自远程办公大规模推行以来,网络犯罪案件数量猛增且仍处于上升态势,网络安全也因此受到越来越多关注。面对新的办公环境,企业也在思考保护网络和资产安全所需的措施。
企业不断重视安全需求已经成为 IT 市场的一大热点。但 IT 安全的热度虽高,安全需求的实现难度和复杂性并没有因此而降低,尤其是对于资源和预算有限的企业而言,落实安全仍然需要付出很高的成本。
其实,安全方案并不一定会很复杂。本文将深入浅出地讲解企业维护 IT 安全需要了解的基础知识。
1. 现代企业的 IT 安全需求有哪些变化?
随着办公场所对效率灵活性和移动设备的需求不断增长,企业开始转向云服务。2020年开启的远程办公潮中,为了向远程员工继续提供企业 IT 资源,越来越多企业采用了 SaaS 云服务。现在,混合云或纯云基础架构以及 SaaS 工具已经成为了各类企业的标配。
另一方面,也有不少企业在远程办公期间依然延续了原有的网络边界安全模型,该模型在企业内网创建了防火墙作为网络边界,任何通过用户名密码等方式进入边界内部的人都可以在企业内网中自由移动。
但是本地网络的概念已经基本消失,没有实体基础设施可以在企业内网建立边界。而防火墙和其他边界安全技术也不能保护公司内部基础设施之外的云资源。在这种情况下,企业又该如何保护基于云的新环境?
2. 什么是零信任安全?
零信任是一种满足现代云环境需求的安全方案,弥补了传统网络边界安全框架的不足,在过去几年和远程办公一样广受欢迎。
零信任也已经成为 IT 市场中的常见术语,只是人们往往认为零信任的概念过于复杂,其实零信任的本质很简单,就是强制执行最低特权(PLP)原则,在网络中的任何一处都要求身份验证。
3. 如何实现零信任?
零信任行业领导者 Forrester 发布的《零信任部署指南》列出了实现零信任安全的具体步骤:
1)评估当前企业环境的状态。企业应了解零信任部署的成熟度、长期安全计划以及可能影响零信任实施的其他元素和操作。评估当前的环境状态还可以发现安全方面不够成熟的地方,这样在规划零信任部署路线图时就知道哪些领域需要优先考虑。
2)设定目标。企业可以根据零信任部署的成熟度评估和现有安全计划中的信息设定零信任部署的总体目标,再将总体目标拆分成一个个小目标,确定达成的期限。
3)规划零信任部署路线图。确定了大框架以后就可以补充细节,包括需要实现的功能以及部署时间。
4)根据路线图分阶段实施。零信任部署应该循序渐进,谨慎推进、接收不完全的零信任状态也是整个部署过程必不可少的一部分。
上述提到的零信任部署路线图将零信任架构分为五个关键部分:
身份
设备
工作负载
网络
数据
企业可以根据这五大要素拆分路线图并设定具体目标。路线图基于企业设定的目标、当前基础架构、安全计划以及可用资源,所以每个企业制定的路线图都不同。
4. 如何简单有效地维护 IT 安全?
过于复杂的安全方案可能反而会阻碍实施,影响部署效果。以下6个零信任措施能保障简单有效的用户体验:
1)基于推送或生物识别的多因素认证
基于推送的多因素认证(MFA)允许用户在个人设备上确认推送通知就能完成身份验证。基于生物识别的多因素认证(MFA)支持指纹或面部识别。两种方法都无需输入密码或随身携带安全密钥。
2)单点登录
单点登录(SSO)不需要用户记住每个账号的用户名密码,只用一组用户名密码就能登录多个资源。宁盾单点登录 SSO 系统能够实现一个身份通行企业内所有业务应用,并做到账号生命周期自动管理、身份数据自动流转、用户自助服务、身份自动审批等,满足企业特殊需求。
3)移动设备管理
移动设备管理(MDM)工具可以管理的设备包括用于办公的个人设备,用户在家也能安全使用熟悉的设备工作。
4)补丁管理
补丁管理确保员工设备始终更新到最新版本,既是为了安全,也是为了确保员工获得更流畅的体验。
5)条件访问策略
条件访问策略允许企业在用户遵循安全准则的情况下放宽常规登录或可识别登录的要求。
6)目录服务
企业可以将更多 IT 资源同步到目录中,实现更加无缝的用户体验。目录服务可以统一、精简所有内容,并报告到同一数据源,其他功能还包括将更多工具集成到单点登录(SSO)解决方案,以及智能的自动化设备分配。
零信任之所以广受欢迎,根本原因就在于企业希望依靠简单的 IT 安全方案让所有用户保持合规,最终实现总体安全目标。