宁盾物联网终端准入之新一代终端准入能力：可视化、自动化、智能化 – 作者:宁盾nington

每时每刻都有新的设备加入您的网络，未授权的笔记本、BYOD、访客终端及各种各样的IoT终端。越来越多的物联网及互联网OT设备向以IP为基础的IT设备转型。预计到2020年，全球将有270亿终端，其中100亿活跃于企业网络。

随着内网对外开放接口引进云业务；Wi-Fi覆盖范围不可控；外网BYOD及访客终端未经许可轻易进入内网…内外网边界逐渐模糊，传统以内外网边界为主的网络安全产品难以满足移动化及物联网发展趋势。对此，Forrest认为：“零”信任模型应建立在假设任何访问组织数据的人或设备对企业构成威胁的基础上的。那么就需要：

•    如何知道企业内有哪些终端？

•    如何找到这些终端？

•    如何绑定用户及终端行为？

•    如何确定终端的安全合规性？

宁盾新一代终端准入引擎（NDACE）基于Forrest的“Zero Trust Model”，不信任接入企业的的任何终端，致力于为企业构筑终端可视化、管理自动化的终端安全准入管理平台。对此：

•    可视化接入企业业务范围内的一切IP终端；

•    自动化“检测-控制-隔离”非合规终端；

•    深度学习终端安全行为，智能化判断终端风险；

•    降低运维管理成本，让IT做更有意义的事情。

一、可视化终端管理

1、发现并识别接入企业的一切IP终端

从办公终端到数据中心、从云端到生产线终端，宁盾终端准入引擎（ND ACE）主动探测接入网络的一切IP设备， 包括终电脑、手机、网络设备、服务器、生产IoT等的端类型、操作系统、设备厂商及用途、终端网路信息及安全状态。

2、可视化网络拓扑

可视化企业全网网络拓扑，直观展示终端上下游结构，并快速定位终端位置：一个交换机上连接了多少AC，每个AC上连接多少AP，每个AP上连接了多少IoT等；帮助企业合理分配网络及终端资源，监控终端资产是否正常运行、位置变动等等。

3、可视化终端安全合规状态

宁盾终端准入通过直观或折叠的方式将终端信息展示于终端运维中台，帮助运维人员实时监控终端运行状态及合规性状态，比如新增未知终端类型、新增未安装杀毒软件的终端、运行大型网游的终端、新接入的BYOD终端等等，并可快速定位到员工，落实企业网络安全管理制度。

二、终端自动化“检测-控制-隔离”合规管理

1、终端入网合规性检测

基于“零”信任安全架构模型，宁盾终端准入引擎不信任任何接入网络的终端，提供客户端、非客户端AD及IoT终端检测三种方案，并自动实时检测入网终端及网络内运行终端的合规性。

•    笔记本办公端：CPU占用率、内存、用户身份、检查是否安装杀毒软件、补丁版本是否更新、是否安装合规应用、运行了哪些应用、是否私接路由，防止非法U盘的使用及BYOD进入企业内网…

•    IoT终端：针对IoT终端常见问题，如IP/MAC地址伪造、弱密码等现象，检测IoT终端类型、弱密码、可攻击漏洞等，防止黑客利用IoT终端非法入侵企业信息资源…

•    BYOD：BYOD，又可称为员工自带设备，因其特殊性及员工需要，可通过检测终端类型、合规性状态自动划分至企业外网，并通过检测是否开启虚拟热点，自动控制电脑端合规性状态，以防止BYOD进入企业内网。

检测过程由宁盾终端准入控制引擎自动化完成！

2、终端准入控制

在终端检测的基础上，企业可结合ND ACE准入条件对终端定义终端合规性，并对合规性及非合规性终端执行对应准入控制操作，比如合规性终端的自动分类匹配，帮助企业运维人员实现终端自动过滤功能。

•    终端合规性自定义条件：IP/MAC地址、终端类型、是否为域用户、是否安装杀毒软件、杀毒软件是否允许、病毒库是否过期、补丁版本是否更新、是否安装了非合规应用、运行了哪些应用、是否开启虚拟网卡、U盘是否合规…

•    控制策略：虚拟防火墙、VLAN、IP地址段、业务标签，大部分情况下使用更为方便、灵活标签自定义业务模型。

•    权限及业务划分： ND ACE根据终端属性控制其可访问的应用、可使用的网络设备、可进入的网段等，并对同一类符合条件的终端进行归类，比如只有研发终端才允许使用JIRA， 摄像头只允许访问部分数据库资源等。

•    动态控制：终端运行是动态的，终端用户的行为是动态的，所以准入控制也是动态的。比如某终端入网的时候是合规性，但因开启虚拟热点，即判为不合规，并降低划分至其他网段。等等。

准入条件：

控制策略：

3、非合规终端自动化隔离

根据不同部门、不同业务、不同场景的需求，分别可对没有安装杀毒软件的笔记本终端、BYOD、私接的路由器终端、非合规U盘等进行自动化隔离。另外对于一些特殊领域的终端，尤其是生产区不允许自动化隔离的终端，宁盾NDACE可在检测后将告警信息发送至运维人员，由运维人员进行管控操作。

三、智能化风险评测

传统运维采用定期排查的方式，持续时间长、人力成本高，更无法及时发现和定位终端安全隐患。宁盾终端准入通过深度学习终端行为，自动化完成终端画像，智能评测终端安全状态。例如正常情况下摄像头只对对终端服务器传送资源，如果某一天开始访问并下载资源，则可认为其被非法入侵。通过机器的深度学习，宁盾终端准入可帮助运维人员实现肉眼不可见的安全隐患并及时阻止事件的恶化。

宁盾终端准入核心价值：

基于“零”信任安全架构，宁盾新一代终端准入控制不信任未经检测就访问企业业务的一切终端，以确保只有合规性终端才允许访问企业业务。

可视化终端资产：让原来不可见的终端类型及数量直观展示于企业运维面前；

自动化运维：帮助运维人员摆脱“事必躬亲”的疲劳状态，提升运维效率，摆脱“小本本”的运维方式；

智能化风险评测：提升终端安全合规性，让肉眼看不到的风险及时被发现，阻止非常规操作及安全隐患。

来源：freebuf.com 2019-01-31 19:11:45 by: 宁盾nington