许多企业通过将自己的应用程序放在云中、订阅即用SaaS应用程序、支持不断扩大的远程和移动工作队伍,热情地拥抱云计算。然而,这些实践限制了围绕以站点为中心的连接和安全堆栈构建的遗留网络的能力。依赖于基于数据中心的防火墙和vpn的一些众所周知的缺点包括大型网络攻击、不可靠的终端用户体验和管理难题。
校样点META在网络中提供进化步骤:第一个软件定义的企业Zero-trust可以将用户安全地将用户连接到数据中心,公共和私有云,SaaS应用程序和办公室的服务,以及企业所需的灵活性和性能。
网络和安全的一个破产时代
大多数企业仍然拥有特定于站点的遗留网络和网络安全基础设施;也就是说,以数据中心或公司总部等主要位置为中心。安全设备——防火墙、安全web网关、IDS/IPS设备等等——位于网络基础设施中,似乎在网络、应用程序和站点中包含的数据周围创建了一个安全的边界。
接下来的假设是,员工在特定的时间到该站点工作,通过有线或无线连接登录到网络,并访问他们的日常业务应用程序。远程员工使用特定于公司的VPN回到家庭网络,即使他们想访问基于web的应用程序或Internet。分支机构使用广域网,通常带有专门的MPLS线路,来访问公司的应用程序和资源。10bet十搏欧洲杯首页无论它来自哪里,所有的流量都被反向转移到这个特定于站点的中央网络,并通过安全边界,然后被路由到它最终拥有的任何目的地。
如果是在2005年,这种网络体系结构就会运转良好。但事实并非如此。
云迁移和移动劳动力:不同的网络安全需求
如今的工作方式与当时的情况几乎不一样。如今,许多企业应用程序、工作负载和存储都在云中,因为公司采用了“云优先”策略,以摆脱拥有和管理基础设施的业务。他们正在将自己的定制应用程序迁移到云上,以便在亚马逊AWS或微软Azure等平台上运行,同时还订阅了Office 365、Salesforce、Workday、ServiceNow等企业SaaS应用程序,以及无数其他生产力应用程序。
在特定工作时间内,人们始终在同一办公室位置工作的想法在2018年似乎很古怪。工作日没有在下午5点结束;许多人在晚上和周末在家额外工作时间,他们需要远程访问他们的办公室电脑。人们是手机;他们在家里工作或无论他们碰巧都在哪里工作。事实上,有些人甚至可能永远不会去公司网站 - 特别是如果他们不是公司的实际雇员。组织的员工队伍很可能包括承包商,合作伙伴和顾问,他们需要不同级别的应用程序,数据和其他公司资源。10bet十搏欧洲杯首页更重要的是,工人可以使用非公司拥有的非托管设备,因为他们访问网络和应用程序。
随着人员和计算资源分散,未知设备从附近或远处连接,以10bet十搏欧洲杯首页及基于云的应用程序现在对商业运营至关重要,传统的以站点为中心的网络安全边界早已消失。然而,随着威胁变得越来越普遍和破坏性,网络入侵和攻击的报告越来越频繁,我们比以往任何时候都需要强大的安全。
不可能的任务:保护周边与过度许可VPN
就网络而言,无论在哪里工作,人们都必须与某物相连。今天,大多数组织通过将员工连接到公司数据中心或
总部。
对于那些在办公室工作的员工,它通常是一个简单的局域网或广域网连接;办公室以外的人(即移动或远程工作者)通常通过VPN连接。这两种连接方法的安全范例都有缺陷,因为一旦经过身份验证的用户访问企业网络,他们就被认为是“受信任的”,对网络的访问范围太广。vpn有其自身的问题,因为用户体验可能很差,而且从IT的角度来看,vpn可能很难管理。
