(赵法彬/数字通信世界)去年新冠疫情在全球爆发以来,居家办公、远程访问已经成为很多上班族的常态工作方式,但是,大量的人员从不同的地点接入企业网络,带来了巨大的安全隐患。此外,SaaS采用、远程办公、数字化转型、云应用正在被越来越多的企业认可,这更让企业的网络安全面临更大挑战。为此,Palo Alto Networks(派拓网络)推出全面零信任网络安全,该公司大中华区总裁陈文俊先生、中国区商业市场技术总监张晨女士通过网络进行了解读。
传统安全模式已无法满足需求
Palo Alto Networks(派拓网络)大中华区总裁陈文俊先生表示,新冠疫情全球爆发以来,很多企业已经开始习惯远程办公,我们相信未来远程办公也会成为一种新常态。这种改变对整个网络安全也会带来不同的挑战,原来人们很多工作都是在办公室进行,网络边界基本上就是城墙或者护城河似的保护。但是由于现在企业对云的接受、SaaS的采用、远程办公、数字化转型,等等,使得传统的安全模式没办法适合现在的发展要求。为此,客户需要一种新的手段去面对未来的安全挑战,而派拓网络推出的全面零信任网络安全就是这种新手段。
Palo Alto Networks(派拓网络)本次推出的SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙让企业能够轻松、有效地实施零信任网络安全,并获得四项重要优势:一是安全访问正确的应用:业界首款集成的云访问安全代理(CASB),让客户主动扩展对所有SaaS应用的安全访问,包括那些前所未见的应用。二是安全访问正确的用户:业界首款云身份引擎让客户在企业网络、云和应用中轻松验证和授权其用户,不受身份存储位置影响。三是增强安全性:高级URL过滤服务通过本地机器学习功能提供业界首创的零日网络攻击防御。扩展的DNS安全功能可以防御其他解决方案无法防御的新兴DNS攻击。四是全面普及安全访问:所有形式的防火墙(硬件、软件和云端)均可使用这些新功能,无论用户位于何处,均可进行安全访问。除了现有防火墙外,新型号机器学习下一代防火墙也能使用这些创新功能,以实现企业级零信任网络安全——从小型分支机构(使用PA-400系列)到大型园区和超大规模数据中心(使用PA-5450平台)。陈文俊透露,大部分硬件及全部新功能于6月上市,最小型桌面防火墙PA-410将在今年夏末上市。
现在很多企业已经开始走向云,采用了很多大数据分析,利用了很多新的数字化IoT技术,他们应该从哪几个方面考虑企业的网络安全呢?Palo Alto Networks(派拓网络)中国区商业市场技术总监张晨女士告诉记者,应该注意四个方面:
一是SaaS安全。现在企业扩展业务非常快,不可能任何扩展业务都要自己搭建数据中心再上应用,很多企业会借助SaaS类应用来快速推出新兴业务,所以SaaS的安全隐患成为现在企业里越来越重要的一部分。
二是Web类的安全。以前我们防范很多的攻击是靠不断更新病毒定义码,更新攻击特征库来实现,但是现在很多Web的攻击应用的手段非常高明,包括DNS的安全。Web的安全已经不是以前可以用一些简单的更新定义码或者攻击特征库来解决了,这是现在要防范的一个重点。
三是云身份。现在企业很多走向了云平台,把很多新兴的业务应用往云平台上移植,借助公有云服务商已经搭建好的基础架构设施,能够快速在云端平台开展自己的业务应用。所以对云端业务的访问,如何与企业自建数据中心内部的服务器能够相互进行快速身份认证的同步,能够识别来访问的远程员工,还有第三方的供应链上的人员,他们是不是有权限访问这些应用。整个在混合云环境下的身份安全管理问题,也成为我们要重新定义企业网络安全中非常重要的一部分。
四是机器学习下一代防火墙平台。防火墙部署的位置仍然是企业网络安全整个架构中非常非常重要的一个环节,确实很多企业已经从原来的以IP地址和端口为控制对象,逐渐走到以七层应用、保护应用为对象的七重防火墙的构建。在对于网络安全来讲,用户对于网络安全平台上所需要的安全防御功能也会越来越广泛,远远超越了原来只是一个防火墙的概念。如何把更先进的机器学习、人工智能技术快速移植到防火墙这个硬件平台,已经成为我们网络安全需要考虑的重要部分之一。
张晨女士说: “我们会从这四个维度不断加强和优化技术方案,帮助客户快速在企业网络中实现零信任架构。”
全面零信任网络安全势在必行
张晨表示,近几年,零信任概念在国内已经被越来越多的企业重视。我们在去年的一项调查里发现,有超过一半的客户已经在自己的网络中开始考虑和规划零信任网络。实际上,零信任概念核心的思想是,我们不再主动相信网络中的任何一个人、一个设备或者一些应用,除非对方能够证明他现在的身份以及访问的意图,这完全颠覆了原来企业以边界为主要防线的网络安全概念。企业如果走向零信任概念,需要颠覆自己原来以网络为边界的思想。
