找准边界,吃定安全 | SSE,企业应用访问的安全新边界

终端对应用的访问在位置上是多对多

终端同时复用访问互联网

企业需要在不断发展的云计算和通信时代

寻找企业应用被访问时新的安全边界

【找准边界,吃定安全】往期文章:

 梳理传统安全边界,筑牢防护第一基线

 云化下的新边界,东西南北流量该如何防护?

 万物互联,怎么摸清工业控制系统中的安全边界?

企业的应用访问需要新的安全边界

云计算的发展使得企业的应用越来越多的上云,IaaS 和 SaaS 是企业常用的两种云计算业务类型:

 
  • IaaS 是企业 IT 或研发人员通过公有云服务商提供的管理 console 对租用在云上的虚机和网络进行管理,并在云上虚机和网络基础上构建企业应用,这样的企业应用通常不面向互联网,企业员工需要通过公司内网(已经跟云上网络 VPN 打通)或者远程 VPN 接入进行访问;
  • SaaS 是企业直接使用软件服务商提供的云上应用,企业自己无需管理和维护云上计算和网络资源,也无需自己做应用开发,仅需管理和维护企业自己的应用账户和数据,这样的企业应用通常是面向互联网的,企业员工可以随时随地的使用企业内部的办公机或个人的便携计算设备通过互联网进行访问。
便携式计算设备的发展使得企业员工越来越多的使用个人便携计算设备(或者企业给员工发的便携计算设备)进入企业办公网络访问企业的应用,同时进行个人的互联网访问;2020 年以来,受新冠疫情影响,越来越多的企业员工在大量的时间内居家办公,需要使用家用的计算设备或者个人便携设备远程接入和访问企业的应用,同时进行个人的互联网访问。
如上图所示,企业员工访问企业应用的场景呈现出的特点是,终端对应用的访问在位置上是多对多、终端同时复用访问互联网,这相应给企业带来的安全问题是,过去企业网络安全设计的企业应用被访问的安全边界不够用了(可被绕过),员工的便携 & 家用计算设备扩大了企业应用被访问的攻击面(个人终端安全状态不可控)。因此,企业需要在不断发展的云计算和通信时代寻找企业应用被访问时新的安全边界。

企业应用访问的安全新边界——SSE

(Security Service Edge)

SSE 是国际著名咨询机构 Gartner 提出的云安全技术,其形态是公有云平台服务,能够在客户端访问服务端的过程中提供统一的终端 & 用户身份管理和安全防护服务。根据服务端类型的不同,SSE 的场景主要包括:公有云 SaaS 应用访问的安全边界(CASB)、互联网 Web 应用访问的安全边界(SWG)、企业私有应用访问的安全边界(ZTNA)

公有云 SaaS 应用访问的安全边界——CASB

(Cloud Access Security Broker)

企业的公有云 SaaS 应用被员工访问过程中常见的安全问题有,员工主观导致的数据泄露、员工误操作导致的数据泄露风险、员工账号被盗引发的数据泄露、员工接入终端环境引入的安全风险等。
SSE 服务首先通过安装在企业员工终端上的 Agent 软件将企业员工访问企业公有云 SaaS 应用的流量引到 SSE 服务云平台,然后 SSE 平台对这部分流量进行完全的正向代理访问,在代理访问过程中,SSE 平台对该账户的全部操作行为进行监控,建立账户的操作行为基线,对超出行为基线的操作行为进行及时告警,对管理员配置的高风险操作行为进行即时阻断。由于 SSE 的公有云服务性质,其可在全局上积累威胁情报,提前识别账号被盗的情况。

互联网 Web 应用访问的安全边界——SWG

(Secure Web Gateway)

由于企业员工复用访问企业应用的终端进行个人的互联网访问,会存在给终端引入恶意代码的风险,进而导致企业应用被访问的攻击面扩大。SSE 服务首先通过安装在企业员工终端上的 Agent软件将企业员工访问互联网 Web 应用的流量引到 SSE 服务云平台,然后 SSE 平台对这部分流量进行 URL 过滤、病毒过滤等动作来防护恶意代码进入终端环境,同时对员工通过互联网 Web 应用外发的信息和文件进行过滤,保护企业的保密信息不公开泄露。

企业私有应用访问的安全边界——ZTNA

(Zero Trust Network Access)

企业私有应用被员工访问过程中常见的安全问题有,员工网络接入后对企业私有应用的非法访问、员工主观对企业私有应用的攻击、员工账号被盗导致的安全威胁、员工接入终端环境引入的安全风险等。企业首先需要在私有应用侧部署 SSE Connector 跟 SSE 云平台进行连通,然后 SSE 服务通过安装在企业员工终端上的 Agent 软件将企业员工访问企业私有应用的流量引到 SSE 服务云平台,SSE 平台再将这部分流量转发到企业私有应用侧。SSE 平台可通过安装在企业员工终端上的Agent 软件对企业员工的接入进行严格的终端环境安全检查,以及可对企业员工账户访问企业私有应用进行严格的应用级别的访问控制、恶意代码过滤、数据和文件传输过滤,SSE 平台还可对企业员工账户的全部流量行为进行监控,建立账户的流量行为基线,对超出行为基线的流量行为进行及时告警以及分析出可能的账号被盗情况。
企业需要统一的 SSE 服务方案,而不是各种能力的简单组合。
在 Gartner 提出 SSE 技术之前,CASB、SWG、ZTNA 都是已经出现并逐渐成熟的单品技术,从上文的分析中我们看到虽然这三个技术各自应对的业务场景不同,但提供的安全能力是有重合部分的,统一的 SSE 服务能够提供更低的成本和更低的复杂性。企业可能不是一次性需要所有的安全服务,就可以按需订购,也可以随着业务的发展和安全需求的增加轻松添加任何其它安全服务。技术方面,统一的 SSE 平台服务最大的优势是,能够将所有安全防护能力统一在一个策略下,企业的所有用户访问应用的场景都能够获得相同的持续的安全防护能力。