统一的安全指南
随着业务转向混合工作模式,最终用户(包括员工、承包商和合作伙伴)可以在任何地方工作,IT团队必须适当调整,为他们的最终用户提供简单、安全、高效的工作体验。
为此,企业越来越多地将数据和遗留应用程序迁移到云端,并开发云包括软件 - AS-Service(SaaS)应用程序的新应用程序。许多IT团队还允许员工使用来自远程网络的自己的设备(Byo)访问这些公司资源,因为我们看到它希望为员工提供灵活性并使它们保持富有成效。
但随着企业转向云端,并采用自带设备(BYOD)政策来帮助简化远程工作流程,基于设备的安全解决方案——如安全网络网关(SWGs)、网络应用防火墙(WAFs)和虚拟专用网(vpn)——正变得过时。这些解决方案以严格的基础设施为特点,导致最终用户体验不尽如人意,安全状况脆弱,缺乏可伸缩性。
随着越来越多的员工远程工作,应用程序继续向云计算转移,IT团队必须超越基于设备的安全解决方案,以确保他们的资产和终端用户保持高效和受保护。幸运的是,Citrix的统一安全访问解决方案,基于零信任原则,遵循SASE架构,提供云交付的安全,并允许企业快速实现IT现代化,同时提供更灵活、有效的方式减少安全漏洞,提供最佳的终端用户体验。
在我们分析统一安全访问解决方案需要什么之前,让我们仔细看看基于设备的IT安全系统的缺陷。
现有的基于设备的本地安全解决方案,如swg、WAFs和vpn,不能有效地保护云中的数据或应用程序,因为它们受到物理部署和严格的安全策略的限制。此外,它们强制通过已经拥挤的数据中心网络追溯用户和应用程序流量,而且难以扩展。这会带来延迟,导致糟糕的终端用户体验,以及不完整的安全姿态,使应用程序暴露于现代攻击。
当我们移动到云时,混合零信任以及云传递访问解决方案也会导致我们访问这些应用程序的用户体验不佳。例如,今天访问混合动力或多云环境的应用程序需要最终用户使用多个访问机制来使用公司应用程序。这不仅提供了较差的用户体验,还意味着它是努力定义单独的安全策略和单独的监控工具。随着这种淤泥结构在安全环境中呈现差距,这可能会使业务暴露在现代攻击向量中,这些向量导致未经授权的访问,以及可能在数月未被发现的各种恶意软件和零日威胁。
当员工使用BYO、个人设备和公共网络访问云中的企业应用程序时,许多it团队都在努力提供正确的安全态势,以应对基于设备的VPN等应用程序级攻击,因为这些解决方案很难检测到恶意内容是否被转移到公司应用程序基础设施。
即使是企业管理的设备也有他们的垮台,因为工作负载移动到云端。这些设备通常用于访问个人使用的互联网URL,以及官方工作。因为它没有所有应用程序和内容最终用户的可见性,所以可以容易地损害个人身份信息(PII)。
传统的基于设备的安全解决方案,如vpn和swg,旨在保护存储在本地的数据,并保护公司网络上的用户。这些解决方案是基于护城河环绕城堡以保护里面的一切的原则。但由于城堡中的宝贵资产(如用户、数据和应用)已经转移,护城河就成了提供安全的一种无效方式。由于应用程序和数据正转移到云计算,而且越来越多的用户是远程用户,这种方法强制将所有用户流量向后转移到数据中心,以加强安全控制。对于从远程位置工作并访问云中的应用程序的用户,这种数据回收会带来延迟,并提供糟糕的终端用户体验。
传递应用安全性的传统方法依赖于隐式信任已知事物的原则,比如公司员工或白名单URL。这意味着一旦员工连接到公司网络,他们就可以访问该网络中的所有应用程序和数据。无论是终端用户、白名单URL还是托管设备,这种“隐式信任”的概念都被一些现代网络攻击所利用,这些攻击可以利用被泄露的凭据获得未经授权的访问,用恶意内容感染白名单URL,从而进一步感染it基础设施。或者使用偷来的或损坏的设备获取信息并窃取知识产权。
大多数现代组织都有高度复杂的基础设施,这些基础设施由跨多个IT环境部署的应用程序、系统和网络组成——包括内部数据中心、公共云和私有云。这导致组织维护一个复杂的网络安全堆栈高达75威胁检测工具。
