Discusión sobre planes prácticos para la implementación de confianza cero

Sun Hongming, Departamento de Inteligencia y Digital de Wenhuarun Pharmaceutical Business Group Co., Ltd.

La propuesta del concepto de confianza cero ha subvertido por completo el modelo de protección original basado en la seguridad fronteriza. En los últimos años, se ha visto afectada por la red nacional y extranjera buscada por la industria de la seguridad.

Como sugiere el nombre, confianza cero significa "nunca confiar". Por lo tanto, las empresas deben abandonar el modelo de seguridad tradicional basado en la protección de límites que se ha establecido o se está construyendo y transformarse a una seguridad de confianza cero. ¿modelo? La confianza cero es una innovación tecnológica en los sistemas de protección de seguridad que debe experimentarse en la construcción de seguridad empresarial, pero debe pasar por un proceso de exploración y práctica a largo plazo.

1. Análisis de los principales modelos de seguridad de confianza cero

En la era de la computación en la nube y el big data, los límites de seguridad de las redes se generalizan, las amenazas internas y externas crecen y las tradicionales La arquitectura de seguridad de fronteras es difícil de En respuesta, surgió la arquitectura de seguridad de confianza cero. Como empresa, ¿cómo debería elegir una solución de seguridad de "confianza cero" para resolver los riesgos de seguridad que enfrenta actualmente su empresa?

En la actualidad, los modelos de seguridad de "confianza cero" más maduros incluyen el modelo Secure Access Service Edge (SASE) y el modelo Zero Trust Edge (ZTE). Tomando estos dos modelos como ejemplos, primero debemos comprender las diferencias entre los modelos actuales, explorar sus respectivas tendencias de desarrollo y luego elegir un plan de implementación que sea adecuado para la empresa.

Para el modelo SASE, la arquitectura de nube basada en identidades, el soporte para todos los bordes y la distribución de puntos de provisión de servicios de red (PoP) son sus principales características. El modelo SASE amplía la definición de identidad, extendiendo los usuarios, grupos y asignaciones de roles originales a dispositivos, aplicaciones, servicios, Internet de las cosas, ubicaciones de borde de red, fuentes de red, etc. Estos elementos se resumen en identidades, todas las cuales están relacionados con Los servicios asociados con la conectividad de red se basan en la identidad. A diferencia de las WAN tradicionales, SASE no obliga a que el tráfico sea devuelto al centro de datos para su recuperación. En lugar de ello, lleva el motor de inspección a puntos PoP cercanos. El cliente envía el tráfico de la red al punto PoP para su inspección y lo reenvía a Internet o a la red troncal. . SASE proporciona WAN y seguridad como servicio (SECaaS), proporcionando todas las funciones específicas del servicio en la nube para una máxima eficiencia, adaptándose fácilmente a las necesidades comerciales y colocando todas las funciones en el PoP.

La ventaja del modelo SASE es que puede proporcionar servicios de seguridad integrales, flexibles y consistentes, al tiempo que reduce el costo general de construcción de seguridad, integra los recursos de proveedores y fabricantes y brinda a los clientes servicios eficientes en la nube. . Los servicios de seguridad de red basados ​​en la nube pueden simplificar la infraestructura de TI, reducir la cantidad de equipos de TI que administran y operan productos de seguridad, reducir la complejidad de la posoperación y el mantenimiento y mejorar en gran medida la eficiencia del trabajo. Modelo SASE y aprovecha la tecnología de la nube para optimizar el rendimiento, simplificar los procesos de autenticación de usuarios y proteger los datos no autorizados para las empresas.

El modelo SASE enfatiza el estrecho acoplamiento de red y seguridad, y la construcción simultánea de red y seguridad, proporcionando un camino ideal para las empresas que se están preparando para construir un sistema de seguridad. Por el contrario, para las empresas que ya han establecido o están en proceso de establecer un sistema de seguridad, reconstruir la estructura de la red empresarial será un gran desafío y una inversión considerable. Por lo tanto, el modelo SASE puede ser más adecuado para la industria minorista frente a los usuarios finales, ya que proporciona servicios de seguridad completos para dichas empresas. No requiere que las empresas construyan un sistema de seguridad completo en cada nodo de sucursal, lo que facilita la administración unificada y reduce los costos de construcción.

El modelo de ZTE se centra en la confianza cero. Uno es confianza cero en el centro de datos, que es confianza cero para el acceso a recursos, y el otro es confianza cero en el borde, que es seguridad de acceso de confianza cero en todos los bordes. De hecho, se puede entender que el modelo SASE incorpora módulos de confianza cero, que es esencialmente un concepto. El modelo ZTE enfatiza desacoplar la red y la seguridad, resolver primero los problemas de acceso remoto y luego resolver los problemas de reconstrucción de la arquitectura de la red.

