虚拟专用网(VPN)一直都是企业远程接入的首选方案,业务人员靠它访问公司OA、邮箱、CRM,开发人员靠它访问测试环境、代码库,运维人员靠它远程登录运维系统。但随着云计算、5G的快速发展,远程办公、协同开发成为常态,很多企业忽然发现,用了那么多年的VPN,竟然成了自己最大的安全隐患……
VPN,越来越不安全
VPN是基于传统边界防护开发的产品,通过在互联网上建立加密隧道,实现外网到内网的访问。因为连接机制、认证方式上的固有缺陷,VPN非常容易成为攻击者进入企业内网的“突破口”:
1、VPN暴露在互联网上,易被攻击者利用: VPN采用“先连接后认证”的机制,设备IP和端口在互联网上公开可见,攻击者既可以利用DDoS攻击耗尽VPN设备资源,影响正常登录,也可以利用0day漏洞攻陷VPN设备进入企业内网,把加密隧道变成任意进出的“后门”;
2、VPN采用静态认证,易遭到拖库撞库攻击:VPN多采用账号+密码的方式,攻击者一旦用拖库撞库等方式攻击得手,就可冒用员工身份进入企业内网,窃取机密数据,传播网络病毒;
3、登录设备和环境不可控,终端易成为攻击者“跳板”:传统的VPN客户端只有接入功能,无法监测终端的安全状态。登录设备如果没有安装防护软件或使用不安全的网络,有可能被攻击者入侵,成为他们越过安全边界进入企业内网的“跳板”。
芯盾时代零信任安全接入网关(ZVG)
远程接入是刚需,VPN又不安全,于是越来越多的企业把目光了转向了更适应边界模糊化网络环境的零信任理念。利用基于零信任理念的产品方案替换VPN,重构远程接入系统,成为了企业的新需求。
芯盾时代零信任安全接入网关(ZVG),打破传统以网络边界为信任的条件,从身份、设备、行为等维度展开全方位防护。ZVG利用SPA单包授权对可信客户端进行预认证。SPA单包授权是一种轻量级的安全协议,只使用单个数据包进行访问申请,通过将所有必要信息集成在单个数据包内来简化敲门流程,在允许访网络前,先验证设备和用户身份,拒绝一切非法连接,实现端口隐藏,以此达到业务网络隐身,攻击者无法找到服务地址和端口,有效缩小企业的资源暴露面。
同时,ZVG提供安全基线检测和移动免密认证,保障企业在远程办公场景的网络安全与业务安全,让企业用户与合作伙伴能够使用任意设备,在任意地点、任意时间,以最小化权限安全地访问企业资源,是替换VPN的理想方案。
比VPN更安全,比VPN更便捷
相比VPN,芯盾时代零信任安全接入网关(ZVG)在安全性与便捷性上优势显著。借助ZVG,企业可实现以下效果:
1、缩小资源暴露面,实现企业“网络隐身”:采用“先认证后连接”的机制,利用SPA单包授权,在允许访问控制器、网关等相关系统组件所在的网络之前先检查设备或用户身份,实现零信任“先认证再连接”的安全模型;网关执行默认“Deny All”策略的高性能流量过滤,默认丢弃所有未经验证的TCP和UDP数据包,不响应那些连接请求,不为潜在的攻击者提供任何关于该端口是否正被监听的信息,隐藏服务,缩小攻击面,缓解DDOS攻击,强化0day漏洞保护,成为恶意流量的“黑洞”;
2、实现多因素认证,认证安全体验好:结合用户所知、所持、所有进行身份认证,提供用户名+密码、扫码、短信验证码、一键确认(APP、微信、钉钉)、人脸识别等多种认证方式,多因素认证可通过自研APP进行,简化认证流程,提升认证体验;
3、终端安全基线核查,不安全的设备不接入:多维感知终端环境风险、病毒与系统漏洞等安全基线,避免不安全的设备接入系统,提升远程接入安全性。
远程办公更安全,攻防演练拿高分
芯盾时代零信任安全接入网关(ZVG)从企业的实际需求出发,适用于用户远程办公、VPN替换、攻防演练三大场景:
1、远程办公:能够满足政府、教育、医疗、金融等各行业用户,在办公、开发测试、运维等场景中的远程接入的安全需求,提升远程办公的安全性和便捷性;
2、VPN替换:改VPN“先连接后认证”的模式为“先认证后连接”,通过端口隐藏、多因素认证、安全基线检测,有效提升远程接入的安全性;
3、攻防演练:通过SPA单包授权,帮助企业“网络隐身”,使攻击者无法扫描探测到任何信息,大幅缩小暴露面,曾帮助客户在上级组织的攻防演练中实现0失分。
芯盾时代零信任业务安全接入网关(ZVG)还满足等级保护和密码应用安全性测评要求,支持国产化适配,能够满足客户的合规需求。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
关键词: