安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能介绍
产品简介
下载中心
帮助中心
客户列表
关于安企神

全球主流零信任厂商的产品化实践与观察

最近更新时间:2022-06-21 10:44:43


本文简介:“零信任”这一概念已经被安全行业广泛应用,因为很多安全厂商都希望能从零信任的市场发展中获得收益。Gartner分析师认为,零信任架构(ZTA)是一种方法论或途径,而不是某个单独的产品或解决方案,因此,不能将任何单一产品或服务标记为完整的零信任安全解决方案,企业需要根据业务发展需要及当前安全防护的优先级,来选择适合自己的零信任架构。当前,市场上有许多安全厂商都宣称可以提供零信任产品或方案,但这些产品

全球主流零信任厂商的产品化实践与观察

“零信任”这一概念已经被安全行业广泛应用,因为很多安全厂商都希望能从零信任的市场发展中获得收益。Gartner分析师认为,零信任架构(ZTA)是一种方法论或途径,而不是某个单独的产品或解决方案,因此,不能将任何单一产品或服务标记为完整的零信任安全解决方案,企业需要根据业务发展需要及当前安全防护的优先级,来选择适合自己的零信任架构。

当前,市场上有许多安全厂商都宣称可以提供零信任产品或方案,但这些产品或方案常常功能各异,在一定程度上影响了市场的有序发展。为了更好了解当前零信任技术的产品化状况,本文对全球网络安全市场中的八家主流零信任方案厂商进行了分析。

1、Akamai:基于云的安全远程访问

Akamai的零信任产品直接源于这家厂商为其7000多名员工实施的零信任远程访问解决方案。Akamai的两款核心ZTNA产品是Enterprise Application Access(EAA)和Enterprise Threat Protector(ETP)。Akamai EAA旨在支持随时随地安全地远程访问企业内部资源。它是一种可识别身份的代理,面向希望替换或增强VPN及其他传统远程访问技术的企业。EAA使企业能够为合适的用户提供这种服务——需要时可以从任何地方安全地访问合适的应用程序。Akamai ETP则是一种安全Web网关(SWG),用于保护云端应用程序免受网络钓鱼、恶意软件、零日漏洞攻击及其他威胁。

Gartner将Akamai列为ZTNA市场收入排名前五的厂商。Forrester则认为它适合需要零信任安全托管服务的企业。但Akamai被认为在整体方案集成方面的能力有待改进。

2、Zscaler:基于云的应用程序隔离和保护

Zscaler致力于将应用程序访问与网络访问隔离开来,降低因设备中招和感染而对网络造成的风险。Zscaler Private Access是该公司基于安全服务边缘框架的云原生服务,旨在为在本地或公共云端运行的企业应用程序提供直接连接。通过该服务,确保只有获得授权、通过身份验证的用户才能访问企业的特定应用程序或服务,防止未经授权的访问和横向移动。

Forrester认为Zscaler的服务具有较高的可扩展性,适合已经使用其安全技术确保网络访问安全的企业。未来,Zscaler可能会针对服务器上的应用系统(如VoIP和SIP)加大支持力度。

3、思科:可基于使用场景提供三种ZTNA方案 

思科有三种不同的零信任产品,分别是:面向员工队伍的Cisco Zero Trust、面向工作负载的Cisco Zero Trust以及面向工作场所的Cisco Zero Trust。

第一类产品为设法确保只有受信任用户和设备才能访问应用程序的企业而设计,支持任何位置的访问请求;第二类产品适用于希望为所有API、微服务和容器实施零信任模型的企业;第三类产品适用于为IT端点客户端/服务器、物联网和OT设备以及工业控制系统实施ZTNA策略的企业。

第一类产品很接近其他厂商的ZTNA 产品,它面向希望让员工和其他第三方能够安全地访问应用程序的企业。该产品使安全管理员能够针对每个访问请求验证用户身份、识别有风险的设备,并实施上下文策略。

Gartner将思科列为ZTNA市场收入排名前五的厂商。Forrester声称,思科零信任产品基于从Duo Security收购而来的技术,因此非常适合已经采用Duo技术的企业。

4、思杰:实现应用层的访问控制

思杰的Secure Private Access是通过云交付的ZTNA产品,适用于需要替代VPN方案,并让用户能够安全地访问应用程序的组织。思杰将其服务定位于让企业可以实施自适应身份验证和访问策略,这些策略根据位置、行为和设备状态等因素控制用户可以访问的内容。

Citrix Secure Private Access仅在应用层对用户进行身份验证,防止可能已闯入环境的攻击者在网络上横向移动。与其他ZTNA产品一样,Citrix Secure Private Access持续监控所有应用程序访问,以发现可疑活动或设备状态/行为的意外变化。Forrester认为,作为一家传统的虚拟桌面和远程访问提供商,思杰拥有成熟的网关技术以保护用户对本地应用程序的访问。已经通过思杰搭建本地基础设施的企业可以很好地利用其ZTNA产品。

5、Forcepoint:ZTNA整合到更全面的SASE平台

Forcepoint的ZTNA产品是其Forcepoint ONE平台的一部分,该平台还包括Forcepoint的云访问安全代理(CASB)技术及安全Web网关(SWG)服务。

Forcepoint的ZTNA产品可以让企业无需代理即可访问本地数据中心和云端的私有应用程序;拥有托管和非托管设备的用户可以通过浏览器快捷方式或通过Ping Networks和Okta等单点登录门户网站,连接到企业应用程序。Forcepoint还为使用传统架构和胖客户端的企业提供基于代理的方案。