对于一些新型的需求,Palo Alto Networks(派拓网络)是如何能够在零信任架构中通过其方案快速实施呢?张晨女士回答说,在我们的网络安全平台上已经把SaaS类的应用、数据防泄露以及客户其他的主要需求都完全内部集成,能够快速识别出来在企业以及网络当中开启的新型SaaS应用。在云端,我们的平台可以快速识别出超过1500种主流的SaaS类的应用,识别到这些应用以后,我们本身已经有大量的基于不同应用的内置策略,就可以帮助企业快速针对SaaS应用能够提供非常好的、及时有效的安全防护的措施。这项防御功能已经集成到了硬件的安全平台上,客户只需要购买相应的许可证就可以马上激活使用,这样能够达到对于整个SaaS应用防御的效果。此外,对于基于云端的SaaS类应用,我们还集成了相应的数据防泄露功能,对于常见的一些针对不同行业的数据防泄露需求,也可以通过我们相应的不同定义及时采购就可以即可使用。在SaaS应用的趋势下,对于企业来讲首先可以快速识别出来,到底是什么样的应用,针对这样的应用做出相关策略,同时根据需要,部署相应的针对不同应用的数据防泄露策略,有些如果是企业内不批准使用的SaaS类应用,可以在网络安全平台上及时做一个阻断和禁止,这样就可以非常高效地帮助企业来进行SaaS应用的防御。我们已经把安全代理功能集成到了网络安全平台上,不管企业员工还是第三方访问人员需要用什么样的SaaS类应用,都是需要通过我们这个平台,经过相应策略的检查,通过数据防泄露的筛查,才能进行相应的访问。如果不符合的话,这个流量就会被阻断。它可以集成原来已有的功能,把SaaS应用的识别,以及针对SaaS应用的DLP的功能都涵盖到这一个网络安全的平台上,可以针对用户部署在自建的数据中心、在虚拟化的环境下、在云端或者是通过这种SaaS方式接入第三方的访问流量,都可以同步进行使用。对于整个IT的运维来讲,可以通过一个产品的管理界面,就可以达到跨平台管理SaaS应用。
张晨女士还告诉记者,Palo Alto Networks(派拓网络)最新推出的基于机器学习的下一代防火墙平台,把机器学习模型和机器学习分析的这部分能力移植到了防火墙这一侧。在防火墙平台上,不管是硬件还是软件的形式,都会有一个高精准的、性能消耗非常小的机器学习模型,它可以针对很多Web类攻击,很多可执行文件,都可以在这一侧进行快速有效的分析。这样就可以对很多当前在网络中正在发生的Web类攻击、DNS攻击以及可执行文件,进行快速、高效、准确的分析。因为这个分析模型是基于我们在全球云端高精准的庞大分析模型之上,把它优化出来推到了防火墙这一侧,这样就打造了可以做到非常高精准、误报率极低而且也不需要IT管理人员太多人工介入的机器学习模型。需要强调的是,机器学习的模型不仅针对于Web攻击,同时还针对利用DNS攻击的情况,现在利用DNS域名进行攻击的方式都涵盖在我们发布的最新解决方案里面。
谈及在整个跨平台混合云环境下的身份管理,张晨女士介绍说,对于一个企业来讲,原来大家都是在一个固定的办公室上班,上网并没有很多的接入点,身份认证管理相对简单,建一套系统把整个企业员工的身份管理访问权限都涵盖掉了。但是企业的业务发展非常多,另外员工接入的方式也会很多,有从分支机构的、从总部的,也有从家里的、从公共场所的,甚至还有很多供应链第三方的访问者,尤其是去年新冠疫情之后,人们大量在家办公或者是远程访问已经成为常态。这里面有的业务形态是以本地自建数据中心提供的,有的是以云端提供的,有的是以纯SaaS应用提供的。在这种混合云的环境下,我们怎么能够把企业原来一套用户身份认证系统同步到所有的环境当中呢?这个就是IT管理的一个新挑战。在我们最新发布的版本中,建立了一个新的云身份引擎,这个引擎会自动在网络安全平台上启用,可以把本地以及云端的身份认证系统同步,通过云身份引擎进行同步。这样不管企业加入了新的SaaS类的应用,或者是加入了一些新的云端应用,都可以通过云身份这个引擎和企业原来自己相应的身份认证系统进行同步。这样企业不用担心业务扩展很快,后面的业务又有很多新的形式在云端,在SaaS上开启,他只需要把我们的云身份引擎开启,就可以自动进行后台用户身份认证的同步。这样的方法会非常简化IT部门对于整个这套复杂的身份认证系统,在不同业务平台上同步的问题。
她强调说,云身份认证引擎是在整个网络安全平台上启用的,所以不管是硬件的形态,还是软件的形态,还是客户选择使用Palo Alto Networks(派拓网络)这个纯SaaS类应用,完全属于云端服务方式来介入后台的安全网络,都可以使用。它最大的好处是可以跨越不同的基础设施,可以通过云身份认证引擎来进行自动化的同步,这样也是在我们引入零信任概念之后,可以很快速地解决身份认证和访问授权的问题。