目前由于许多国家/地区处于封锁状态,在家工作的员工比以往任何时候都要多,他们从不同的设备、连接和位置登录。而这种远程办公的工作方式使问题变得更加复杂,加剧了保护网络边界的挑战。
这种工作模式的变化带来了一定的风险,因为旧的虚拟专用网(vpn)不再足以保护企业的数据和关键资产。在这个远程工作、复杂的生态系统和云托管时代,如果企业真正希望保护自己的网络边界,他们需要一个合适的现代化凯发在线的解决方案。
软件定义的边界(sdp)可能是解决问题的答案。
sdp到底是什么?
软件定义的边界(sdp)是由联盟(csa)开发的一种安全框架,它根据身份控制对资源的访问。该框架基于美国国防部的“need to know”模型——每个终端在连接服务器前必须进行验证,确保每台设备都是被允许接入的。其核心思想是通过sdp架构隐藏核心网络资产与设施,使之不直接暴露在互联网下,使得网络资产与设施免受外来安全威胁。
sdp的架构
sdp有时被说成是“黑云”,因为应用架构是“黑”的——根据美国国防部的定义,这个“黑”代表了架构无法被检测到。如果攻击者无法知道目标在何方,那么攻击将无法进行。因此,在sdp架构中,服务器没有对外暴露的dns或者ip地址,只有通过授权的sdp客户端才能使用专有的协议进行连接。
从vpn过渡到sdp的四个原因
1.安全性
远程工作时员工需要随时随地访问其网络,这意味着必须在企业范围之外提供数据和应用程序,从而增加了风险并扩大了攻击面。然而,vpn不足以保护数据、操作和客户。
vpn可能会使企业面临被攻击的风险,原因如下:
一旦通过vpn网关,攻击者就可以在专用网络内操作 暴露在internet上的vpn网关是经常受到攻击的对象 从vpn网关到内部资产的数据通常是未加密的,这使得网络上的数据容易受到中间人攻击
尽管vpn确实创建了一个更安全的网络连接,但它们不是完全安全的。经验丰富的黑客可以很容易地入侵vpn,一旦获得访问权限,攻击就可以在内的服务器之间迅速传播。通常,vpn代表单点故障:一旦它被攻击,就没有进一步的安全控制措施来阻止传播。
幸运的是,这些关键的痛点可以通过一个统一的网络访问凯发在线的解决方案轻松解决——软件定义的边界(sdp),该凯发在线的解决方案提供对云环境、应用程序和本地服务的安全、分段和审核访问。使用sdp,可以通过用户身份而不是ip地址来控制对资源的访问。这提供了零信任安全,并确保仅授权用户才能访问适当的数据和应用程序。
2.速度
部署vpn是一个耗时的过程,需要考虑大量场景、编写规则以及评估用户。
使用sdp所需要做的就是将数据包推送到用户的设备上。因此,sdp可以在一夜之间向数千名用户推出,从而快速提供所需的安全性并为it团队节省宝贵的时间。
3.简单性
众所周知,vpn很复杂,其设计、管理和维护是出了名的困难,每次添加新用户或vpn时,都需要编写新的防火墙规则集。对于it团队而言,这相当于创建了一个永无止境的待办事项清单。
通过简化跨网络、用户和设备的安全管理,sdp简化了这项任务。由于sdp是基于身份的,因此它们可以快速扩展并做出智能反应。更改ip地址、环境和网络拓扑不会产生任何影响,并且可以通过线性工作将无数的服务器和端点添加到现有环境中。
sdp的出现提供了一种整体凯发在线的解决方案,从而消除了整个安全栈对硬件的依赖,并且仅使用软件即可部署、管理和可视化网络连接。这样就可以集成强大的api,以及分析和可视化网络流量的能力。
4.成本
vpn通常基于昂贵的硬件,其复杂性还意味着需要一个专门的团队来管理,每次添加元素都会产生额外的成本。尽管vpn可以连接多个地理位置分散的端点、数据中心和虚拟私有云,提供了一定的灵活性,但是建立和维护这些连接需要大量资源和不断增加的费用。
sdp显着降低了成本,它们是基于软件的,被设计为在现有基础设施上工作,因此无需每次都购买昂贵的硬件。而且,由于它们更易于管理和扩展,大大减轻了it团队的负担,使他们可以腾出时间从事其他有价值的工作。
网络管理未来的凯发在线的解决方案
当然,sdp也存在着一些潜在的挑战,另外其尚未在欧洲、中东和非洲等地区得到广泛的普及,而北美在这方面处于领先地位。但是,无论是为了应对网络扩张、增加远程工作、还是两者兼而有之,目前欧洲乃至欧洲以外的绝大多数企业都迫切需要确保对其网络边界进行适当的保护和管理。
从安全性到速度、从简单性到节省成本,sdp在这些重要的方面上超过了vpn。部署sdp将使企业有信心应对不断增长的网络边界所带来的威胁,使他们有一个强大的基础,以应对新的工作模式带来的挑战。