企业可以选择添加Forcepoint的CASB和SWG以支持其实施的ZTNA。CASB组件有助于保护和简化SaaS和IaaS租户的访问,同时防止恶意软件攻击和敏感数据泄露等。企业可以使用Forcepoint的SWG,根据风险和可疑活动等因素来监控与网站之间的交互。

6、Cloudflare:身份验证和访问控制的托管服务

Cloudflare的ZTNA产品是一项托管服务,旨在让企业可以使用通用策略替换VPN连接方法,通用策略可基于身份和上下文授予用户访问内部应用程序的权限。该服务让企业能够以两种方式连接到公司资源:一种是通过客户软件访问非HTTP应用程序,路由到私有IP地址和远程桌面协议(RDP);另一种模型是无客户软件,这意味着Web浏览器被用于连接Web、安全外壳协议(SSH) 和虚拟网络计算(VNC)应用程序。

针对用户身份验证,Cloudflare Access支持多种身份和访问管理平台,包括Azure Active Directory、Okta、Citrix、Centrify和Google Workspace。当企业根据零信任规则评估设备状态时,Cloudflare Access可以使用来自CrowdStrike、Carbon Black、SentinelOne及其他厂商端点保护技术的监测数据。

Gartner在2020年将Cloudflare列为ZTNA即服务这个类别的代表性厂商。Forrester也关注到Cloudflare Access可与多家身份和访问提供商集成这个优点,但与终端安全控制集成是Cloudflare有待改进的一个方面。

7、Appgate:为访问控制提供托管选项

Appgate的ZTNA产品为AppGate SDP。与其他零信任访问技术一样,AppGate SDP使用设备、身份和基于上下文的信息,授予用户对企业资源的最低特权访问。Appgate SDP架构为混合、多云和本地企业设计,由两个可以作为服务或托管设备使用的核心组件组成。

一个组件是Appgate SDP Controller,充当策略引擎和策略决策点,为访问企业资源的用户执行身份验证、访问策略和权限等任务;另一个组件Appgate SDP Gateway,充当策略执行点,该组件根据SDP Controller的决定来控制用户对企业资源的访问。

Appgate提供额外的可选组件,如满足物联网和分支机构需求的Connector,以及让用户使用浏览器即可访问企业资产的门户网站。Forrester指出,Appgate是该领域为数不多的专注于ZTNA而不直接采用整个零信任边缘(ZTE/SASE)安全模型的厂商之一,其技术适合希望托管ZTNA功能的企业。

8、Netskope:快速部署和易用性是最大亮点

Netskope的Private Access(NPA)ZTNA是该公司更广泛的Security Service Edge技术组合的一个组件。企业可以用它将已验证身份的用户连接到应用程序,将应用程序访问与网络访问分开,并确保用户只能访问已被授权的特定资源。它让安全管理员可以根据设备状态、用户身份和用户所属组来实施细粒度的访问策略。Netskope Private Access适用于希望能够安全地远程访问私有Web 应用程序的企业,为其提供无客户软件的浏览器访问服务。

Netskope Private Access有两个部署组件:安装在设备上的轻量级客户软件和Private Access Publisher,后者建立从企业到Netskope云的出站连接,以减小入站访问请求带来的风险。Forrester表示,Netskope在设备状态安全方面表现出色,客户认为其部署仅需数周,而其他厂商则需要数月。这家厂商有待改进的一个方面是需要支持更多身份提供商。



VPN应用安全风险和零信任实践初探

一、什么是VPN?

       VPN是虚拟专用网络的缩写。顾名思义,它是在两个或多个物理网络(或设备)之间通过互联网/公共网络创建的虚拟网络,以创建扩展的专用网络,以帮助用户/设备发送和接收数据,就好像用户是直接连接的一个私人网络。这意味着VPN中的应用程序可以获得相同的功能,并且可以像在专用网络中一样进行管理。

二、为何使用VPN?

       互联网上的每个设备都有一个公共IP地址,用于使用浏览器,命令行或任何其他方法识别和连接该设备。为此,数据通过互联网发送,并包含IP地址等信息,如果您通过不安全的网络进行拦截,则可以截获这些信息。为了保护通过互联网传输的身份,隐私和数据,VPN用于在两个设备/网络之间建立专用连接。

三、VPN使用的企业场景有哪些?

       VPN可以在各种场景中使用,其中最常见的是从办公室远程工作的人想要通过互联网使用安全的网络连接从办公室访问设施,网络,文件等,就像他们在办公室工作一样。这也可以称为点对点VPN连接。另一种常见情况是公司在不同的地理位置有许多办事处,并希望通过互联网建立私人连接以连接这些办公室/网络。这也称为站点到站点连接。由于连接是通过公共网络进行的,为了保护数据安全并防止窃听,授权访问以保护数据丢失,在VPN提供的两个网络/设备之间建立安全和加密的专用连接变得很重要。

      对于企业而言,VPN可用于连接到他们的云环境,这可以帮助他们创建扩展网络来存储,处理等数据和信息。在个别情况下,VPN可用于隐藏您的公共IP地址和地理位置,因为您通过互联网的所有请求都是从您已创建VPN连接(隧道)的服务器发送的。

四、VPN带来的网络信息风险

1、管理安全风险

管理是网络中安全**重要的部分。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。

当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。

2、黑客攻击

黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入UNIX服务器中,用以监听登录会话。

3、恶意代码

恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。需要加强对恶意代码的检测。

4、通用网关接口漏洞执行非法任务

有一类风险涉及通用网关接口(CGI)脚本。许多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点寻找特定信息。搜索引擎是通过CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。

本文为 零信任 收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/9401.html