名为软件定义边界 (SDP) 的远程访问新范式采用零信任方法,以基于身份的细粒度访问代替广泛的网络接入,提供重要 IT 资源访问。
仅仅几年之前,大多数工作还是在办公室里完成的。但如今,大量工作都开始陆续通过远程执行——至少远程工作时间占比很高。员工可在机场、咖啡馆、酒店和火车上接入工作网络。相当多的工作者,比如雇员或承包商,绝大部分时间都是在家或在 WeWork 这样的共享办公空间远程工作。
这一转变对旨在保护边界的企业安全造成了重大影响。企业虚拟专用网 (VPN) 是提供安全远程访问最常见的解决方案,不仅赋予远程工作者企业网络接入,还可使他们能够访问该网络上的应用和数据。但这种局域网 (LAN) 上用户天然 “可信” 的过时认知,给攻击者留出了广阔的攻击空间。
幸运的是,名为软件定义边界 (SDP) 的远程访问新范式采用零信任方法,以基于身份的细粒度访问代替广泛的网络接入,提供重要 IT 资源访问。SDP 保护企业免受多种威胁及黑客技术侵害,防止罪犯成功攻破企业网络。
本文中,担任过 Meta Networks 首席执行官,目前任职 Proofpoint 零信任产品副总裁的 Etay Bogner 将为我们点出企业 VPN 无法抵御的八种常见安全威胁,揭示 SDP 在直面此类威胁时的有效性。
威胁 1:中间人
攻击者将自身置于用户与应用的会话中间,窃听或伪装其中一方,使信息交流看起来仍像正常进行一样,这样的攻击就叫做中间人攻击 (MITM)。SDP 和 VPN 解决方案都能通过加密隧道提供针对 MITM 攻击的防护。但 SDP 部署全面,始终在线,可全程保护 Web 流量,提供企业网络安全访问。而很多传统 VPN 解决方案为节省开支和降低延迟,采用单独的隧道直接发送 Web 流量,将终端置于风险之中。SDP 却通过保护开放终端解决了这个问题。
威胁 2:DNS 劫持
DNS 劫持是接入公共 WiFi 网络工作的又一危害。黑客可介入 DNS 解析,将用户导引至恶意站点而非其意图访问的合法网站。使用恶意软件或未授权修改服务器均可达成此目的。黑客一旦控制了 DNS,就能将通过此 DNS 上网的其他人引至假冒网站——布局相似,却包含额外的内容,比如广告等。也可以将用户导引至包含恶意软件或第三方搜索引擎的页面。而始终在线的 SDP 解决方案依托网络即服务架构,使用策展式安全 DNS 服务执行解析,抵御 DNS 劫持攻击。
威胁 3:SSL 剥离
SSL 剥离属于 MITM 攻击的一种,将终端与服务器间的通信降级至非加密形式以便能够读取其内容。防止 SSL 剥离的一种方式是安装 HTTPS Everywhere 浏览器扩展,强制各处均采用 HTTPS 通信,阻止不请自来的攻击者将通信降级为 HTTP。SDP 也能阻止此类威胁,通过以加密隧道发送所有流量加以缓解。
威胁 4:DDoS
分布式拒绝服务 (DDoS) 攻击中,应用因遭遇流量洪水过载而无法响应正常请求。由于是分布式的,此类攻击非常难以阻止。拒绝服务攻击的特征就是攻击者明显要阻塞服务的合法使用。
拒绝服务 (DoS) 攻击主要有两种形式:搞崩溃服务的,以及淹没服务的。最严重的攻击就是分布式的。由于保护的是应用而非终端用户设备,SDP 解决方案对两种 DDoS 攻击都有效。SDP 模型中,应用(以及托管这些应用的基础设施)并不直接接入互联网。SDP 解决方案作为网关拦阻一切未授权访问。
威胁 5:端口扫描
黑客运用端口扫描定位网络上可利用来攻击的开放端口。安全管理员必须留意与端口扫描相关的两大主要关注点。首先,与开放端口及其服务提供程序相关的安全及稳定性问题。其次,与通过开放或关闭端口运行于主机上的操作系统相关的安全及稳定性问题。由于 SDP 解决方案将所有网络资源与互联网隔离,黑客无法利用此技术找出进入的途径。
威胁 6:可蠕虫化漏洞利用
就像近期频登媒体头条的 BlueKeep,蠕虫就是可以从一台机器爬到另一台机器的漏洞利用。有什么可大惊小怪的?因为用户只要进入网络就会被感染——无论可信网络还是非受信网络。换句话说,杀毒软件和 EDR 等常规终端安全平台阻止不了此类漏洞利用,用户安全意识培训也无甚帮助。因为无需用户操作,仅需用户的笔记本电脑或手机接入网络的同时有台被感染设备也接入了同个网络即可。由于网络上利用了蠕虫,大多数情况下,企业防火墙或 VPN 无法缓解 BlueKeep 类漏洞利用。零信任 SDP 为用户提供独特的固定身份和微隔离访问,仅供访问所需的资源,如此一来,被感染设备对整个网络产生的影响就非常有限了。
威胁 7:暴力破解攻击
与 DDoS 类似,暴力破解攻击也是黑客通过反复登录尝试,获取网络或应用访问权的方式之一。SDP 解决方案可立即检测到失败的登录尝试,同时注意到可疑地理位置或登录时段、设备状态改变和终端杀毒软件缺失或被禁用的情况,从而拒绝访问。
威胁 8:遗留应用
很多遗留应用设计时没考虑过从互联网访问的情况,缺乏现代软件即服务 (SaaS) 应用默认的基本安全措施。通过 SDP 解决方案限制对遗留应用的访问可以将这些应用与企业网络和互联网隔离,增加适应性控制措施以降低风险。
从不掉线的软件定义边界在应用层守护网关安全,把守通往云基础设施及其相互之间的交通要道,构筑健壮的安全框架。加之甚至第三方应用提供商都无法刺探通信的加密功能,SDP 为迈向云的公司企业承诺了理想的高安全边界。