——下一代網(wǎng)絡(luò)準入控制系統(tǒng)助力零信任時代下的企業(yè)安全體系建設(shè)

背景

近20年來，數(shù)字化轉(zhuǎn)型給企業(yè)帶來便利的同時，也給企業(yè)安全帶來了巨大變化，尤其是企業(yè)面臨的網(wǎng)絡(luò)威脅逐漸呈現(xiàn)復(fù)雜和多變的趨勢，迫使企業(yè)不得不構(gòu)筑一道道網(wǎng)絡(luò)安全防護墻來抵御各種風(fēng)險。其中，作為內(nèi)網(wǎng)安全防護的“第一道關(guān)卡”，網(wǎng)絡(luò)準入控制系統(tǒng)依托身份認證和安全檢查結(jié)果實施訪問控制措施，在網(wǎng)絡(luò)安全中發(fā)揮了積極的防御作用，降低網(wǎng)絡(luò)安全的脆弱性，保證了企業(yè)網(wǎng)絡(luò)邊界的安全。

隨著零信任時代和萬物互聯(lián)時代的到來，企業(yè)網(wǎng)絡(luò)設(shè)備的數(shù)量和類型激增，網(wǎng)絡(luò)邊界不斷延伸，訪問與操作已變得極其復(fù)雜。傳統(tǒng)技術(shù)手段下已難以適應(yīng)當前安全需求和趨勢，這就要求新一代的網(wǎng)絡(luò)準入控制技術(shù)來滿足不斷變化的網(wǎng)絡(luò)和終端環(huán)境，包括提出更具有適應(yīng)性的技術(shù)架構(gòu)、更具廣度的大數(shù)據(jù)計算、更具開放性的對外接口等。

主要問題分析

面對未來愈加復(fù)雜異構(gòu)的網(wǎng)絡(luò)環(huán)境，一種或者固定的網(wǎng)絡(luò)準入控制手段早已不能適應(yīng)種類繁多和復(fù)雜的安全場景，相比較現(xiàn)有的網(wǎng)絡(luò)準入控制系統(tǒng)，下一代的網(wǎng)絡(luò)準入控制系統(tǒng)應(yīng)該重點關(guān)注并解決以下方面的問題：

1、終端資產(chǎn)全面收集

網(wǎng)絡(luò)的發(fā)展和信息化程度的提升，各種打印機、攝像頭、IP電話、BYOD手持設(shè)備等“啞終端”不斷涌現(xiàn)。Gartner 預(yù)計，到2020年將安裝超過204億臺物聯(lián)網(wǎng)設(shè)備。90%的用戶隨身攜帶移動設(shè)備。早期的網(wǎng)絡(luò)準入技術(shù)通過客戶端收集終端信息，但受客戶端與平臺之間兼容性等問題的影響，信息收集容易導(dǎo)致不全面的后果。現(xiàn)今要想在多樣化的網(wǎng)絡(luò)環(huán)境中保證網(wǎng)絡(luò)安全，必須全方位掌握網(wǎng)絡(luò)中的終端（資產(chǎn)）信息，感知各類資產(chǎn)的運行狀況和異常情況，是做好網(wǎng)絡(luò)安全防護的關(guān)鍵一步。

2、持續(xù)檢測功能

現(xiàn)有的網(wǎng)絡(luò)準入控制系統(tǒng)是“靜態(tài)”的看設(shè)備，設(shè)備入網(wǎng)前嚴格檢查，入網(wǎng)后終端就自由通行，即使設(shè)備合規(guī)狀態(tài)變化了也無從知曉。面對現(xiàn)在愈發(fā)復(fù)雜的網(wǎng)絡(luò)環(huán)境和攻擊威脅，新一代網(wǎng)絡(luò)準入控制系統(tǒng)除了強制安全基線合規(guī)外，更應(yīng)加強對終端的威脅檢測、行為分析、網(wǎng)絡(luò)流量分析，實現(xiàn)對終端的情報檢測、大數(shù)據(jù)分析、異常威脅畫像，提高對終端安全威脅的檢測和發(fā)現(xiàn)能力。

傳統(tǒng)網(wǎng)絡(luò)準入控制系統(tǒng)設(shè)備入網(wǎng)檢測流程

3、內(nèi)部威脅監(jiān)測

傳統(tǒng)的防護手段難以發(fā)現(xiàn)一些潛伏性和持續(xù)性等威脅巨大的攻擊行為。然而新一代網(wǎng)絡(luò)準入控制系統(tǒng)可以通過對終端漏洞進行控制、對網(wǎng)絡(luò)中的異常行為進行監(jiān)視以及與周邊安全設(shè)備進行互操作，在防御高級持續(xù)性威脅攻擊方面發(fā)揮作用，最終構(gòu)筑一套縱深防御的安全體系。

下一代網(wǎng)絡(luò)準入控制技術(shù)的幾個“亮點”

1、終端全面收集，精準定位

軟、硬件探針技術(shù)充分結(jié)合，秒級發(fā)現(xiàn)剛?cè)刖W(wǎng)的設(shè)備。并能根據(jù)不同的行業(yè)，形成了特有的行業(yè)設(shè)備類型識別規(guī)則（如金融、制造、醫(yī)院、公共安全的視頻專網(wǎng)等），可以精準的識別各種IT、IoT、ICT設(shè)備，同時支持自定義設(shè)備類型和識別規(guī)則。

