当零信任遇见防火墙 - ZTA热潮中的新华三“零信任”防火墙”

业界
1年前

高级威胁正在对传统安全防护体系发起挑战

网络威胁的升级与数字化技术的革新从来都是相伴而生。移动办公场景的普及,加之海量物联终端的接入,变相放大了传统边界的防护范围并为攻击者提供了更多的接入渠道。加密流量持续高速增长,隐藏在加密流量中的威胁难以被传统检测手段发现;零日威胁攻击留给安全人员的漏洞发现时间越来越少。对高价值目标进行针对性的渗透式攻击也日益成为主流;DDOS攻击者越来越多的开始利用机器学习、大数据、人工智能等相关先进的技术对目标系统实施攻击。

传统安全防护体系面临多重挑战:

  • 城堡式安全建设 

以传统网络边界为中心来打造安全边界,典型的做法有部署域控、VPN、防火墙等。固化的安全防御手段,缺乏全面的身份认证体系支撑、缺少灵活的动态虚拟边界建设。

  • 串糖葫芦式安全建设

将多个厂商的产品串行到业务链路中去,相互之间无中心化的控制平面,无法统一管理造成维护成本不断攀升;同时由于串行设备过多,无法保证整体链路的高可用性。

  • 外挂飙车式安全建设

以求稳为主,安全设备多以旁路的方式部署,俗称外挂。一味图快、图不出事故的建设,势必安全能力会有很大的缺失。单个产品缺乏安全防护能力,多个产品缺乏统一的策略管控。

  • 东西向放羊式安全建设

内网东西向防护偏弱,大部分组织放羊式管控,仅在边界部署安全防护设备。内网管控放松,黑客一旦突破,则如履平地,微隔离、HIDS、欺骗防御等措施难以实施,效果较差。

  • 保险箱式安全建设

把关键数据核心资产像锁到保险箱一样重重保护起来,设置多层访问控制和加密等,在业务处理流程上设置多级审批,操作上纯人肉搬运,体验和效率极低。

防火墙融入零信任架构成为主流趋势

2020年Gartner网络防火墙魔力象限指出,在全球疫情的影响下,促使远程办公的兴起,零信任成为企业寻求远程访问的接入模式,这也促使企业转向提供更细粒度管控和动态身份接入安全的网络防火墙供应商。Gartner认为网络防火墙市场的产品形态将扩充,并承载更多安全特性。

在NIST发布的最新《零信任架构》正式版,将零信任定义为“永不信任,始终验证”以身份做为新边界的动态动态防御理念。其架构中PEP(Policy Enforcement Point)作为策略执行点,介于trust与untrust之间最佳载体即是防火墙。通过PE+PA与PEP的协同,实现对身份接入的动态管控和资产访问的动态授权。

1612317683973626.png

新华三认为零信任之“新”架构,绝不是对传统安全防护体系的完全否定,而是通过对核心组件的改造和升级,在原有安全防护体系的基础上继承其安全防护能力,并延展出具备” 身份可信接入、环境威胁感知、动态资源策略、多维业务代理、深度安全检测、综合风险分析”的零信任安全防护架构;防火墙融入零信任安全架构,将成为零信任架构的重要抓手,是零信任理念的主体执行者。

新华三推出业界首款“零信任防火墙”

继2019年发布全新AI防火墙,新华三一直在研究其与零信任理念及架构的深度融合,我们认为零信任安全架构将是AI防火墙能够充分发挥其特性的优选场景,因此,“零信任防火墙”应运而生,新华三选择的技术路线是在AI防火墙的基础安全架构和安全检测能力之外,内置零信任引擎,全面兼容零信任安全解决方案的主流场景。

1612317699413457.jpeg

零信任防火墙集成了零信任控制引擎、零信任策略引擎和智能安全检测引擎三大核心引擎,这样能够为用户提供管控一体化、架构高可靠、丰富控制手段、全面智能鉴权、智能安全检测、中心协同赋能的融合零信任防火墙方案,这样的技术路线目前已经成熟。

1612317745907724.png

  • 零信任管控一体化

零信任防火墙集成三大核心引擎,将零信任的控制和策略内置于AI防火墙,在传统边界安全防护的基础上进行引擎升级,具备终端可信接入、身份管理、资产管理、风险中心、智能鉴权等零信任引擎能力。零信任防火墙重新定义安全边界,实现管控一体化,将边界安全能力集为一体,统一管理,同时减少串行部署的设备数量,为客户减少网络故障点。

  • 硬件高可靠设计

零信任防火墙作为网关部署,继承了AI防火墙的硬件平台架构,硬件全组件冗余设计,实现高性能、高可靠、全冗余的硬件支撑。

  • 丰富接入控制手段

通过AI防火墙的基础安全架构,具备了DDoS、DNS代理、TLS加解密、业务流量控制和服务器负载均衡等基础安全能力。同时实现了应用代理和API代理的可信代理模块,基于细粒度的应用业务做代理,降低攻击入侵风险。并结合身份、终端、环境、可信度和资产敏感度等,实现动态访问准入和终端行为可信。对于应用服务资产敏感度不高的业务场景,仍可提供非代理模式的可信接入管控。

  • 全面智能鉴权策略

零信任防火墙内置零信任策略引擎,依据用户的身份、行为和风险制定动态管控策略,并对应用服务进行可信度和敏感度的资产管理,在保护南北向业务接入的同时,兼顾应用服务之间的东西向业务的可信互访。基于身份动态鉴权,不再基于传统的IP、端口、区域等维护做安全策略管控,实现以身份为核心,风险评估为依据的虚拟动态边界,满足权限与业务随行,兼顾安全合规与业务连续的平衡。

  • 深度智能安全检测

赋以AI防火墙的智能检测能力:覆盖传统IPS、AV、URL等DPI检测;满足WEB门户网站检测的方案防护需求;针对视频、图片等敏感内容,提供AI检测能力;具备对加密业务流量的威胁检测和应用识别能力;基于自然语义的识别检测,大大降低了检测误报率。上述智能检测能力均可作为用户行为分析和威胁风险分析的重要依据。

  • 信任中心协同赋能

零信任防火墙基于开发的API接口,信息中心可以为新华三态势感知平台,也可与各类信任中心实现对接。实现认证中心、环境感知的信息同步,满足用户行为画像、安全事件分析、威胁情报等信息交互,为信息中心的AI大数据风险分析提供有力依据。

作为传统安全边界防护的核心能力,防火墙势必成为未来零信任安全体系的核心执行者。新华三的零信任防火墙将致力于提升客户网络安全防护能力,提供便捷有效的安全体验。