<i id="0io7s"></i>
<object id="0io7s"></object>
<i id="0io7s"></i>
<thead id="0io7s"></thead>
  • <optgroup id="0io7s"><del id="0io7s"></del></optgroup><thead id="0io7s"><del id="0io7s"></del></thead>
  • <thead id="0io7s"></thead>
  • 關于薔薇

    薔薇靈動就是自適應微隔離

    全部分類
    資訊分類

    微隔離、漏掃、端點防護平臺——網絡安全新三樣

    • 分類:觀點
    • 作者:
    • 來源:
    • 發布時間:2020-07-31 14:36
    • 訪問量:

    【概要描述】經過最近這幾年的摸索,在云計算環境下,在零信任安全理念下,目前從理論到實踐,我們基本上可以確認一個“新三樣”出來——微隔離,漏掃,端點防護平臺(EPP/CWPP)。 從大的安全框架講,新三樣基本放棄了邊界防御,而是通過零信任的方式,對全部資產(硬的、軟的、虛擬的、人、數據、業務)進行統一管理。 ?

    微隔離、漏掃、端點防護平臺——網絡安全新三樣

    【概要描述】經過最近這幾年的摸索,在云計算環境下,在零信任安全理念下,目前從理論到實踐,我們基本上可以確認一個“新三樣”出來——微隔離,漏掃,端點防護平臺(EPP/CWPP)。
    從大的安全框架講,新三樣基本放棄了邊界防御,而是通過零信任的方式,對全部資產(硬的、軟的、虛擬的、人、數據、業務)進行統一管理。
    ?

    • 分類:觀點
    • 作者:
    • 來源:
    • 發布時間:2020-07-31 14:36
    • 訪問量:
    詳情

    “防火墻、入侵防御、病毒查殺(防毒墻,主機殺毒軟件)”,這個網絡安全老三樣被大家所熟知,正如“老三樣已經過時了”的觀點為大家所熟知一樣。那么問題來了,“老三樣”為什么過時了?不用老三樣,又應該用什么呢?

     

     

    退居二線的“老三樣”

     

    首先,我們還是要給這三位老同志發個終生成就獎。如果你仔細分析就會發現,防火墻管了網絡層,入侵防御管了應用層,防毒墻管了數據或者說內容,這三位在網關的位置一站,還真就把那個時代絕大多數的網絡安全問題給解決了。投資又少、部署又簡單、效果又明顯,如果實在沒錢,只買這三樣,基本就可以認為是安全到位了??梢哉f這三位為我們國家的網絡安全工作做出了卓越貢獻。

     

    但是,時代的車輪滾滾向前,老革命遇到了新問題。邊界防御的理念已經不可避免的走到了生命盡頭。且不說各種滲透手段層出不窮,各種內部攻擊此起彼伏,最具顛覆性的情況是,“邊界”都沒了,邊界防御還怎么搞呢?以云計算網絡而論,多應用混部、多租戶混部、工作負載瞻之在前忽焉在后,容器鏡像方生方死、方死方生。在云計算時代,就沒有“邊界”這種東西存在!

     

    所以...哦對,還不能著急“所以”,老三樣中我們討論了兩個半,還有半個(主機殺毒軟件)是不是可以再搶救一下?答案是肯定的,這位同志老而彌堅,老驥伏櫪,目前看還能繼續革命,不過適合他的工作崗位已經大不如前了。大家知道端點防護的分化這件事吧。在過去,端點防護是統一的,無論是辦公網還是數據中心,大家用的是一套東西。但是到了云計算時代,目前根據Gartner的定義,已經明確分為兩個大品類,即端點防護平臺(EPP)和云工作負載防護平臺(CWPP)。在EPP上,殺毒目前看仍然不可或缺,但是在CWPP上,目前業界的共識就是,殺毒確實沒啥用了(可以參看Gartner對CWPP的分析)。而基礎設施建設和網絡安全建設的重點目前都在云計算上,所以我們說,雖然主機殺毒這位老革命還可以繼續戰斗,但是基本告別了主戰場。

    微隔離

     

    麥克阿瑟說的好,老兵不死只是凋零。他們在自己的崗位上從未失敗,奈何,崗位沒了。

     

     

    長江后浪繼前浪的“新三樣

     

    憑吊完老前輩,我們看看在新的戰場上是不是有新的英雄呢?答案當然也是肯定的,所謂江山代有才人出,長江后浪繼前浪(注意,是繼,不是拍,憑啥拍,不許拍?。?。經過最近這幾年的摸索,在云計算環境下,在零信任安全理念下,目前從理論到實踐,我們基本上可以確認一個“新三樣”出來——微隔離,漏掃,端點防護平臺(EPP/CWPP)。

     

    從大的安全框架講,新三樣基本放棄了邊界防御,而是通過零信任的方式,對全部資產(硬的、軟的、虛擬的、人、數據、業務)進行統一管理。

     

    ? 首先是微隔離,它可以解決基于身份的,網絡主體之間的最小權限訪問控制問題。這是第一道防線。只要做好微隔離,我們就可以把系統的暴露面下降90%以上,可以說是最具性價比的一種安全手段。

     

    然后是漏洞掃描,它可以解決合規訪問的風險管理問題。系統要工作就必須開放必要的服務供其他主體訪問,而一旦這些服務上存在漏洞就有被利用的可能,這是微隔離無法解決的。所以需要通過漏洞掃描的方式進行及時的發現與處理。

     

    然后是端點防護平臺,它可以解決系統級的安全問題。如果一個訪問成功地從業務線通過了微隔離的防御并且利用了0day躲開了漏洞掃描的阻擊,這時候就該端點防護登場了,它可以通過進程守護、內存保護、沙盒誘捕,行為分析等多種手段進行防御。

     

    大家可以看到,通過這“新三樣”的配合,我們仍然可以在理論上建立起一個全覆蓋的安全防御體系。當然這里不是說別的產品不重要,而是說這三個應該是起點,是最低配置。如果沒有這三樣東西,你的安全防御體系是不牢固的,你再買別的東西沒有太大意義,有了這三樣,你就有了一個基本盤,然后可以逐步優化、態勢感知、主動防御等等。

     

    最后再強調一下,我們認為,“老三樣”不是完全沒用了,只是說它們已經不能繼續扮演網絡安全基礎組件的角色了,它們仍將繼續在一些地方發揮作用。但是,當代網絡安全的核心基礎設施,屬于微隔離... 和上面我們介紹過的另外兩位同志,奧力給!

     

    關鍵詞:

    北京市昌平區回龍觀東大街首開廣場3層309

    版權所有:Copyright 2018 北京薔薇靈動科技有限公司    京ICP備18016518號-1  

    Dunarose