【直播】全新定義下一代網絡準入控制系統
聯軟科技
2022年11月14日
在上篇《網絡準入:正在變,即將變?》發布后,本周聯軟在線分享了《下一代網絡準入助力企業構建網絡安全縱深防御》,掃描或識別下方二維碼即可查看直播回放(需登錄):
以下為直播精彩內容:
大家好,非常榮幸今天為大家介紹下一代網絡準入系統。聯軟科技成立于2003年,是國內首家網絡準入控制廠商,現產品累計管理終端眾多,并從網絡準入產品發展擴充了終端管理、數據防泄密、移動終端管理、SDP等全套端點安全產品,是國內企業級端點安全市場的領導者,聯軟科技在網絡準入控制領域深耕十多年,在當前企業信息化技術不斷變化的今天,通過定義新的下一代網絡準入控制系統助力企業構建內部網絡安全的縱深防御。
當前企業網絡準入系統的現狀
在現代企業的內部終端管理中,網絡準入已由傳統安全產品轉化為一項基礎設施,因為網絡準入是企業終端安全管理的基礎,誰進入了網絡、終端是否安全合規、網絡權限是否正確這些都是網絡準入的細節。但是隨著現代企業IT架構和安全需求的變化,當前的準入系統已無法滿足企業的安全需求。主要有三個方面的變化:
01安全威脅向傳統邊界和控制區域之外遷移
第一,安全威脅向傳統邊界和控制區域之外移動,以前企業的網絡是煙囪式的網絡,整個企業是一套大的網絡,網絡內部劃分各隔離子網。但隨著移動化辦公、byod設備的使用及系統的云遷移,網絡邊界已經不再清晰,尤其是在當前疫情的影響下,企業遠程辦公逐漸增加,迫切需要一種新的準入方式實現企業內部全場景的管控。
02內部可信走向零信任安全體系
第二由內部可信走向了零信任網絡,由原來的企業內部即等于可信,變為了從不信任,始終校驗。傳統的安全方式依據用戶終端所在網絡范圍實現可信,即終端在生產網時,生產網的終端都是可信的。一次一種驗證,這種方式顯然是不安全的,這也是為什么企業開始逐步向零信任網絡遷徙,通過零信任網絡架構,對每一次的資源訪問進行校驗和重新授權。
03云邊端一體化管控是下一代網絡準入控制的關注點
隨著中國大數據、云計算市場的普及發展和5G技術在終端準入控制市場的應用,終端承載的數據價值和功能價值也日益提升,傳統準入只考慮邊界的問題,但在當前多種網絡環境、多類型終端形態和安全要求的情況下,下一代網絡準入勢必要基于零信任網絡的持續驗證,解決安全威脅問題,實現云邊端一體化的管控。
下一代網絡準入系統的五個關鍵點
01全網資產可視是網絡準入的基礎
隨著物聯網的發展進程,ip電話、攝像頭等泛終端設備增多,企業內部的未知IT設備也越來越多,我們必須首先做好全網資產的可視才能做好網絡準入控制。
02靜態的安全校驗存在多種安全風險
傳統網絡準入是靜態校驗機制,即在入網前進行安全檢測,檢查后就放行,在下次認證前是沒有任何安全措施的,類似我們疫情期間進入一棟大廈需要檢查帶口罩,但只在入大廈前檢查,進入大廈后隨時可以把口罩摘掉,這樣的靜態防御是沒有用途的。
03內部威脅感知是網絡準入的最終目的
傳統安全方案以識別用戶身份,檢測終端入網狀態為目標,注重入網時的安全狀態,而忽略了入網后的終端安全變化;下一代企業網絡準入管控系統建設的路徑是由資產管理開始,延伸至入網管控和持續性安全監測,最終實現對內部網絡威脅檢測與處置。
04網絡的復雜性使得邊界管控可能存在死角
當今終端類型復雜、應用系統復雜、網絡復雜,安全需求逐漸改變,傳統的網絡意義開始逐步出現無法管控的死角。
05準入部署要保障網絡的高可用
