英文网站推广方法移动网站网上营业厅
零信任网络访问控制(Zero Trust Network Access,ZTNA,文中零信任皆指 ZTNA)基于“永不信任,持续验证”的理念,打破了企业基于传统网络边界进行防护的固有模式。在当前日趋复杂的网络环境下,内部威胁与外部攻击加剧,零信任能够为企业构建一个动态的安全访问体系。通过持续身份验证、权限动态调整等机制,确保合法用户在安全的环境下访问企业资源,有效防止未授权访问与数据泄露,提升企业整体信息安全水平。
零信任产品在灵活性上存在局限
零信任为企业带来了便利的同时,也引发其他安全管控问题。各业务部门或集团子公司业务需求不一样,安全保护的诉求也不一样,零信任产品在许多场景里无法面面俱到。例如:
1. 某互联网公司在不同楼层有不同交换机,想将不合规终端在不同楼层分配到不同 VLAN 网段。
如果只用零信任产品则无法实现这一诉求。原因在于,零信任产品的 RADIUS 认证服务能力略显单薄,无法基于 RADIUS 属性来定制组合策略,在应对多样化场景时,模板化的认证策略配置存在局限性。
2. 当公司里有大量 IoT 设备时,通常采用 MAC 地址白名单方式进行网络认证。攻击者通过伪造 MAC 地址绕过认证即可接入网络,非法获取网络资源、窃取数据、传播恶意软件或发起钓鱼攻击等。
IoT 设备无法安装零信任客户端,零信任产品只能通过 MAC 地址白名单实现低安全性的管控,无法防范 MAC 地址伪造带来的安全问题。
3. 当网络架构较为复杂且 IT 运维团队人员不足、技术能力薄弱时,若采用 802.1X 进行准入控制,会给 IT 产生较大压力。
零信任产品依赖 802.1X 进行内网认证和管控,且需要对企业现有网络架构进行改造,涉及到复杂的交换机配置、网段划分等操作,对 IT 运维团队的技术实力有一定要求。
零信任×宁盾泛终端网络准入,精细化管控网络访问
宁盾泛终端网络准入以“轻量级、泛终端、内外网一体化管控”为核心竞争力,支持「无客户端」或「轻量化客户端」的部署方式,深受互联网、高科技、先进制造企业的青睐。在多个大型客户中,零信任产品结合宁盾泛终端网络准入方案成功落地上线,让网络访问策略精准贴合具体业务需求、不同职场安全诉求。
零信任产品与宁盾泛终端网络准入联合,增强了零信任在复杂安全诉求、IoT设备及管控手段上的应对能力。部分优势如下所示:
1. 增强零信任RADIUS认证场景与能力
宁盾在 RADIUS 认证场景上的能力与创新得益于 16 年的技术沉淀与丰富的设备兼容适配经验。首先,宁盾支持根据 RADIUS 会话属性来自定义策略,如OU、Group、账号、角色、设备属性等,除了能够灵活自定义策略,还可多种条件组合、复用、反选以及按照优先级排序等,更契合不同业务/安全诉求。其次,市面上主流设备,宁盾几乎都有对接经验与方案,为 RADIUS 认证策略设计提供了大量样本。因此,宁盾泛终端网络准入与零信任结合,能够让零信任在 RADIUS 认证策略上更加丰富灵活、游刃有余,应对企业复杂多样的认证场景需求。
2. 提升IoT设备管控,多重策略赋能安全
宁盾可通过流量指纹识别 IoT 设备类型,便于客户进行资产管理。同时,对 IoT 设备进行 MAC 地址认证,并结合动态验证、加密通信和策略联动等能力,解决了零信任对 IoT 设备低安全性管控的问题,有力保障 IoT 设备接入企业网络的安全性。
3. 更柔性的管控手段,不改动网络架构
宁盾泛终端网络准入能够提供多样化的管控手段,如虚拟防火墙、ACL管控等,在零信任 802.1X 准入管控手段之外,提供更加柔性的选择。另外,结合宁盾泛终端网络准入,客户不必改动现有网络架构,即可实现合规管控,进一步提升网络访问的安全性与灵活性。
4. 可借用零信任客户端,避免方案过重
宁盾泛终端网络准入无需安装客户端,员工计算机上只需安装零信任的客户端,既避免多个客户端之间冲突,又避免因安装多个客户端导致方案过重,优化了方案部署和运维体验。
成功案例
某互联网大厂:宁盾泛终端网络准入结合某零信任产品
终端规模:10000点以上
项目背景及需求:
某互联网大厂在全国设有多个分支,终端规模在 10000 点以上。受移动办公、云计算、物联网等新兴技术影响,大量 PC、BYOD、IoT 等终端涌入企业有线和无线网络,内网安全防线亟待规范管理。因此,该厂欲借助零信任产品及网络准入方案对访问内网的终端进行安全管控,以提高网络访问的安全性与可控性。
解决方案:
(1)用户首次接入有线网络时,需按照引导页面安装零信任客户端后进行802.1X认证,获得网络访问权限;
(2)若用户退出或注销客户端,或基线检测不合规,终端将自动下线,引导用户至客户端下载或修复页面;
(3)用户接入无线网络时进行802.1X认证,宁盾泛终端网络准入引擎与零信任产品联动,获取零信任客户端登录状态,未登录用户访问网页时,宁盾准入将其重定向至客户端安装页面;
(4)登录零信任客户端后,宁盾放行网络访问。若终端基线不合规,宁盾拦截并引导用户至修复页面;
(5)哑终端通过MAC地址认证接入网络,并基于OU、安全组、本地自定义角色,动态下发VLAN,满足不同职场的网络隔离需求。
宁盾泛终端网络准入既可以作为独立安全产品存在,也可以嵌入零信任网络接入系统框架内,双方相互结合,优势互补,满足企业不同业务需求、不同分支公司具体安全诉求。使网络访问管控自动随需求而变,精准贴合具体业务场景,助力企业打造更为坚固的信息安全防线。