“零信任”时代加速VPN消亡，360安全接入云为企业穿上“隐身衣”

严峻的疫情形势带来重大社会变革，如果说有什么正面意义的话，从某种程度上来说，它将远程办公风口提前引爆，就此正式拉开了“移动云安全”时代下中国数字化转型的大幕。

疫情催生出一场史诗级的全民远程办公，在这一行业新常态刺激之下，全球企业VPN（虚拟专用网络）需求激增。自VPN面世以来，通过为企业提供加密的安全通信信道与数据传输渠道，“VPN+防火墙”的组合成为传统企业网络安全互联的最佳搭配。

可以说，远程办公能够实现的核心就是VPN。远程用户或商业合作伙伴可通过 VPN 隧道穿透企业网络边界，访问企业内部资源，即使不在企业内部也能享有本地访问权限。

VPN不再安全：漏洞攻击频频发生


最近，360安全大脑独家捕获一起境外APT组织Darkhotel(APT-C-06)，利用某VPN服务商设备漏洞，实现入侵劫持并下发恶意文件的APT攻击活动，我国多处驻外机构及相关政府单位遭遇不同程度的攻击。

这个实打实的APT攻击报告，暴露了VPN在设备层面的安全风险：网络犯罪分子通过扫描发现未打补丁的大量VPN设备，获得远程访问的权限后，查看管理日志，获得管理员密码，进而访问整个网络，禁用多因素认证手段，从而使得整个IT系统瘫痪。

然而，这样的做法并非孤例，传统VPN现在已成为网络犯罪分子的最爱目标，此类安全事件也变得越来越普遍。


VPN不安全性的第二层：

“无边界”的冲击


当然，VPN本身的漏洞只是不安全性的第一层面，“无边界”冲击才是VPN不能满足政企安全需求更为致命的原因。

什么是“无边界”？

在过去，传统的安全架构会虚构一个很清晰的“内外边界”，它被视为企业安全的“护城墙”。就像企业的服务器和终端设备主要应用在内网之中，并在数据中心的边界部署一堵“墙”来阻止外部威胁——这也就是大家熟知的基于防火墙物理边界的防御模型。

现如今，传统的安全边界正在失效。更进一步来讲，是云计算、移动互联网、IoT、5G等新技术的崛起，使企业的IT架构从“有边界”向“无边界”转变。

这其实非常好理解，假如企业要拥抱云计算，就不可能把所有云都装到自己的防火墙里；假如企业要拥抱移动办公、IoT，也不可能把防火墙修到每个端点；假如企业还要拥抱大数据、人工智能，就不可避免与外部合作伙伴发生数据的交换……因此，防火墙这种物理安全边界已经过时。

说到这里，我们就不得不提及一个关于VPN构建和部署的前提，那就是基于企业边界。VPN的整个人为设定是“内网可信，外网高危”。换言之，VPN依赖“边界”作为安全判别，并授予那些远程访问和移动员工隐式或显式信任，只要是边界之内的局域网用户就“天然可信”。

这种VPN的过时认知是致命的，会给攻击者留出更广阔的攻击空间。因为“无边界”之下，意味着威胁来自任意位置，任何设备或被盗用户凭证都有可能被用作入侵网络的支点。即便是内网，危险性也很大，更大的网络攻击面、更复杂的网络攻击裹挟着安全威胁也随之而来。


“零信任”概念，恰逢其时


时代变了，网络访问的游戏规则也变了。“边界下的访问”走到了尽头，不过，厂商们是冷静的，它们还是找到了适合这个时代的生存法则。某种意义上，“零信任”就是目前最理想的方式。

零信任，顾名思义，其核心思想是不信任网络内外部任何人、设备、系统，该模型具有“永不信任，始终验证”的原则。它要求在授予访问权限之前，对试图连接到企业的应用程序或系统的每个人、设备、帐户等进行验证。

零信任安全，是以身份为中心，进行网络动态访问控制，在当前基于边界的企业安全防护体系正在消弭的背景下，零信任安全已成为下一代主流安全技术路线，因为，零信任的前提是不信任，只有不相信任何人，才能去相信你能够相信的。

基于“零信任”的SDP技术，

怎么解决这些问题？


在传统安全机制不能满足企业移动性、动态性、实时性要求时，一场“云时代”、“无边界”时代背景下的网络安全架构的技术革命正在进行。基于“零信任”的SDP技术正在替代VPN技术。

SDP的全称是Software Defined Perimeter，即“软件定义边界”，是国际云安全联盟CSA于2013年提出的基于零信任（Zero Trust）理念的新一代网络安全模型。

企业访问权限的赋予，不应该是静态的“信任假设”，而应该是动态的“实时控制”。所以，SDP零信任的设计理念正是“先鉴权、后联接、再访问”。这是以用户身份为中心，不再区分内网和外网，所有的连接都是零信任的，甚至建立连接之后，每一个互访都要进行再次的验证。

