2023 年 05 月 25 日、26 日,由安世加主办的“EISS-2023 企业信息安全峰会之北京站”在北京亮马河会议核心胜利举办。峰会以”直面信息安全挑战,发明最佳实际案例“为主题,总共吸引了近 500 位来自各行业的企业平安负责人,平安专家。
本届峰会是安世加在北京间断举办的第五次峰会,失去泛滥行业协会、机构以及媒体等独特参加反对。亿格云受邀参加本次大会,解决方案专家 崔双硕 发表了《零信赖 SASE 平安一体化解决方案》主题演讲。
传统体系难以适配新型挑战
崔双硕提到,随同着企业数字化、业务互联网化、基础设施云化、办公挪动化引发了企业三大平安挑战,总结起来次要蕴含两个层面:一是企业员工办公模式的变动 。从固定的办公场合逐步偏差于挪动 / 近程 / 跨境等办公状态。 二是企业业务承载模式的变动。从原来的单个 IDC 或两地三核心的建设。变成了具备私有云,公有云等混合云部署的业务承载模式。
因而,总结出当下企业面临的三大平安挑战:
● 逐步隐没的企业平安边界
● 互联网裸露面大访问控制粒度粗
● 混合办公平安防护难
现在,单点式,碎片化、烟囱式的传统办公平安体系已无奈买通造成合力去解决平安问题,典型例子是:近程办公下的防病毒场景!一旦一台终端中了病毒,病毒可通过 VPN 连贯到内网。如果想妥善解决,可能须要洽购 2 个平安厂商的产品实现防病毒的联动成果。
新的变动带来诸如此类的平安挑战。因而,企业急需一个 全场景笼罩、低成本、高效率、体验好 的下一代办公平安体系来保障企业的数字化转型。
SASE 是将来趋势
怎么样突破这样的平安窘境与挑战?崔双硕提出,最佳办法是用 SASE 的技术门路去落地零信赖。
SASE 正以爆炸性增长速度颠覆以后企业平安的边界纵深进攻架构,Gartner 预估 2024 年会有 40% 的企业 开始采纳 SASE 架构,到 2025 年 60% 的企业 会开始采纳 SASE 架构。2022 年《财产》500 强公司中有超过 40%(200 多家)已采纳 SASE 服务。
SASE 带来云网端交融的平安架构,也将带来以下多样化的益处:
亿格云 SASE 通过一朵集中管控平安的“云”+ 一张寰球办公减速的“网”+ 一个平安能力合一的“端”,交融网络和平安来重构且有新一代办公平安体系。
据崔双硕介绍,亿格云 SASE 架构次要分以下几个层面:
一层面是端 :每个员工终端上装置的客户端都蕴含两方面能力: 一方面 是终端治理平安、I T 资产治理相干能力,例如根底防病毒、基线修复,盗版软件检测、数据安全防护等。另一方面 是零信赖网络拜访,将流量迁引到寰球散布的 40 多个网关节点,无需裸露任何端口,平安实现内网与互联网拜访门路。同时,基于客户端部署的模式,在保障业务通路的根底上,具备更多网络优化的能力。
二层面是网关节点:拜访歹意域名网站时进行阻断,保障上网平安,当通过互联网渠道外发敏感文件时进行审计与拦挡。
零信赖 SASE 落地场景
在零信赖 SASE 落地场景中,崔双硕展现了落地零信赖 SASE 带来的劣势:
网络零侵入、利用零革新,疾速落地零信赖
收敛互联网裸露面:在利用侧部署连接器(Connector),连接器反向 TLS 隧道连贯 POP 网关,内网利用和连接器都不对互联网裸露;有端拜访场景对互联网裸露 POP 网关,POP 网关通过 TCP-based SPA 隐身;无端拜访场景对互联网裸露企业门户
疾速落地零信赖:无需批改路由或者预留 IP 段,无需革新利用,疾速落地零信赖
