“五管齐下”,派拓网络推出全面零信任网络安全
2021-06-22
作者:muyx
来源:AET原创
随着全球数字化和万物互联的加速,传统网络安全边界将消失,外部网络攻击逐渐加剧,以“零信任”理念重构安全防御体系越来越多地被认可与重视。日前,全球网络安全领导企业 Palo Alto Networks(派拓网络)举行线上媒体会,推出包括SaaS安全、高级URL过滤、DNS安全、云身份引擎及新型机器学习防火墙在内的五项重要创新功能,以帮助客户轻松在其网络安全栈中采用零信任架构。派拓网络大中华区总裁陈文俊和派拓网络中国区商业市场技术总监张晨出席会议,与媒体分享了近期派拓网络业务发展动态和其推出的全面零信任网络。
派拓网络大中华区总裁 陈文俊
派拓网络中国区商业市场技术总监 张晨
为什么选择零信任网络?
零信任代表了新一代的网络安全防护理念。派拓网络中国区商业市场技术总监张晨介绍,零信任概念的核心思想是企业不再主动相信网络中的任何一个人,或者任何一个设备,或者任何一个应用,除非他能够证明他现在的身份,以及他的访问意图。这完全颠覆了原来企业以边界为主要防线的网络安全概念。派拓网络大中华区总裁陈文俊介绍,零信任的概念是在2010年由美国的John Kindervag提出,在国外一些发达地区发展得比较快,已经有一些使用的案例。在国内,零信任安全2015年开始兴起,随着移动互联网的高速发展,近年来越来越多的大型互联网公司开始部署零信任,在企业客户内部,零信任也逐渐被关注与重视,慢慢在国内兴起。
现阶段,云技术的广泛应用,可能导致各种人员通过不同方式接入企业网络,打破了传统网络边界,纯内部系统组成的企业数据中心不再存在,为企业网络安全防护带来新的挑战,所以急需一种能适应云服务的全新架构,而零信任架构能满足这个需求。另一方面,勒索攻击这几年一直呈爆炸式增长。据派拓网络报告,2020年勒索病毒的攻击比2019年增加了171个百分点,企业支付的最高赎金从2019年的500万美金提高到2020年的1000万美金。如果仅仅依靠现有安全方法并不足以应对愈趋严峻的安全态势,而零信任模型恰好能得到更好的效果。
派拓网络推出全面零信任网络安全
零信任这个概念如何在企业环境下有力地开展,势必要借助很多技术手段。应该从哪些方面来考虑企业的网络安全,张晨给出了以下四个方面的维度:
首先,很多企业会借助SaaS类的应用来快速开展新业务,因为这是非常便捷的。所以SaaS的安全,也即人们说的影子IT,其安全隐患会成为现在企业中越来越重要的一部分。
其次是Web类的安全。以前对攻击的防范是靠不断更新病毒定义码、更新攻击特征库来实现,但是现在很多Web攻击应用的手段非常高明,传统防范方式已无法应对。
第三,云平台的使用,使很多新兴的业务应用迁移到了云平台,对云端业务进行访问时,如何与企业自建数据中心内部的服务器相互进行快速的身份认证的同步,也成为企业重新定义网络安全当中非常重要的一部分。
最后,防火墙部署的位置仍然是企业网络安全整个架构中非常重要的一个环节,如何把更先进的机器学习、人工智能技术快速移植到防火墙这个硬件平台本身,也成为企业网络安全需要考虑的一部分。
派拓网络从上述四个维度不断去加强和优化技术方案,能够帮助客户快速在企业网络中实现零信任架构。其推出的SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙让企业能够轻松、有效地实施零信任网络安全,并获得四项重要优势:
(1)安全访问正确的应用:业界首款集成的云访问安全代理(CASB),让客户主动扩展对所有SaaS应用的安全访问,包括那些前所未见的应用。
(2)安全访问正确的用户:业界首款云身份引擎让客户在企业网络、云和应用中轻松验证和授权其用户,不受身份存储位置影响。
(3)增强安全性:高级URL过滤服务通过本地机器学习功能提供业界首创的零日网络攻击防御,扩展的DNS安全功能可以防御其他解决方案无法防御的新兴DNS攻击。
(4)全面普及安全访问:所有形式的防火墙(硬件、软件和云端)均可使用这些新功能,无论用户位于何处,均可进行安全访问。除了现有防火墙外,新型号机器学习下一代防火墙也能使用这些创新功能,以实现企业级零信任网络安全——从小型分支机构(使用PA-400系列)到大型园区和超大规模数据中心(使用PA-5450平台)。
企业采取零信任架构,需要关注哪些环节?
派拓网络在去年的一项调查中发现,有将近一半的客户已经在自己的网络中考虑和规划零信任网络。那么企业如果需要采取零信任架构,当前最需要关注哪些环节?企业实施零信任安全架构时,是否存在比如成本方面的挑战?对此张晨表示,企业一定要对自己的IT资产进行优先级别的排序,在这些数据、应用、资产和相应的运行服务中,分别梳理出哪些是最重要最需要保护的。安全一定是从最重要的IT资产最先开始。其次还要梳理这些重要资产和访问对象之间的访问关系、访问策略是否恰当。有了梳理基础之后,才会有的放矢地实施相应的技术产品来进行零信任架构的落地。从最重要的IT资产开始,进入到良性循环之后,再往下一步落实,这样就可以在零信任的规划和成本上做一个比较好的平衡。
张晨强调,零信任是安全建设的指导架构和思想,在具体的技术监控和技术落地层面,会涉及到很多不同的技术,它们之间并不是相互替代的,实际上也不存在所谓的单一产品,即零信任网关。建议企业在咨询、规划、梳理好业务访问关系之后,有的放矢地根据企业需要的访问关系和保护的IT资产,来有针对性地选择简单、自动化、高效、高精准度的安全管理自动化平台。