SDP技术正在发挥出更多的技术优势，尤其是“零信任”时代，SDP技术甚至正在牵引远程访问的新定义。

首先，我们看一下SDP的安全优势：

（一）最小化攻击面，降低安全风险。尽管公司员工、外包人员、合作伙伴等内部设备不断增加，但SDP的所有用户和设备都受到访问控制，甚至精确到如复制、截屏、打印此类最容易信息泄露的访问行为，能做到颗粒度更小的风险监测；

（二）具备网络隐身功能，避开潜在网络攻击。一方面IT管理者可屏蔽虚拟边界之外的特定用户，同时最小化网络端口的开放，以减少因为网络协议自身漏洞造成的攻击，这样可有效避免网络攻击面，提高全域网络安全；

（三）允许预先审查，安全性能大幅提升。SDP提前审查控制所有连接，从哪些设备、哪些服务、哪些设施可以进行连接，都必须预先获得相应权限的“通行证”，所以它整个的安全性方面是比传统的架构更有优势。

另一方面，从企业运营角度来看，SDP技术的运营优势同样兼顾了企业的发展需求：

众所周知，以VPN为核心传统企业网络安全模型需要大量设备和人力去运营，成本高且灵活性差。而SDP的运营优势在于，不仅为企业降低设备采购和支持的成本，以及工作人员操作设备的复杂性，甚至提高IT运维灵活性，更快满足、响应业务和安全需求。

除此以外，SDP和云架构也能“无缝衔接”。SDP通过降低所需的安全架构，支持公有云、私有云、数据中心或混合云环境中的应用程序，可以帮助企业快速、可控和安全地采用云架构。


企业安全访问的最佳实践：

“360安全接入云”助力企业云隐身


基于上述安全与运营多重优势，360安全大脑围绕SDP技术为企业定向打造“360安全接入云”，以最小权限和最短授权为原则，集成SDP接受主机（AH）和SDP控制器功能以及对接可选认证、授权服务和风险持续评估等，并通过360安全大脑为其安全实力赋能，建立一个完整的安全接入平台。

简单来说，360安全接入云正是为企业构建起一个虚拟边界，将企业内网业务、外网SaaS服务统一纳入安全资源池进行SDN调度管理，形成映射IP，同时将企业办公终端、BYOD、浏览器等接入平台管理，解析成公网ip 。

“360安全接入云”平台架构部署图说明如下：

1、在受保护的业务系统设置ACL，只允许磐云系统的IP地址访问该业务系统；
2、将受保护的业务系统放到公网，分配公网IP地址；
3、在三六零磐云安全防护系统中添加受保护的业务系统域名解析记录；
4、磐云系统生成对应的映射IP地址；
5、在三六零企业浏览器管理后台配置私有DNS解析记录，将业务系统域名指向磐云系统生成的映射IP；
6、在三六零企业浏览器管理后台配置业务应用导航（系统名称+系统域名）。

这样一来，企业用户在通过身份验证或设备验证后，即可获取响应的配置策略，用户访问受保护的业务系统时，平台将根据映射关系做解析，将数据包发送给企业业务系统并回传数据，最终呈现给用户。

在整个访问过程中，企业用户可以放心地从公司内网获取信息、数据，最大程度增强了企业网络互联的安全性。总体来看，360安全接入云可总结出以下四大安全优势：

1、  帮助企业应用和服务器在网络上实现隐身，减少客户业务系统被攻击的风险；
2、  为企业提供一种更灵活的VPN替代方案，使远程办公更便捷、更安全；
3、  助力企业业务发展，为企业用户访问应用提供一致的体验，与用户当前所处的网络位置无关；
4、  通过360安全大脑的赋能，对接漏洞云、知识库云、威胁情报云和多维分析引擎中的查杀云、沙箱云和分析云。

从企业角度来看，远程办公需要综合考虑成本与安全问题，其中包括多应用流量问题、高安全性问题和低成本的问题，360安全接入云利用基于身份的访问控制机制，为企业应用和服务穿上“隐身衣”，有效保护企业核心资源和数据的安全。凭借独特的安全与稳定、高效率与低成本优势，360安全接入云成为接替传统VPN网络模型的更优选择。

变革永远存在，安全威胁也是如此。抗疫形式下的远程办公，迫使企业加速寻求一条更加安全、高效的路径应对潜在的安全威胁。

新时代下的变革，赋予企业网络安全更加创新、丰富的内涵，基于企业安全需求这一出发点，360安全大脑凭借多年积累的安全防护经验与技术优势，率先采用零信任理念，建设360安全接入云，阻止企业内部威胁横向扩散，为企业用户创建一个独特的内网生态，使终端设备、传输信道和身份权限形成完整闭环，以保证安全、稳定访问企业内部资源、数据，为企业远程办公打造一个无边界的安全入口。


来源  360安全卫士