VPN已成为了攻击入口,安全访问该何去何从
扫描二维码
随时随地手机看文章
(文章来源:科技研究站)
在过去十多年,SSL VPN已成为众多企业的IT基础设施。近期利用SSL VPN设备发起的APT攻击事件并非孤案。我们都知道在真实攻防对抗的大背景下,去年VPN设备就被爆出严重漏洞,近期的APT事件仅是该类设备安全问题的延续。
曾经这个名词伴随2014-2015创业大潮被多次提及,而近期披露的APT攻击事件,在当下推动国产化的背景下,显得更为迫切。安全能力应当是IT系统的内生能力,安全产品更应如此。
基于“构建可控的互联世界”的愿景,联软科技在2016年提出了“可信数字网络架构TDNA”(Trusted Digital Network Architecture)的理念,并在该理念下研发出了全新一代企业级安全保护平台ESPP,集网络准入控制、终端安全管理、BYOD设备管理、云主机安全管理、数据防泄密等系统于一体,通过一个平台,统一框架,数据集中,实现更强更智能的安全保护,减轻安全管理负担,降低采购和维护成本,致力于将安全能力融入客户业务,打造内置安全能力。
VPN的远程接入方案,看似安全,但等同于内部网络暴露在互联网。当这台暴露在互联网的设备被控制,企业网络的大门随即就被打开。
在单点完成接入、认证和授权的模式,需要设备是安全的,还要确保部署配置的安全,运行维护的安全,这其实是很高的要求,超越了大多数企业级客户的能力,导致容易出现管理后台对外开放,登录账号弱口令。这种低级错误,为APT组织留下大量设备作为研究对象。
VPN是建立连接,再去验证,一旦验证通过就持续可信。而以零信任网络为典型的新安全架构颠覆这种认知,强调设备、人、资源都不可信,需要持续验证。
本次事件也契合RSAC2020的主题“Human Element”,不安全的产品是人为的,不安全的配置(管理后台开放、弱口令),也是人为造成的。企业安全治理的核心要素,始终是要恪守安全基本准则,减少暴露面,避免给人犯错的机会。此次VPN暴露出来的安全事件也凸显了在传统网络边界近乎消失的时代,VPN 问题频出,尽显老态,需要更新的技术适应新时代信息技术的发展。
Gartner预计到2023年,60%的企业将逐步淘汰大部分VPN,支持零信任网络访问。联软科技从2017年已经开始研究零信任架构,结合自身丰富的网络安全管理和终端安全管理实践经验,开发了联软UniSDP安界软件定义边界系统。联软SDP系统主要基于可信身份、可信终端、可信网络、可信服务四个层面实践零信任网络架构,为企业内网安全和云安全打造统一、安全和高效的访问入口。
其中联软的可信终端能为用户提供安全沙箱功能,这个在实践零信任理念的数据安全中跨出了一大步,联软的APN网关也具有技术专利,整个架构始终坚持用户导向,保持了足够的灵活性和开放性。联软SDP系统在消除企业安全连接中对VPN的依赖性有明显效果,在安全性上比VPN具备先天的优势,主要体现在以下几个方面:
联软SDP优势亮点;SDP架构中的单包授权(SPA)机制使得SDP控制器和网关对阻止DDoS攻击更有弹性。SPA协议与传统的TCP握手连接机制相比可花费更少的资源,使服务器能够大规模处理、丢弃恶意的网络请求数据包。SDP的访问控制是基于Need to Know模型,在技术实现上确保每个用户必须先验证每个设备和身份,然后才能授予对网络的访问权限。能够大大减少企业IT的攻击面,隐藏系统和应用程序漏洞,保护用户接口不被未授权用户访问,因此也无法利用任何漏洞。
SDP可以与IAM集成,实施自动化策略,动态的根据用户的身份和权限控制用户或服务能够访问的IT系统资源。
由于SDP安全的设计理念,成熟的安全技术架构,在解决VPN存在的问题、以及多云访问下统一入口、统一身份认证、安全审计等方面都有传统解决访问无可比拟的优势,同时在第三方安全访问、促进IT系统集成上也越来越显示出巨大的优势。