识别和保护连接与未连接公司网络的用户和设备
当安全保护主要集中在边界时,设法绕过边缘安全检查的攻击者、恶意软件和受感染设备通常可以自由访问内部的扁平网络或网段。它们有充足的时间占领阵地,升级权限,在网络上横向传播,识别和利用它们想要窃取、劫持或破坏的数据和资源。以边界为中心的安全性以及扁平、开放的网络环境解释了为何识别威胁的平均用时为 197 天,而修复还需要额外 69 天,通常就是因为该漏洞已经在网络中广泛传播。
常见问题是信任问题。当您将信任自动扩展到网络中的任何设备或用户时,如果设备或用户受到有意或无意的感染,您的组织将面临危险。Fortinet 零信任网络访问框架采用严格的网络访问控制,将围绕固有信任的开放网络基本模式转变为零信任框架,从而化解了这一挑战。
假设网络上的每台设备都可能受到感染,并且任何用户都能够破坏关键资源。采用新模式后,组织需要随时了解网络上的具体用户与设备。接下来,需要确保仅向这些用户和设备提供完成工作所需的最低级别网络权限。最后,无论用户的位置在哪、设备功能如何,应仅在必要的时候访问所需的任何资源。
Fortinet 的零信任网络访问框架利用一系列紧密集成的安全解决方案,帮助组织对寻求网络访问的所有用户和设备进行识别和分类,评估它们的内部安全策略合规性状态,自动将其分配到控制区,然后持续监控其在连接和非连接网络时的活动。要实现该目标,首先需要三个基本功能要求:
了解您网络中的设备
零信任网络访问策略的首要目标是实时统计网络上的所有设备。FortiNAC 准确地发现并识别连接网络或正在寻求访问网络的每台设备,对其进行扫描,以确保它未受感染,然后分析设备,以确定其角色和功能 - 是否为最终用户的手机或笔记本电脑、网络服务器、打印机或无界面物联网设备(例如 HVAC 控制器或者security badge reader)。
然后,FortiNAC 使用动态网络微分段,根据设备类型、功能和网络中的用途等多种因素将每台设备分配到适当的网络分区。它还支持 FortiGate NGFW 平台提供的基于意图的分段(Intent-Based Segmentation),可根据特定的业务目标对设备进行智能细分,例如合规性要求,包括 GDPR 隐私法或 PCI-DSS 交易保护。借助基于意图的分隔,资产将被贴上合规性限制标签(无论资产在网络中的位置如何),这样有助于减少合规性实施的时间和成本。
最后,FortiNAC 为这些设备提供持续的监控和响应。一旦设备开始表现异常,将被迅速识别,从而允许 FortiNAC 采取各种对策,例如将它们重新分配到隔离区,阻止它们实现目标访问或感染其他设备。
了解您网络中的用户
用户身份是有效的零信任网络访问策略的另一个核心部分。零信任网络访问的目标是确定每个用户的身份,以及他们在组织中扮演的角色,然后建立“最小访问策略”,该策略仅允许用户访问其角色或工作所需的资源,额外的资源则只能视具体情况提供。
用于双因素身份验证的 FortiToken 和用于 AAA 服务、访问管理和单点登录(SSO)的 FortiAuthenticator 等工具根据用户在组织中的角色,寻找和应用适当的访问策略。它们还支持 SAML 实施,以便在各方之间交换身份验证和授权数据,使用户能够安全地访问 SaaS 解决方案,例如 Salesforce、ADP 或 Office365。
可通过用户登录、多因素输入或证书等方式进一步验证用户身份,然后将其绑定到基于角色的访问控制(RBAC),从而将经过身份验证的用户与特定访问权限和服务进行匹配。
保护在线与离线的资产
监控连接网络的资产非常简单。问题在于许多设备是移动设备,包括员工的 BYOD 设备。它们被用于员工生活和工作中的多种用途。它们在未登录公司网络时可用于浏览网页,在社交媒体网站上进行交互以及接收个人和商务电子邮件 —— 这意味着它们通常暴露在威胁之下,而这些威胁可能上传至公司网络,使其他设备和资源面临危险。
波耐蒙研究所(Ponemon Institute)的一份报告显示,63% 的公司无法监控离线的端点,一半以上的公司无法确定端点设备的合规性状态。结合 Gartner 发布的警示,即 30% 的漏洞与内部人员有关(无论他们是否蓄意为之),您将意识到即使在断开公司网络连接时,也必须对访问关键网络资源的端点设备进行保护。
零信任网络访问通过基于客户端和云的解决方案化解了离网设备的挑战。FortiClient(包括Fabric Agent)与基于云的 FortiGuard Cloud 相互配合,可提供连续的端点保护,防止设备在连接或断开公司网络时受到感染。它还通过 VPN 连接、流量扫描、URL 过滤、沙盒以及共享端点安全状态(作为身份验证和授权流程的一部分),对网络资源进行安全的远程访问。这包括端点遥测(例如设备 OS 和应用)、已知漏洞、补丁和安全状态,以精调用于设备的访问规则。
零信任网络访问战略的优势
通过迁移至可识别、细分和连续监控所有设备的零信任网络访问框架,组织可以替换掉原有的高风险的扁平的网络,从而保证内部资源的安全,并确保数据、应用和知识产权始终受到保护。该策略不仅减少了以边界为中心的安全策略为组织带来的诸多风险,还提高了整个组织(包括离网设备)的可视性和控制力,同时简化了整体网络和安全管理。
热门专题