針對ICT、IoT設(shè)備支持10+個維度的指紋特征，更加精準的標識一臺設(shè)備，讓設(shè)備仿冒無所遁形。針對計算機設(shè)備，可以采用安全控件或者遠程安全檢查的方式，同時支持與AD域、WSUS結(jié)合形成閉環(huán)管理。

同時可以對設(shè)備進行分組，針對不同的設(shè)備分組進行網(wǎng)絡(luò)訪問控制；對于存在威脅或者其它不合規(guī)行為的設(shè)備，可以動態(tài)下發(fā)網(wǎng)絡(luò)控制權(quán)限，進行隔離或下線。

2、零信任安全理念運用

傳統(tǒng)安全中攻擊者在成功突破一個防御點（例如防火墻或用戶登錄名）之后便能利用網(wǎng)絡(luò)固有的信任弱點，通過在網(wǎng)絡(luò)、應(yīng)用環(huán)境中橫向移動來鎖定敏感數(shù)據(jù)目標。在受信任區(qū)域內(nèi)發(fā)起攻擊的內(nèi)部威脅更容易獲得更高的權(quán)限。而零信任架構(gòu)的安全體系，以資產(chǎn)可見性驅(qū)動安全策略的制定，提供盡可能豐富的情報和可見性，僅向經(jīng)驗證和授權(quán)的用戶和設(shè)備提供應(yīng)用程序和數(shù)據(jù)訪問。信任不是一次性的，也不是恒久不變的，需要持續(xù)驗證。動態(tài)訪問控制策略，訪問決策的制定以每一次重新建立起的信任為基礎(chǔ)。

3、持續(xù)監(jiān)控能力

運用協(xié)議還原技術(shù)、入侵檢測技術(shù)、幻影技術(shù)、面包屑技術(shù)、威脅情報結(jié)合AI，智能感知針對高價值資產(chǎn)的攻擊；自動檢測已知、未知的威脅和網(wǎng)絡(luò)異常行為。同時可以與其他產(chǎn)品聯(lián)動，對存在問題的主機進行調(diào)查取證。

4、聯(lián)合其他網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建縱深防御體系

傳統(tǒng)管理思路的局限性體現(xiàn)在不能完整覆蓋終端類型和網(wǎng)絡(luò)環(huán)境，不能統(tǒng)一管理，導(dǎo)致形成安全系統(tǒng)的孤島建設(shè)，不僅管理效率低，還存在安全系統(tǒng)間的安全空隙風(fēng)險；且終端上將會積累越來越多的客戶端，使得終端運行越來越慢，用戶體驗感變差，運維壓力變大。隨著技術(shù)的新運用，終端準入控制產(chǎn)品將更有效地加強用戶終端主動管理能力，并加強與其他網(wǎng)絡(luò)安全系統(tǒng)的聯(lián)動，例如與VPN/SDP/EMM-APN/EDR等結(jié)合起來，進一步對網(wǎng)絡(luò)端和終端實現(xiàn)同等保護服務(wù)。

下一代網(wǎng)絡(luò)準入控制系統(tǒng)整體框架

下一代網(wǎng)絡(luò)準入控制技術(shù)的優(yōu)勢

隨著互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等現(xiàn)代信息技術(shù)的深度發(fā)展和推廣，IT系統(tǒng)規(guī)模也在不斷擴展，給企業(yè)IT運維管理帶來了新挑戰(zhàn)。在用戶、在終端、應(yīng)用層面、安全管理等方面，都需要將網(wǎng)絡(luò)安全從疲于奔命的被動防御轉(zhuǎn)為主動防御，提高整體網(wǎng)絡(luò)安全防護能力。所以，解決IT運維管理的復(fù)雜性，需要標準化的管理流程工具，避免人為失誤與網(wǎng)絡(luò)威脅。

下一代網(wǎng)絡(luò)準入控制技術(shù)采用了“動態(tài)”防御技術(shù)與傳統(tǒng)的“靜態(tài)”檢查結(jié)合起來，不論員工在哪里，不論設(shè)備從哪里接入，都能持續(xù)監(jiān)控網(wǎng)絡(luò)攻擊及異常行為，保證企業(yè)網(wǎng)絡(luò)的“邊界”安全。

網(wǎng)絡(luò)準入控制技術(shù)發(fā)展歷程

結(jié)語

網(wǎng)絡(luò)準入控制技術(shù)發(fā)展至今，一直在迭代更新，不同時期的技術(shù)特點和關(guān)注點也不一樣，下一代網(wǎng)絡(luò)準入控制系統(tǒng)的發(fā)展將走向何方？作為國內(nèi)最早研發(fā)、應(yīng)用最廣的網(wǎng)絡(luò)準入控制廠商，聯(lián)軟科技認為網(wǎng)絡(luò)準入控制是安全技術(shù)與管理流程的結(jié)合，它不只是一個安全工具，也是解決安全管理問題的基礎(chǔ)設(shè)施，下一代網(wǎng)絡(luò)準入控制系統(tǒng)將會具有功能更完備、自適應(yīng)能力強、部署維護簡便、分析展現(xiàn)直觀等特點，在面對更多樣的網(wǎng)絡(luò)環(huán)境時，例如面對當前零信任、遠程辦公等的運用環(huán)境，下一代網(wǎng)絡(luò)準入控制系統(tǒng)將會有更廣闊的應(yīng)用前景。