2. Práctica de confianza cero de China Resources Pharmaceutical Commercial Group

China Resources Pharmaceutical Commercial Group Co., Ltd. (en adelante, la "Compañía"), como una gran Empresa de distribución farmacéutica a gran escala afiliada a China Resources, tiene cientos de ubicaciones en todo el país, hay más de una sucursal y casi mil farmacias, y sus operaciones comerciales diarias son inseparables del soporte básico de la tecnología de la información, por lo que la seguridad de la red funciona. es particularmente importante. En los últimos años, todas las empresas centrales han respondido activamente al llamado nacional y a las leyes y regulaciones relevantes en términos de construcción de seguridad de red, y han mejorado las capacidades de protección de seguridad de red. La compañía también otorga gran importancia a la construcción de seguridad de red. Los principales fabricantes de seguridad establecen una red con conciencia de la situación como núcleo. Un sistema de defensa profundo atraviesa fronteras y terminales, y al participar en simulacros ofensivos y defensivos durante dos años consecutivos, el nivel profesional del personal de seguridad de la red se ha mejorado continuamente. La construcción de seguridad de la red se ha optimizado aún más a través de operaciones ofensivas y defensivas reales.

Sin embargo, cuando las empresas involucran computación en la nube, big data, Internet de las cosas y otros campos técnicos, los riesgos de seguridad que trae a las empresas la generalización de los límites de la red existentes son incontrolables. y Las soluciones son difíciles de adaptar a la infraestructura de red empresarial moderna, y la confianza cero puede ayudar eficazmente a las empresas a resolver problemas difíciles en la transformación digital.

La empresa eligió la solución paralela de dos modelos, SASE (Secure Access Service Edge) y ZTE (Zero Trust Edge), para explorar la dirección del avance de la arquitectura de seguridad de red de "confianza cero" para la empresa.

La empresa tiene muchas sucursales y empresas que cubren casi todo el país. Hay problemas como dificultades en la gestión y el control de la seguridad, dificultades en la eliminación, baja seguridad y poca flexibilidad de recursos. Mecanismo unificado de operación a largo plazo. Con base en los problemas anteriores, la compañía se refirió a la solución modelo SASE y cambió el formulario de acceso al centro de datos de enlace WAN tradicional original a una solución de arquitectura de red de agregación WAN de punto PoP, con un proveedor de servicios de operación unificada que proporciona enlaces de red y seguridad integral. Pero no se trata de una reconstrucción completa de la arquitectura de red original, sino que se utilizan diferentes soluciones en tres tipos de situaciones.

La primera categoría es cambiar la forma en que se gestiona la seguridad de la red, principalmente para las empresas regionales. Dado que la mayoría de las empresas regionales ya han establecido un sistema de seguridad relativamente maduro, solo cambiaron el enlace WAN tradicional original al punto PoP del operador de acceso más cercano y utilizaron la WAN definida por software como línea de respaldo de la línea redundante de dos líneas original (. Se reemplaza la tecnología SD-WAN y los principales negocios y oficinas se dividen razonablemente a través del mecanismo de calidad de servicio (QoS), lo que mejora en gran medida la eficiencia del uso de la red, reduce los costos y puede administrar la red de área amplia a través de un sistema unificado. plataforma de gestión, distribución unificada de políticas de seguridad de configuración y mejora del control y manejo general de la seguridad.

La segunda categoría es la agregación capa por capa y la gestión jerárquica, principalmente para sucursales de segundo y tercer nivel. Aunque el sistema de seguridad de dichas unidades se ha establecido, aún no ha alcanzado un nivel alto mediante el acceso a puntos PoP cercanos o la agregación a empresas regionales, algunos servicios de seguridad son proporcionados por operadores o la gestión y el control unificados los llevan a cabo empresas regionales. .

La tercera categoría está dirigida principalmente a unidades como tiendas minoristas y sucursales pequeñas que no tienen la capacidad de construir sistemas de seguridad. Utilice la solución de acceso seguro SD-WAN para acceder al punto PoP más cercano y el operador proporcionará servicios de seguridad generales, reduciendo así los costos de construcción de seguridad y fortaleciendo la gestión y el control de seguridad unificados. La arquitectura de la red se ajusta a través del concepto de gestión del modelo SASE para proporcionar servicios de seguridad integrales y consistentes, al tiempo que reduce los costos generales de construcción de seguridad y mejora la eficiencia del trabajo.

