|
雖然聽(tīng)起來(lái)有點(diǎn)夸張���,但別信任何人或任何事的概念已成為網(wǎng)絡(luò)安全的新范式�����。過(guò)去��,我們會(huì)將內(nèi)部網(wǎng)絡(luò)視為可信��,而將外部網(wǎng)絡(luò)視為不可信����。隨著內(nèi)部威脅和高度復(fù)雜惡意軟件的擴(kuò)散,這一概念不僅早已過(guò)時(shí)��,而且非常危險(xiǎn)��。 零信任概念改變了規(guī)劃和執(zhí)行現(xiàn)代網(wǎng)絡(luò)安全策略的方式�����。物理設(shè)備���、軟件產(chǎn)品或云服務(wù)等任何安全屏障均無(wú)法被視為具有足夠的安全性�����。任何企業(yè)均無(wú)法被視為是可以由自身外圍防御設(shè)施所保護(hù)的安全堡壘。任何網(wǎng)絡(luò)均無(wú)法自動(dòng)“OK”��。直截了當(dāng)?shù)卣f(shuō)��,組織必須不再信任其網(wǎng)絡(luò)內(nèi)外的任何事或任何人�����。 自零信任概念提出以來(lái),已經(jīng)出現(xiàn)了大量新的微細(xì)分解決方案以將其從理論運(yùn)用到實(shí)踐�。微細(xì)分應(yīng)用程序和環(huán)境背后的想法是,為執(zhí)行安全策略�����,組織必須能夠控制網(wǎng)絡(luò)上各點(diǎn)之間應(yīng)該或不應(yīng)該允許的通信���。為實(shí)現(xiàn)這一目標(biāo)���,網(wǎng)絡(luò)活動(dòng)被分解為可以單獨(dú)得到保護(hù)的最小單個(gè)進(jìn)程。在零信任范式下���,機(jī)器�、網(wǎng)絡(luò)和 IP 地址都進(jìn)行了細(xì)分���,同時(shí)對(duì)每個(gè)組件和組件之間的訪問(wèn)都根據(jù)嚴(yán)格應(yīng)用的安全策略和身份驗(yàn)證來(lái)限制�。 微細(xì)分的要求十分苛刻����。在一個(gè)真正的微細(xì)分網(wǎng)絡(luò)內(nèi)��,IT 團(tuán)隊(duì)必須跨人員�、網(wǎng)絡(luò)�����、設(shè)備和工作負(fù)載管理大量數(shù)據(jù)進(jìn)程����。一個(gè)小的錯(cuò)誤配置就可能會(huì)使組織的工作效率倒退一天。此外�,差別極小的訪問(wèn)和身份驗(yàn)證過(guò)程可能會(huì)造成不良用戶體驗(yàn),并可能進(jìn)一步阻礙生產(chǎn)效率��。 更重要的是����,雖然微細(xì)分和相關(guān)解決方案在保護(hù)網(wǎng)絡(luò)以及每個(gè)人和每件事的數(shù)據(jù)方面已經(jīng)有很長(zhǎng)的歷史,但在真正鎖定網(wǎng)絡(luò)內(nèi)外的所有內(nèi)容方面仍然存在差距��。
微細(xì)分未能應(yīng)對(duì)的風(fēng)險(xiǎn)領(lǐng)域之一就是 Web 瀏覽�。盡管瀏覽在當(dāng)今的商業(yè)環(huán)境中必不可少�,但它仍然是一個(gè)可讓惡意軟件滲透到組織中的非常開(kāi)放的漏洞�����。雖然可以將內(nèi)容細(xì)分到核心內(nèi)容�����,但卻無(wú)法阻止勒索軟件變種�����,跨站點(diǎn)腳本攻擊和偷渡式下載等基于瀏覽器的惡意軟件在網(wǎng)絡(luò)中立足�。惡意軟件繞過(guò)接口后,就會(huì)進(jìn)入您的端點(diǎn)設(shè)備���,然后進(jìn)入您的網(wǎng)絡(luò)���。 零信任的倡導(dǎo)者通常的解決方案是將可信站點(diǎn)列入白名單,同時(shí)拒絕訪問(wèn)所有其他站點(diǎn)�。但事實(shí)一次又一次證明,將訪問(wèn)限制到已知的必需站點(diǎn)只會(huì)阻礙生產(chǎn)效率�。有限的訪問(wèn)給 IT 人員和最終用戶都帶來(lái)了障礙,用戶被迫請(qǐng)求和等待訪問(wèn),而 IT 人員則必須將注意力從更重要的戰(zhàn)略優(yōu)先事項(xiàng)轉(zhuǎn)移到管理此類請(qǐng)求并給其授予訪問(wèn)權(quán)限�����。 此外����,即使企業(yè)可以將員工必需的每個(gè)網(wǎng)站都列入白名單,但仍然容易受到通過(guò)合法網(wǎng)站滲透的惡意軟件的攻擊�����。無(wú)法確切知道給定網(wǎng)站的后臺(tái)進(jìn)程���,即便是已經(jīng)列入白名單的網(wǎng)站���。網(wǎng)站總是有可能在“惡意廣告”活動(dòng)中受到惡意軟件的感染 因此,盡管網(wǎng)站在技術(shù)上是“信任”網(wǎng)站��,但仍會(huì)向用戶傳播惡意軟件���。即使是 URL 過(guò)濾�����、反網(wǎng)絡(luò)釣魚(yú)列表����、Web 網(wǎng)關(guān)以及其他類型的過(guò)濾和篩選解決方案也無(wú)法完全阻止來(lái)自 Web 的威脅�。因此,當(dāng)前的零信任范式為瀏覽器傳播的惡意軟件留下了滲透網(wǎng)絡(luò)的空間�����。 遠(yuǎn)程瀏覽器隔離對(duì)于 Web 也采取零信任策略��。零信任概念也必須擴(kuò)展到瀏覽器才能達(dá)到百分百安全��。 采用遠(yuǎn)程瀏覽器隔離后��,Web 內(nèi)容均不被信任�����。每個(gè)網(wǎng)站�����、每段內(nèi)容以及所有下載都受到同樣的極端懷疑�。無(wú)需白名單或訪問(wèn)請(qǐng)求,同時(shí)用戶可以正常與其所需的任何站點(diǎn)交互。 所有瀏覽都在位于網(wǎng)絡(luò)隔離區(qū)或云中的一次性虛擬容器中發(fā)生�����,遠(yuǎn)離易受攻擊的資源����。用戶可以實(shí)時(shí)訪問(wèn)網(wǎng)站和應(yīng)用程序,而不受任何基于瀏覽器的威脅�。當(dāng)該瀏覽標(biāo)簽關(guān)閉時(shí),虛擬容器及其所有內(nèi)容都被銷毀�。任何不受信任的內(nèi)容均無(wú)法進(jìn)入端點(diǎn)設(shè)備,正常工作流也不會(huì)被中斷����。遠(yuǎn)程瀏覽器隔離意味著整個(gè) Web 不再對(duì)您的組織構(gòu)成威脅。 事實(shí)上�����,零信任的概念仍然使組織處于瀏覽器傳播的惡意軟件的風(fēng)險(xiǎn)中�����。雖然在當(dāng)今不斷變化��、高度復(fù)雜的威脅格局中,不信任“任何人和任何事”是明智之舉�,但如果將其作為一種新的范式,那么這種明智之舉必須應(yīng)用到所有方面才有意義�。遠(yuǎn)程瀏覽器隔離是將零信任提升到下一個(gè)級(jí)別,給組織帶來(lái)真正安全的解決方案����。
|