企業的數字化轉型對網絡的可用性依賴更高,準入部署要保障網絡的高可用。
下一代網絡準入控制整體框架
下一代網絡準入系統的功能
01支持多種準入控制技術適應復雜網絡環境
在網絡適應上,通過一套系統實現多種網絡環境下的準入管理和動態授權,包括交換機有線接入、無線接入、還有HUB接入、nat接入、vpn接入等場景,并可針對不同場景下實行不同的網絡授權體系,實現端口級別的準入管控。
02多重高可用設計保障網絡可靠性
下一代網絡準入在保障網絡可靠性上通過六種手段實現:
(一)通過傳統雙機熱備方式實現冗余;
(二)實現數據庫冗余,終端在入網時及入網后都會進行入網安全校驗,安全校驗策略存儲在數據庫內,下一代網絡準入可實現安全校驗策略的冗余,當數據庫發生故障時依然可正常檢驗;
(三)認證源冗余,下一代準入系統在AD/Ldap等認證源服務器斷開或發生故障時依然可以利用冗余信息實現用戶認證;
(四)一鍵撤防實現緊急逃生機制;
(五)miniradius逃生模塊可使得下一代網絡準入系統在完全宕機的情況下實現逃生;
(六)熔斷機制,當一定時間內超出預設閾值的終端數量準入認證失敗時,系統自動切換到逃生,保障業務的平穩運行。
03全網探測實現資產的持續可見性
通過網絡探針、終端主機探針、服務器主機探針和外部探針結合實現覆蓋全網空間的資產探測能力。
04構建基于信任驗證的動態訪問控制
解決靜態校驗問題的關鍵在于構建基于信任驗證的動態訪問控制,系統可根據終端網絡行為進行實時上下文關聯分析,動態下發網絡控制權限,并通過威脅情報信息進行威脅評級,實現快速響應。
三種場景:下一代網絡準入需求
01面向企業的安全管控
·面向企業員工的安全管控
建立嚴格的網絡準入機制,避免非法終端入網,并可實現對異常終端進行端口級阻斷。
·適應多場景的安全合規檢查
智能準入環境下,依據不同終端不同網絡不同角色,進行客戶端方式、插件方式及無代理方式的安全檢查。
·SDN網絡環境下的聯動集成
在SDN網絡中,通過Radius代理將SDN認證中心與聯軟準入系統進行聯動。聯軟準入系統負責終端的802.1X 認證和終端安全檢查,然后把用戶身份標簽返回給SDN認證中心。
·外部訪客接入
對于外部訪客或駐場外協人員,可通過臨時賬號、自助注冊和審批授權的方式實現網絡認證和控制。
02物聯網安全管控場景,主要針對企業內部的啞終端設備進行管理
傳統準入的啞終端設備管理是通過IP/MAC地址添加的白名單內進行管理,但不僅維護工作量巨大,同時及其容易被偽造。同時,面多終端的啞終端設備,下一代終端通過,多種設備屬性形成設備指紋,并可以關聯到設備歸屬人。威脅檢測發現威脅行為后是可以快速關聯到對應歸屬人,而威脅行為的發現是通過多維度的數據采集進行行為建模,并形成設備類型畫像,當發生差異性行為時進行快速告警和處置。
03云主機安全管控
第一種措施是通過流量監控,捕捉攻擊行為,針對DDoS攻擊流量阻斷;
第二種通過偽裝技術自動模擬大量內網主機(幻影),誘捕非法攻擊,進行攻擊路徑的追溯,并進行防御;
第三種,基于零信任網絡邊界下,通過應用安全網絡實現企業內部業務系統的隱藏,當用戶訪問業務系統時,必須經過訪問控制引擎的動態認證授權,才能正常訪問業務。而動態認證的參數包含了用戶身份、終端類型、接入地點、訪問應用和健康狀態等信息。
整套下一代網絡準入方案,在補充了傳統網絡準入在全網資產可見性、云邊端基礎安全防護及威脅持續監測響應的不足外,通過提高入侵難度,強化企業安全對抗能力,改變網絡安全行業內攻防不平衡的現狀。