En los últimos dos años, las oficinas de las empresas se han visto afectadas por la epidemia de COVID-19 y los empleados que trabajan desde casa se han convertido en la norma. Como "gran usuario" de productos de redes privadas virtuales (VPN), la empresa tiene muchas cuentas VPN originales que no han podido satisfacer las necesidades comerciales actuales durante su uso. Algunos problemas han ido surgiendo gradualmente y riesgos de seguridad de diversos grados. surgen a menudo. Hay muchos problemas en la arquitectura VPN tradicional, por ejemplo, los permisos se asignan de forma fija en función de los roles y no son lo suficientemente flexibles durante períodos especiales como la generación de negocios y el reaseguro, y el control de permisos extenso no puede lograr el control de acceso para el personal comercial y es ilegal. personal en diferentes roles.

Cuando los puertos comerciales están expuestos a la red pública, existen riesgos de seguridad inherentes, como fraude de cuentas, escaneo malicioso y destrucción de contraseñas. La sede de la empresa es responsable de la operación y el mantenimiento del negocio de VPN, y todos los problemas de VPN que involucran a las unidades subordinadas deben ser manejados por el personal de la sede. Cuestiones sutiles y engorrosas, como la recuperación de contraseñas de cuentas, consumen mucho tiempo y energía del personal de la sede. Los diferentes terminales y navegadores tienen diferente compatibilidad con los clientes VPN tradicionales, y los empleados suelen quejarse de problemas de compatibilidad. Cuando se utiliza una VPN, el acceso cifrado basado en Internet a menudo encuentra retrasos en el servicio o incluso desconexiones debido a motivos de red.

Para ello, la compañía se refirió al modelo ZTE como solución que solucionó por primera vez el problema del acceso remoto. La empresa llevó a cabo un piloto de construcción de seguridad de confianza cero en 2021. Guiada por el concepto de confianza cero y combinada con los productos de confianza cero de la arquitectura de perímetro definido por software (SDP) de Sangfor, construyó una plataforma de oficina remota de confianza cero que cubre a los trabajadores de oficina en todo el país.

El producto de confianza cero basado en la arquitectura SDP autentica las conexiones de acceso primero y luego se conecta, rechazando todas las solicitudes de conexión ilegales, reduciendo efectivamente la superficie de exposición y evitando que las empresas sean escaneadas y detectadas, así como la denegación distribuida en la capa de aplicación. de ataques de servicio (DDoS). A través del mecanismo de seguridad de autorización de autenticación de paquete único (SPA), se logra la invisibilidad empresarial y la invisibilidad del servicio para proteger los servicios de oficina y el propio equipo. Para computadoras sin un cliente propietario instalado, el servidor no responderá a ninguna conexión de ningún cliente, no puede abrir la interfaz de autenticación y no puede acceder a ninguna interfaz. Equipada con una estrategia de autenticación de identidad adaptable, cuando un usuario anormal accede a aplicaciones o datos importantes y confidenciales en una red anormal, en un momento anormal o en un dispositivo nuevo, la plataforma de confianza cero obliga al usuario a someterse a una autenticación secundaria y una aplicación mejorada. autenticación para garantizar la confiabilidad de la identidad del usuario.

La aplicación piloto de confianza cero ha mejorado la seguridad de la red de la empresa y ha simplificado la operación y el mantenimiento. Sin embargo, según la situación y los planes actuales de la empresa, el trabajo piloto aún debe implementarse y explorarse más a fondo con el fabricante. En términos de optimización de la experiencia del usuario, dado que la arquitectura SDP tiene más cadenas de reenvío de datos, no hay mucha diferencia en la fluidez de uso entre Zero Trust y VPN, y la experiencia del usuario debe optimizarse aún más. El sistema de seguridad de confianza cero debe ser totalmente compatible con el Protocolo de Internet versión 6 (IPV6). De acuerdo con los requisitos de política pertinentes, las empresas liberadas al exterior a través de confianza cero tendrán prioridad para la transformación. El sistema de seguridad de confianza cero debe admitir la mensajería instantánea interna, conectar aún más los productos de confianza cero con la plataforma de oficina existente de la empresa, realizar una gestión unificada de identidades y negocios y lograr un inicio de sesión único. El siguiente paso en la construcción del sistema de seguridad de confianza cero de la empresa es integrar aún más el sistema de seguridad existente de la empresa con el sistema de producto de confianza cero para lograr la interoperabilidad de los datos y mejorar aún más la seguridad y confiabilidad de la informatización de la gestión.

3. Conclusión

La arquitectura de seguridad de confianza cero reevalúa y examina el modelo tradicional de arquitectura de seguridad de límites y brinda nuevas ideas de construcción para la arquitectura de seguridad. Pero la confianza cero no es un producto, sino un nuevo concepto de arquitectura de seguridad. En la práctica específica, no solo realiza el control de acceso en los límites de la red empresarial, sino que responde a todas las solicitudes de acceso entre todos los bordes de la red y las identidades de la empresa. control de acceso dinámico granular para lograr verdaderamente "nunca confiar, siempre verificar".

(Este artículo fue publicado en la edición de 2022 de la revista "China Information Security")