当组织使用云应用程序时,连接和安全挑战升级。对于分支机构或移动工人,企业可以将所有流量带回总部网络集线器,然后将其发送到云端或允许流量从用户的任何地方直接转到云。向中央设施的所有远程流量加回程并不实用。公司执行此操作以执行内部部署安全堆栈,但这种做法对网络和应用程序性能进行了压力,并降低了用户体验。更重要的是,移动用户失去了“地点”,这意味着一个远离家庭网络旅行的人 - 也许脱离了这个国家 - 仍然有他们的流量回到网络集线器,这导致延迟和吞吐量问题。
允许用户流量直接到云或互联网过度危险。这种练习规避公司安全基础架构和政策,不允许记录所有流量以获取审计和安全目的。公司在另一个安全解决方案之后安装一个 -10bet中文网用于SaaS应用程序的casb和IAAS / PAAS的VPN,与越来越多的实例变得更复杂和昂贵。
部署这么多的安全解决方案,特别是对于云应用程序来说,这根本不是实用的或性价比的。10bet中文网它强迫公司IT部门成为系统集成商,以使许多不同的解决方案共同努力,因为试图抓住多孔安全性周长。10bet中文网
网络和网络安全的新范式
随着计算范例Go,许多企业仍然处于努力与这些网络和安全挑战的早期阶段 - 它只随移动性的增长,云/多云的应用程序和用于计算集线器的传统“网站”,它只变得更加复杂。消失。
目前以现场为中心的网络和网络安全架构不能满足今天的需求,更少明天。需要什么是一个新的,以用户为中心的网络和安全方法。这是什么意思?
- 它们不是将用户连接到特定的地点,而是通过在全球范围内安排的本地存在点(POPs)来实现“始终在线”的安全连接,从而连接到全球网络。
- 而不是将云视为筒仓,云连接到元Naas,并从那里到达数据中心,办公室或其他云。多供应商,轻松启用跨云网络。
- 除了保护网络周边,还有一个每个用户的软件定义的周长(SDP),为工人微量分段访问他们所需要的应用程序和网络资源。10bet十搏欧洲杯首页
- 而不是将企业IT部门转换为系统集成商,而在云中存在一系列最佳的网络安全堆栈,而企业可以将其所需的安全服务连锁在一起。10bet 十博没有苹果安全性在网络中的每一点都普遍存在
元网络:零信任网络即服务
Proofpoint Meta正在构建面向企业提供以用户为中心的计算的结构。网络即服务(network -as-a service, NaaS)是一个全球覆盖网络,它是全球性的、多租户的,但对于每个客户组织来说,它的功能就像一个私有企业广域网。这个网络的所有基础设施都是由Proofpoint Meta提供的,都在云端,所以客户组织没有硬件可以部署。
元NaaS™
这元Naas.在世界各地都有密集的存在点网络。最终用户、遗留数据中心、分支机构和云都通过最近的本地POP连接到NaaS。用户有两种方式连接到POP。一种是始终在线的基于vpn的连接,推荐用于受管理的公司设备。另一种方法是基于浏览器的安全远程访问,最适合个人设备和非雇员(如承包商、合作伙伴和顾问)。
所有用户流量 - WAN,LAN和Internet - 流过这个网络,在那里它是安全和审计的。互联网流量在本地流行音乐中突破。从技术角度来看,该网络就像一个非常大的分布式标识的路由器,校样点Meta正在云中部署。政策摘要物理拓扑和与用户和资源的处理。10bet十搏欧洲杯首页
因为所有的流量都流经这个网络,所以企业可以有一个全面的安全方法,包括对企业应用程序和数据的访问以及Internet访问。这对于确保设备在与企业网络断开连接时不会被攻破至关重要。有了Meta NaaS,企业可以放心地为员工提供“永远在线”的VPN安全模型,而许多其他软件定义的边界解决方案忽略了互联网。10bet中文网这意味着企业需要为互联网流量找到另一种解决方案,否则就会让设备容易受到攻击。