管理每一个威胁检测工具都是具有挑战性的、劳动密集型的和昂贵的,特别是在组织发展的时候。It部门可能需要几天(甚至几周甚至几个月)的时间来正确配置和监视这些工具。更糟糕的是,采用这种竖井式的安全方法可能导致不一致的配置和信息,以及IT团队成员的普遍困惑。这对组织来说可能是一个巨大的问题,因为现代的威胁变得越来越复杂,在竖井架构中需要更长的时间来识别和缓解。
随着应用程序转移到云托管平台并部署在多个位置,保护它们免受现代应用程序和api级别的威胁变得越来越重要,这些威胁包括容量拒绝服务(DDoS)和机器人攻击、跨站脚本攻击、SQL注入攻击和应用程序滥用。许多面向消费者的现代应用程序存储了大量消费者和PII信息,这意味着保护它们比以往任何时候都更加重要。
现有的内部解决方案并不总能完全缓解DDoS攻击,特别是在攻击规模很大的情况下(如容量型DDoS攻击)。由于本地设备的可伸缩性有限,这些攻击很容易淹没基于设备的解决方案。这些类型的攻击必须在边缘或进入网络之前停止。然而,随着越来越多的应用程序部署在云中,如果将安全解决方案部署在本地,就很难阻止它们。
安全解决方案与本地swg回程internet-bound交通数据中心,这意味着对交通安全控制外出或来自互联网不是实时执行,因为它需要进一步检查纳入数据中心通过本地数据损失预防(DLP)引擎。这意味着,在发生入侵的情况下,在边缘无法检测到威胁。而且,由于DLP控制与组织的云应用程序不太接近,因此无法实时检测到威胁或安全漏洞。
一种IT技能短缺正在挑战许多组织继续使用和管理旧的、孤立的、基于设备的安全技术。在it领域也存在大量的摩擦,尤其是在网络安全方面。这主要是由于IT团队希望多样化他们的学习,但在他们现有的组织中没有足够的教育机会。
与分布在多个IT环境中的基于设备或多供应商的安全策略不同,统一的安全访问解决方案通过单一、完全托管的安全堆栈提供基于零信任的云交付安全。这不仅有助于保护最终用户,应用程序,设备和组织的基础结构,还允许IT管理员从单个和统一管理平面管理所有企业级应用程序,桌面和数据的安全性。
Citrix提供了一个统一的安全访问解决方案整体能见度和监测控制在所有应用程序,所有的云,和所有设备从一个统一的监测指示板,允许它提供实时、透明的安全,以及一个安全的最佳终端用户体验和一个混合的工作环境。
通过统一的安全访问解决方案,IT团队可以轻松地保护混合型工作人员中的最终用户访问。该解决方案具有统一的安全和自适应访问所有web、虚拟、SaaS应用和桌面的功能,为远程员工提供一个安全、简单、高效的工作环境,可以灵活使用任何设备,在任何地点工作。这不仅提供了对用户活动的持续监控和评估,并自动执行安全政策,它还有助于保护存储在批准和未批准应用程序中的数据,防止因滥用或用户错误而被窃取。
统一的安全访问解决方案确保IT团队能够通过云交付、零信任平台实现其基础设施的现代化,并促进其组织的数字转型。统一的安全访问解决方案提供自适应和智能的安全策略,帮助IT部门简化安全策略,创建一致的终端用户体验,并从一个集中的仪表盘监视和跟踪所有应用程序、设备和位置的用户活动。
此外,一个健壮统一的安全访问解决方案还提供了一个丰富的技术集成生态系统,保护当前的安全基础设施投资——允许组织定义自己的旅程,实现云交付的安全访问服务边缘(SASE)架构。它还消除了安装和管理基于设备的物理解决方案所需的操作开销。
一个统一的安全接入解决方案,不仅可以降低远程工作人员的风险,还可以最大限度地减少对设备、企业数据、应用程序和api的威胁。
用建立在零信任之上的云交付解决方案取代传统的VPN和SWG安全解决方案,允许组织提供有条件的应用程序访问。它还保护用户凭证和敏感数据不被键盘记录器和屏幕捕获恶意软件窃取。
这种保护超出了终端用户的范围。设备和企业数据通过使用人工智能(AI)和机器学习(ML)检测方法的一致和始终在线的威胁防护来保护。这可以防止所有应用程序、api、数据和设备的内部和外部威胁,同时降低恶意软件、机器人、DDoS和零日攻击的总体风险。
此外,统一的安全访问解决方案通过阻止内部DDoS攻击、容量攻击和云中的应用层DDoS攻击,保护应用程序和api。
为了提供这些特性,统一的安全访问解决方案应包括:
