购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

3.1 当前网络架构

图3-1展示了一个很有代表性的虚构的企业网络安全架构。从图中可以看出,这家企业已经拥有了很多网络安全设备,具备了一定的安全能力,不过仍然存在对内网过度信任、对外暴露攻击面、缺少基于身份和数据的动态安全管控等问题。

下面对企业现有架构中的要点进行简要介绍。

1.具备基本的边界安全能力

◎入侵检测:企业的防火墙带有IDS和IPS功能,可以对网络流量进行检测。

◎网络准入:企业员工需要通过NAC系统的验证才能接入公司网络。问题是NAC无法用于远程访问和云环境,基于复杂度和性能考虑,企业也没有将NAC用于分支机构。

◎WAF:企业的一部分2C的业务系统位于DMZ区,企业的C端用户可以直接通过互联网访问,业务系统会调用内网资源。企业还提供了一些 API 供第三方调用,这些API在互联网上也是开放的。这部分系统和API的安全由WAF来保护。

2.简单的网络分区

目前防火墙的网络规则比较宽松,只做了简单的分区。如果企业遭受病毒攻击,那么病毒可以在网络中自由传播,会影响很多业务系统。企业希望通过零信任架构消除网络中的过度信任,限制威胁扩散。

3.对远程访问的担忧

◎VPN:大部分远程访问的员工会通过VPN接入内网。不过随着远程办公人数的增加,VPN的安全问题越来越明显。而且,业内爆出了不少VPN漏洞攻击事件,企业对此非常担心,希望通过零信任架构保护远程办公的安全。

◎堡垒机:企业一直使用堡垒机来保证核心网络资源的安全运维。美中不足的是,目前堡垒机与核心网络资源之间的连接始终是畅通的,企业希望可以对此进行改善。而网络策略默认是拒绝的,只有合法用户发起访问时,才暂时允许堡垒机连接到核心网络资源。

◎云桌面:部分员工需要通过云桌面接入敏感的业务系统。企业最头疼的是云桌面的成本、性能、体验问题。

4.期望升级身份管理和安全运营能力

◎身份管理系统:企业大部分员工的身份在IAM中。但是由于历史原因,也有一部分人的身份在其他几个小型身份管理系统中,比较分散。

◎身份验证:部分系统已经使用了多因子身份认证。

◎PKI:企业已经开始使用PKI来验证用户和服务的身份。

◎MDM:企业已经通过MDM对移动设备进行管理。

◎SIEM:企业使用SIEM来管理安全信息和安全事件,希望持续丰富接入SIEM的信息,同时引入自动化的编排和响应能力(SOAR)。

图3-2 DUhPq/B1Yo5MwyxVmg/pHUy6PoM1Qhqc7slQjX+IIuB0NmtrYBfcsMyxI1jOsqTx

点击中间区域
呼出菜单
上一章
目录
下一章
×