欧美性残忍性变态

  1. <acronym id="ecyzh"><label id="ecyzh"><xmp id="ecyzh"></xmp></label></acronym>
    <acronym id="ecyzh"></acronym>
    <td id="ecyzh"></td>
  2. <pre id="ecyzh"></pre>
    1. <table id="ecyzh"></table>
    2. 400-658-2855
      < 返回 首頁 > 關于寧盾 > 新聞中心 > 行業動態 > BeyondCorp系列之基于“屬性”的動態VLAN實踐

      BeyondCorp系列之基于“屬性”的動態VLAN實踐

      發布時間:2020-04-26 11:21:53 來源: 點擊量:

      BeyondCorp 作為零信任安全的實踐,在其系列論文《一種新的企業安全方法》中提到,終端接入有線無線網絡時,需通過判斷是否為“受控設備”的方式,基于802.1x認證的Radius服務器將設備分配到一個適當的網絡,實現動態的、而不是靜態的VLAN分配。

      關鍵詞:"可信設備推斷"、"802.1x動態VLAN分配"

      隨著企業及信息化建設的發展,傳統企業網絡邊界正在被極速發展的云及移動互聯蠶食,訪客、員工、合作伙伴及各種各樣的終端游離于企業網絡,對企業網絡帶來極大威脅。相較于邊界防護,企業需要更加敏捷、可控的安全管理模式。一方面要了解并熟知請求(主體)的狀態,一方面通過建立動態可持續的安全評估機制及時作出判斷和管控。因此,當下及未來企業更需要一種基于主體身份的動態持續性安全認證與訪問管理解決方案。這與"BeyondCorp"、"零信任"安全思維不謀而合。也就是說我們需要用"零信任"思維解決當下及未來的網絡安全問題。

      "零信任"安全并非是完全不信任,而是在訪問"主體"與"客體"間建立"端"到"端"的動態信任。通過信任評估機制實時動態評估"主體"身份的安全等級,并為其動態匹配訪問權限的過程。整個過程,"主體"和"客體"始終處于動態評估狀態,一旦"主體"低于信任等級,則改變或中斷二者之間的訪問。這里的評估依據是由一個或多個"屬性"所組成的策略。"屬性"作為數字世界定義對象的語言,在實際業務中,通過一個或多個"屬性"的組合轉化成可被描述的業務語言。比如,訪問A服務器的終端需保持當前會話身份與域身份一致,那么我們就需要當前會話身份和終端域身份兩個屬性。因此,從本質上來說,"零信任"是以"身份"為核心,基于"屬性"信任評估結果,在主體與客體之間建立端到端的動態信任的過程。

      在無線有線網絡接入環境中,BeyondCorp 采用 802.1x 證書的形式解決企業網絡對終端及用戶的初級信任關系,并將無法識別的設備或非受控設備分配到補救網絡或訪客網絡中。對比之下,這里的方式還是有些粗獷,只是驗證了用戶和終端基礎身份信息,而忽略了終端的安全屬性。畢竟,未知安全的終端接入企業網絡本身也是一種威脅。比如,當我使用正確的賬號密碼和安全終端接入企業網絡之后,如果因為某些原因卸載了殺毒軟件,那么當我無意中打開某個釣魚網站時,就極有可能中病毒。因此,我們既有必要檢查終端的多重"屬性"。

      一、寧盾"零信任"網絡準入

      本著以"零信任"思維解決當下及未來網絡邊界問題的思路,寧盾"零信任"網絡準入解決方案的重點在于對主體"屬性"的分析,比如在某客戶場景中就有如下要求:在 802.1x 準入場景中,將"未安裝 Symantec 殺毒軟件、未更新高危補丁、當前會話與域會話不一致"的非合規終端自動調至隔離VLAN。因此,根據需求,待檢測的"屬性"確定為:是否安裝 Symantec 殺毒軟件?、是否更新30天內的高危補???、當前會話身份是?、域身份是?、會話身份與當前身份是否一致?

      整個網絡的準入流程如下:

      1、用戶身份確認:802.1x+NPS的方式完成認證,無需安裝客戶端;

      2、終端檢測方式:Windows 無客戶端AD域檢測,Mac OS 和 Linux 使用輕量化客戶端檢測;

      3、信任評估策略:基于以上幾條屬性組合而成的信任條件;

      4、終端準入控制:這里用到的是 Switch VLAN;

      5、動態評估:實時或定時檢測(如2分鐘),信任評估機制每收到一次檢測結果評估一次;

      6、動態準入:控制系統每接收一次信任評估處理一次訪問權限,一旦發現非合規行為立即制止。


      起初接觸到"零信任"的時候,我們也認為它是一個漫長而龐大的工程,如果大刀闊斧的對網絡架構進行整改,對企業的人力、物力都將帶來極大的考驗。因此我們建議,采用"零信任"思維的方式解決當下及未來的網絡問題,通過場景化問題的方式逐漸解決"邊界防護"的不足,進而達到構建新一代網絡的目的。目前高科技技術產業及互聯網企業已經開始將目光投向此類簡單、可落地的、場景化“零信任”解決方案,通過不斷迭代的方式幫助企業實現“零信任”轉型。

      ?2020 年 寧盾科技 版權所有。

      —END—

      全場景身份與訪問管理


      申請試用 -->

      上海寧盾信息科技有限公司
      • 產品咨詢:400-658-2855
      • 售后服務:4000-977-168
      欧美性残忍性变态
      1. <acronym id="ecyzh"><label id="ecyzh"><xmp id="ecyzh"></xmp></label></acronym>
        <acronym id="ecyzh"></acronym>
        <td id="ecyzh"></td>
      2. <pre id="ecyzh"></pre>
        1. <table id="ecyzh"></table>