在信息技术飞速发展的今天,随着用户、设备和云应用不再局限于传统网络之上,IT 领域的变革正在悄然推进,而技术的进步也使得网络安全问题愈加复杂化。《思科2019年度威胁报告》中指出:当今的威胁是动态演变的,企业用户类型变得复杂,用户用于连接到应用程序和网络的设备也更加多样化。同时,企业的数字化转型,向云端扩展,也使得访问点、攻击面与能见度差距越来越大。由于无法了解这些跨应用程序、网络、用户和设备之间的连接的安全性,保护这个复杂的环境变得越发困难。
随着云计算概念的普及与发展,“去边界化”问题开始真正受到企业关注, Forrester Research 首席分析师 John Kindervag于2009年左右率先提出“零信任Zero Trust”术语,并基于该术语设计了一个特殊的安全框架。随后,Google云基于这一原则推出了自己的首个零信任架构 ---- BeyondCorp。随着安全技术的发展使得业界普遍接受了“零信任安全架构”,也推动了企业对于“内部” 实体在安全方面的认知, 越来越多企业意识到并非“内部” 实体都是可信任的,不能以为只要对这些实体实施直接管理就能降低安全风险,或者只需要一道验证就足以抵挡威胁。
由于网络边界的扩展,系统安全变得更易受到攻击,思科始终致力于构建最全面的集成安全平台以减少企业安全风险,让客户无论是在总部还是分支机构工作,或者是移动办公,都能实现安全覆盖。该平台的一个重要支柱是零信任。借助此模型,我们的策略从默认允许所有用户、设备和工作负载,转变为组织不信任其网络边界内外的任何用户、设备和工作负载。只有在建立信任并防范威胁后,才会向用户、设备和工作负载授予访问权限,而这一切都不会导致用户体验下降。
思科在《Forrester Wave™:2019 年第4季度零信任扩展生态系统平台提供商》报告中被评为领导者,报告中高度评价了思科为此所做的努力 :“思科投入了大量时间和资金对其安全产品进行了大规模的重新调整,以实现或增强客户的零信任安全”。
与此同时,思科还进一步开发了零信任安全成熟度模型,该模型为客户提供五个转型步骤,并将其作为企业实施零信任架构的框架:
是否具有一个与企业需求相匹配的清晰的身份和访问管理(IAM)策略,可实现受风险策略支持的多因素身份验证(MFA)解决方案的全面实施和集成?
是否具备最新的资产清单,可区分管控设备和非管控设备,并对其进行网络安全检查,作为IT和安全功能一体化的一个组成部分?
是否具备受信任的设备策略可督促用户及时更新设备,在受管控的程序中防御各种易受到的攻击,并对策略允许范围之外的设备进行报告?
是否通过识别异常并根据异常采取行动的集中管理策略来控制用户访问?
是否具备与业务相符的零信任战略?
思科主张因地制宜而非一刀切式地进行安全性管控,通过以上步骤制定思科零信任框架,保护企业三大关键领域,且系统性地解决安全问题:
面向企业员工的零信任安全:针对使用个人设备或企业管理设备访问工作应用程序的员工、承包商、合作伙伴和供应商,当该群体面临重要的账户凭据(即用户名和密码)通过网络钓鱼攻击或被第三方窃取等问题时,建立用户和设备的信任度,决定其对应用程序的访问特权。基于Duo的零信任员工安全策略,在无需考虑具体位置的前提下,确保只有合法的用户和安全的设备才能访问应用程序。
面向工作负载的零信任安全:工作负载安全是指确保企业网络中所有用户和设备连接的安全。当恶意攻击者通过横向移动来攻击各种关键系统或窃取并外泄敏感数据时,思科零信任架构可基于Tetration,与ACI数据中心架构以及Firepower结合,通过最小化攻击面,强制实施进出工作负载的最小访问特权。为企业应用程序内部以及在整个多云环境(私有云、混合云、公有云)和数据中心内所有连接提供安全可信的保证。
面向办公场所的零信任安全:该项支柱重点在于确保连接企业网络的任何设备(包括 IoT)的访问安全。现代办公场所通常以园区网、数据中心、广域网、分支网络和云网络为支撑,而在设备管理、设备修复以及非法设备防御方面的能力已经不足以应对网络中数量激增的设备。思科零信任可提供基于SD-Access网络架构,与 ISE 深度结合的解决方案,在网络可控范围内建立基于信任的访问控制,且适用于包含物联网在内的所有用户和设备。
思科零信任的深度技术组合拥有最广泛的端到端零信任覆盖、最广泛的主机可见性及控制、以及无可比拟的集成架构。通过初始的信任度建立,到实施基于信任度的访问,最后通过持续不断的信任验证,为企业提供一个完整的网络安全闭环。采用零信任安全解决方案,企业的基础设施无需经过整体改造,即刻让员工与设备、工作负载、工作场所实现有效的安全。