灵便的拜访形式:反对零信赖客户端拜访内网 B / S 及 C / S 利用;反对无端通过企业门户拜访内网 B / S 利用;反对钉钉、企微、飞书工作台通过企业门户拜访内网 B / S 利用
零信赖网络拜访具备多项能力,其中可概括为:
【权限管得细】:依据用户 身份、设施、地位、工夫、过程、终端危险等 进行多维动静访问控制,提供细粒度的访问控制。
【拜访看得清】:通过 4 层 / 7 层 通明利用网关实现员工内网行为全面可视,提供精细化的拜访日志和敏感数据散布、流转日志。
零信赖最佳实际的流程应是先实现利用 /URL/API 级别访问控制,再进行禁止拜访不可信过程,如果发现内网扫描,中控管制实时断网,而后对不可信网络环境和不可信终端禁止下载文件,最初对拜访敏感利用的身份进行二次认证,唯有如此,才会真正实现落地最小权限,防备横向挪动攻打。
在现场,通过一段视频举证,模仿展现了“办公网内终端被钓鱼失陷,动静评估横向挪动攻打链并阻断”的全过程,清晰演示了零信赖 SASE 的应答钓鱼失陷状况的实际门路。
(视频详情请见亿格云科技视频号)在谈及零信赖 SASE 落地拓展场景中,数据安全成了大多数企业面临的重要挑战,而通过大量调研得悉,少数的数据安全事件都源自于“没有精细化、细粒度的身份权限管控”,导致了数据泄露等严重后果。
然而,传统的数据防透露计划在落地实际中通常也有“场景笼罩不全”、“易被绕过”、“经营难”等诸多问题。
基于以上三个痛点,亿格云提出了从传统 DLP 到 XDLP 演进。XDLP 联合了零信赖和传统 DLP 技术,是对传统 DLP 的变革性技术演进,是一种新的、古代的数据保护办法。
在监控模式方面,从原来的监控外发转变为从数据下载到流转到外发的全链路跟踪;
在数据辨认方面,除传统的正则表达式、机器学习外,减少了业务上下文如起源利用、文件血缘关系等辨认技术;
在危险评估方面,全场景应用利用 DLP、终端 DLP、网络 DLP、UEBA 技术进行全域危险评估。
亿格云零信赖 SASE 平台还借助 ChatGPT 能跟 XDLP 能力就进行联合,通过 AI 能力去解读并剖析数据危险行为的报告。
紧接着,崔双硕展现了亿格云零信赖 SASE“DDR 数据流转跟踪”的实操演示,模仿代码文件作加密压缩,复制正本,更改正本名称与后缀,最终通过网页版的邮箱进行外发。但通过 DDR 数据流转跟踪能力不仅能清晰理解整个过程,还能理解包含邮件发送方、接管方等信息。联合起源利用和文件血统技术,防绕过终端检测,高效落地数据防透露的绝佳实际。
(视频详情请见亿格云科技视频号)
总结来说,亿格云 XDLP 的平安能力通过事先、事中、预先全链路进行 API 数据安全防护,事先主动发现和梳理敏感数据,事中细粒度管控敏感数据,预先全链路事件还原敏感数据门路。
末了,崔双硕总结了亿格云零信赖 SASE 一体化平安解决方案的三大劣势:平安稳固体验好;降本增效;可拓展性强。
客户的胜利才是咱们的胜利
以后,亿格云已服务近 100 家上市公司和独角兽企业,笼罩超 20 万个终端,包含 吉利控股、传音控股、零跑汽车、广联达、怪兽充电 等行业头部客户,在智能制作、金融、游戏、泛互联网等畛域失去客户宽泛认可,并且,亿格云携手客户还策动了走进名企的落地教训交流会,为更多摸索数字化企业平安建设的专家与代表出谋划策。
分享的最初,崔双硕也将诸多亿格云客户的实在反馈展现了进去,客户的称心才是亿格云最大的成就。