網(wǎng)絡連接矩陣復雜化，安全防護框架需重構

時間：2022-03-06 06:26:01 | 來源：行業(yè)動態(tài)

時間：2022-03-06 06:26:01 來源：行業(yè)動態(tài)

大家好，我是山石網(wǎng)科蔣東毅。

數(shù)字化的本質是讓人更方便的獲取信息，利用信息，也就是構建人與數(shù)字信息的連接。但相比過去，數(shù)字接入的移動性和服務的云化，已經讓人和業(yè)務之間的連接變得更加復雜。過去，組織在網(wǎng)絡訪問上，按照職能和功能，對辦公區(qū)和數(shù)據(jù)區(qū)進行劃分，訪問模式還是比較固定的。但現(xiàn)在，移動終端的普及，人在居家、差旅、辦公區(qū)之間移動切換，業(yè)務在私有云和公有云中部署和遷移，SaaS類業(yè)務也越來越多，構成了一個復雜的連接矩陣。



可以很清晰的看到，連接矩陣的邊界趨于模糊且易變，給組織帶來安全防護的極大挑戰(zhàn)。以往按照區(qū)域劃分，區(qū)域之間配置安全策略的防控模式，已經難以適應復雜易變的連接矩陣了。

如何應對？山石網(wǎng)科認為，以身份為核心，建立基于動態(tài)最小授權策略的零信任安全防控框架，是應對這個挑戰(zhàn)的最優(yōu)解。



可以這么理解，安全防控的基本理念是出了問題可以控制在最小影響范圍，當區(qū)域邊界變的模糊時，我們需要看有什么是相對穩(wěn)定的，那么可以基于一個相對穩(wěn)定的基礎構建新的安全防控框架。既然信息化的本質是人與信息之間的連接，那么防控體系也可以從人出發(fā)進行重構，也就是以身份為基礎，建立動態(tài)最小授權策略的零信任安全防控框架。所謂動態(tài)最小授權，除了根據(jù)身份之外，還需要結合接入設備的類型、軟硬件合規(guī)要求、風險狀態(tài)等多重因素，進行訪問權限控制。

山石網(wǎng)科的iNGFW產品，在零信任管理中心的統(tǒng)一控制下，實現(xiàn)用戶接入場景的零信任防控。零信任防控除了針對用戶接入側，還包括業(yè)務應用側。業(yè)務應用云化之后，部署和擴展便捷了，但應用之間的訪問控制容易被忽視，一旦某個應用被攻破，很容易擴散感染到其他應用。山石網(wǎng)科針對云計算環(huán)境，以完整的云內、云外一系列安全產品，來滿足東西、南北全方位全場景的微隔離，實現(xiàn)云計算環(huán)境的零信任防控。

那未來零信任的方案應該是什么樣的。山石網(wǎng)科認為，隨著SaaS業(yè)務和移動辦公的推廣普及，SASE作為零信任的運營方案，將為用戶帶來便捷安全的業(yè)務訪問。

SASE 本質是SD-WAN Security, 是基于云網(wǎng)的企業(yè)網(wǎng) 安全的運營模式，其產生的原因是分散的移動辦公加上多點的云服務。傳統(tǒng)的接入模式：spoke-n-hub，不適應現(xiàn)在的環(huán)境。SASE通過廣泛部署PoP點，為分支機構和在外辦公提供接入，既提供路由選擇、QoS等網(wǎng)絡優(yōu)化功能，也提供各類安全功能，由專業(yè)的網(wǎng)絡安全公司提供安全的網(wǎng)絡接入和運營，保證了辦公的便捷性和安全性。

目前來看，中國的SaaS用戶，主要還是中小企業(yè)，SaaS業(yè)務的類型主要還是企業(yè)微信、釘釘這樣的通用辦公類SaaS。SASE會從中小客戶開始，隨著客戶的成長，與用戶使用習慣的培養(yǎng)，未來的客戶群體會更加廣泛。

對網(wǎng)安公司來說，從賣產品，到賣解決方案，提供服務，到提供一整套網(wǎng)絡與安全運營，是未來的趨勢之一。