ZTNA解决方案将传统的安全范围从数据中心扩展到更接近用户和应用程序。这允许持续验证和实时自适应访问,包括分析用户、设备和位置凭证。一种Ztna.架构使用反向代理连接来建立用户和应用程序之间的安全连接。这确保终端用户只能访问他们需要的公司或网络资源,以完成他们的工作,通过不断评估上下文的,实时的活动,从来不假设一个身份是值得信任的。
应用安全解决方案旨在提供全面的企业应用程序安全性,并为在任何基础架构上运行的应用提供简化的用户体验。通常以强大的应用程序传递控制器(ADC)为中心,APP安全解决方案提供AI和机器学习功能,以提供一致的安全姿势App 保护威胁,已知和未知。使用单个供应商企业应用程序安全解决方案,无论在部署的位置,都可以通过单个玻璃窗格监控和控制所有应用程序类型,无论何处,都可以通过端到端可见性控制。
有一个综合的云计算安全解决方案,管理是集中的,而执行点是分散和分布的。这是向用户和应用程序提供更安全的有效方法。IT团队还通过只关注一个供应商来在整个网络上部署多个安全策略,从而提高供应商管理的效率。此外,它允许内部it团队专注于价值驱动的工作,而不是在多个站点上控制来自不同供应商的安全解决方案。
现代的、以云为中心的API安全解决方案一致地执行授权和身份验证,并确保全面的保护,支持跨多云设置的始终在线安全框架。由DDoS防御、机器人管理和web应用防火墙(WAFs)等安全解决方案组成的一个整体API的安全解决方案必须使用人工智能和机器学习(ML)来不断适应不断变化的API威胁,特别是在多云环境中。它们还应该提供统一的API管理,以确保易于扩展,并确保您的组织具有始终在线的集中式安全姿态。
SASE体系结构使组织更容易在整个劳动力中配置、管理和扩展网络和安全策略,具有更好的可视性和一致的用户体验。将诸如云交付安全、软件定义的广域网络(SD-WAN)、云访问安全代理(casb)、防火墙即服务、swg、ZTNA等解决方案组合成一个统一的解决方案,SASE确保组织可以提供安全的远程访问应用程序和互联网从一个单一的窗格。它们的核心是满足当今分布式工作人员的复杂需求。
一个健壮的Bot管理和缓解解决方案遵循整体生命周期,包括检测机器人,允许良好的机器人在阻止坏机器人的同时访问公司资源,并报告和记录机器人流量的类型,原点和操作。要遵循这一生命周期,这些解决方案可以部署安全控制,例如Bot签名文件和配置文件,恶意IP地址阻塞和设备指纹识别,以命名几个。
这些控制确保攻击者不能利用API漏洞窃取知识产权、囤积网络或服务器资源、执行帐户接管和损害商业智能。
随着工作负载转移到云计算和远程劳动力的增长,IT团队必须部署适当的安全解决方案,以保护他们的公司基础设施和员工,同时促进高效的工作环境。通过Citrix提供的统一安全访问解决方案,组织可以通过基于零信任的云交付安全堆栈加速数字转型并实现IT现代化。这不仅为所有终端用户、应用程序、设备和组织的底层基础设施提供了始终在线的安全姿态,而且还提供了增强的用户体验,从而提高了生产率和协作。
什么是统一的安全访问解决方案?
与分布在多个IT环境中的基于设备或多供应商的安全策略不同,统一的安全访问解决方案通过单一、完全托管的安全堆栈提供基于零信任的云交付安全。这不仅有助于保护终端用户、应用程序、设备和组织的底层基础设施,而且还允许it管理员从一个窗格中管理所有企业级应用程序、桌面和数据。
什么是适应性获取?
自适应访问授权或拒绝应用程序或资源访问基于比用户分配的角色更多的因素,包括位置、设备、请求类型和请求的时间。使用自适应访问,IT团队可以将访问的5个Ws考虑在内——其中包括每个访问和事务事件中的谁、什么、何时、何地和为什么。
如何确保远程工作人员访问安全?
正确保护远程工作人员访问首先要部署云交付的统一安全访问解决方案。这种类型的解决方案为安全访问服务边缘(SASE)和零信任网络访问(ZTNA)体系结构提供了完整的安全堆栈。其核心是一个统一的安全接入解决方案,为所有安全和网络用例提供真正的供应商整合,包括ZTNA、云接入安全代理(CASB)、安全web网关(SWG)、数据丢失预防(DLP)、沙箱、恶意软件保护、防火墙、应用程序和API保护,以及软件定义的广域网(SD-WAN)。