在互联网上不能够被探测和扫描到,避免出现VPN服务直接裸露在互联网上,容易被攻击者打穿打透成为后门通道的危险局面,确保更高的安全性。

 

非可信设备不能接入。远程办公、BYOD的普及让办公电脑、手机上的软件环境无法得到严格管控,甚至通过VPN通道渗透进内网,进而造成严重的安全风险。为避免此类事件的发生,虎盾ZRA会对设备的环境进行探测,只有满足已经运行了杀毒工具等必要软件的设备才允许进入远程通道,任何非可信设备将不能敲开网络。

对接企业统一身份。王伟表示,下一代零信任远程访问很重要的一个思想就是尽可能地跟企业的统一用户系统进行对接。虎盾ZRA主张尽量不要自建账号体系,尽可能对接企业的统一身份认证系统,例如LDAP、企业微信、钉钉、Oauth2、SMAL等,这样用户在转岗离职时,用户的权限就会自动调整或者回收,避免出现离职员工依然拥有远程访问权限,导致重要内部系统数据泄露的风险。

细粒度的访问控制。理想的访问控制应该可以支持各种条件的输入,例如用户、设备、应用、客户端类型、时间等,实现灵活的最小化权限管理。虎盾ZRA通过自适应细粒度动态权限控制策略,可持续将用户的授权最小化。通过细粒度的预授权策略,用户只能看到被授权访问的应用。严格控制用户访问业务的功能权限,并且每次访问都会进行身份验证和行为审计。

持续动态评估能力。从攻防角度来看,假设系统一定会被攻击,并且很有可能成功,所以一定要对攻击事件本身有感知能力。虎盾ZRA的AI智能决策中心包含动态环境检测引擎、动态权限控制策略、动态响应阻断机制、综合风险评估模型,通过用户身份信息、终端环境信息、访问应用的日志信息、请求信息等多维度信息汇聚,并结合各风险结果进行综合风险评估分析决策,进行及时的预警和拦截。

深度内容审计。虎盾ZRA不仅给用户提供远程访问通道,还针对高危人员、特定用户组和企业私有应用提供该通道上的深度内容审计,解决传统方案中在外包场景下不知道外包人员在内网系统中做了什么的问题。

基于以上功能和优势,虎盾ZRA针对远程访问企业内部服务资源的全业务流程,建立了覆盖网络层、登录层、访问层的一体化零信任防御体系,可应用于远程安全办公、渗透测试、重保等场景。

在演讲最后,王伟用一张图清晰总结了虎盾ZRA的适用情形,为广大关注和实施零信任安全架构的用户提供指引和建议。

转自安全419