前段时间,某家国内著名的保险企业突然遇到了**烦:由于疫情的蔓延,企业无法复工,但是出险理赔的工作反而因疫情的加重而变得更加繁忙。没办法,这家保险公司只能用远程办公的方式来开展日常理赔相关的工作了。
但是基于安全性等多方面考量,此前集团分配给各个分公司的VPN账号有限,无法满足全体理赔员工远程办公的需求。同时客户的出险记录又是极度隐私的保密数据,也不可能在没有数据保护的情况下随意使用。
这可是难坏了这家保险企业的CIO,
“刚刚开年就遭遇疫情,预算还没有批复下来,如何采购昂贵的VPN设备?”
“就算有预算,VPN采购周期长,还要涉及硬件的交付周期,时间拖不起啊…”
“实施也是个问题,疫情期间公司是不允许进场实施的…”
“部署VPN至少几个月的时间,那这段时间公司的理赔业务怎么办?”
“就算以上问题都解决了,以前大家都是在内网环境工作,现在是在家里,客户的隐私数据真的安全吗?如果泄露了这个罪我可担不起…”
其实这位CIO的问题不光在保险行业有,很多需要类似远程办公调用公司内网场景的企业都遇到了。
这就不得不说说我们已经熟知多年的VPN一路走到今天所面临的困境以及挑战了,为了方便小白理解(大神的话当我下面是废话),我们举个栗子:
这就像是一个小偷想要进入某户人家行窃是一个逻辑,如果是传统VPN的形式,那基本可以理解为以下两种场景:
1.小偷不是本小区的住户,如果他能够尾随业主进入小区的大门,再搞到一把业主的门钥匙,那么此次行窃就可以完成,业主发现失窃后唯一能做的就是通过监控以及一些蛛丝马迹让警察叔叔事后处理了。
2.小偷就是本小区的住户,他随时都可以自由进出小区,且没有人怀疑他,他也非常清楚每户人家的情况,知道谁家不锁门或者不关窗户,还知道小区所有摄像头的位置,那么基本上我们就可以判定,这种内部盗窃案破获难度更高。
其实这两个小故事主要就是阐述了两个VPN使用场景中常见的问题(或者说是VPN不可解决的两类缺陷),即外网用户如果获取了登录账号以及密码,则可以随意在内网中游走并获取关键数据。以及VPN技术无法从根本上防御来自内网的攻击以及监守自盗。
说了这么多,那位保险企业的CIO最后问题解决了吗?答案是肯定的,那么就请上我们今天的主角:零信任解决方案。
同样为了方便理解,我们再举个栗子:
如果还是这个故事场景,我们切换到零信任解决方案的形式,那么故事又会是什么结果呢?
还是那个小偷,还是那个小区,只不过这次小区的各个大门安装了人脸识别系统,***验证系统,指纹识别系统,声纹识别系统,虹膜扫描系统,祖宗十八代验证系统…
凡是进入本小区的人不管是谁,一律当作国际通缉犯对待。那么只要不是本小区的业主都无法进入。
如果小偷本来就是业主呢?没关系,这次小区里的每一条过道,每个单元门,每个住户门都有上文提到的祖宗十八代验证系统,而且是时时刻刻都在不停地验证,小偷不要动,哪怕只是挪上一小步都会被直接踢出本小区而且同时派出所报案,那么监守自盗这件事也就不会发生了。
所以不难看出,传统的VPN正在被一种更智能、更安全的网络安全方法所取代,这种方法将每个人都视为不受信任的人。随着企业转向更灵活、粒度更细的安全框架零信任(该框架更适合当今的数字业务世界),数十年来一直为远程工作者提供进入企业网络的安全通道的古老VPN正面临消亡。
通过上面的小案例和两个小栗子,说一说我们的观点:
VPN是基于网络周长概念的安全策略的一部分;可信的员工在内部,不可信的员工在外部。但这种模式不再适用于现代商业环境,因为在现代商业环境中,移动员工可以从各种各样的内部或外部位置访问网络,而且企业资产不在企业数据中心的墙后面,而是在多云环境中。这也就是开篇我们提到的保险行业在此次疫情中所提出的使用场景。
另外,随着时间的推移,VPN变得复杂和难以管理。它们笨重、过时,很多东西要管理,而且部署实施周期长且费用高昂。
像上文中提到保险行业中客户方提出的场景真真是做到了时间紧,预算低,数量多,要求高。传统的VPN从采购到硬件排产,运输,安装,调试,运行至少是4个月的工程,而零信任的解决方案经过实测,安装到上线只需要24小时。
那么零信任就没有任何短板吗?
也不尽然,首先我们必须要明确一件事:零信任不是一个产品或者技术,它是一个全新的安全概念,让我们以一种全新的视角去审视企业信息安全架构这件事情,中心思想是企业不应自动信任内部或外部的任何人/事/物,而是随时怀疑,随时验证。这就导致你不会从已有的案例或文献中找到固定的零信任部署路线图,同样它也没有所谓的行业标准,企业将面临上百种方案来解决问题。如果你想为企业做零信任安全又不知如何下手该怎么办呢? 还是找专业的零信任解决方案供应商吧!
来源:freebuf.com 2020-04-20 16:59:29 by: DataCloak
请登录后发表评论
注册