元NAAS具有零信任架构,其中每个用户受软件定义的周边绑定。每个用户都有一个唯一的固定身份,无论他们连接到此网络。SDP安全框架允许按照用户和所需的特定资源之间动态创建的一对一网络连接。10bet十搏欧洲杯首页NAAS上的其他一切都对用户无形。除非明确授予它,否则无法访问,并且在数据包级别持续验证。该模型有效地提供了动态配置的安全网络分段。
该过程还确保尝试加入网络的所有端点都经过认证和授权,然后在访问网络上的任何资源以及整个会话中访问。这不仅适用于网络的最小权限原则,而且还通过隐藏来自未经授权或未经认真验证的用户来减少攻击表面区域。10bet十搏欧洲杯首页
除了以用户为中心的SDP之外,还有很多传统的安全服务可以作为网络功能提供。10bet 十博没有苹果客户组织可以选择其首选的、最佳的服务,并将它们“链”起来,以便流量连续地通过所有适当的安全点。这使得Proofpoint Meta的企业客户可以拥有一个定制的安全堆栈,包括他们选择的最佳品种的产品,而不是有限的垂直集成产品。
集成发生在云中,而不是在办公设备或终端用户设备上,这为企业节省了时间和劳动力。这意味着这些产品几乎是零接触的、基于策略的供应。
Meta NaaS™的主要特点
以下是元网络即服务的一些关键特征:
原生云
Meta NaaS在全球范围的持久性有机污染物(PoPs)骨干之上利用安全云覆盖。pop的密度确保用户和网络之间的最后一英里总是很短,因此可以实现低延迟和稳定的VPN连接。流量使优化后的网络尽可能接近其目的地,从而进一步减少延迟(如果它们托管在同一个云互联网交换中,有时会接近于零)。企业在访问云和互联网服务时可以避免返回到私有数据中心。
以用户为中心
这个网络是围绕用户建立的,而不是围绕特定的站点或办公室。所有连接本质上都是“始终打开”的。人们可以在任何地方用任何设备进行连接。该网络支持Windows、macOS、iOS、Android和Linux设备的本地客户端。软件定义的周界控制用户可以访问哪些资源的集中策略。10bet十搏欧洲杯首页用户体验是异常的。扩展的、完全的软件定义的网络保证了低延迟,并被设计为支持数百万并发用户。
可伸缩的
Meta NaaS已经被构建来支持数百万并发的IPSec隧道,这些隧道将用户和应用程序连接到NaaS基础设施。该网络的构建是为了向外扩展,并支持发送到它的任何不断增长的流量。持久性有机污染物的密度及其靠近用户和资源的位置提供了优异的性能,而不管连接的用户数量如何。10bet十搏欧洲杯首页
零信任访问
软件定义的边界意味着网络具有端到端强身份支持的微分割。企业对所有网络访问都具有完全的可见性,在数据包级别进行验证和执行,在用户/设备级别进行审计,无需关联来自不同来源和服务的数据来提供每个设备的审计和流量详细信息。
开放的安全堆栈
企业可以选择他们喜欢使用的安全服务。10bet 十博没有苹果Proofpoint Meta与世界领先的安全供应商合作,将他们的解决方案集成为网络服务。10bet中文网服务可以被链接,以便流量在穿过网络之前通过多个安全解决方案,可以是企业资产,也可以是internet绑定流量。10bet中文网
全面的、不可信的审计日志
无论用户设备从哪里连接,Meta NaaS总是捕捉所有流量的完整日志。任何需要使用这些日志的服务都可以访问和使用这些日志。例如,这些审计日志可以用于分析工具,例如用户行为分析来检测异常,或者用于取证工具来确定围绕某个事件或活动发生了什么。审计跟踪还支持法规遵从性需求。
容易部署
没有设备需要安装。企业客户不需要购买、维护或管理任何RAS或VPN集中器。与运行自己的网络的企业相比,它的设置和拆除非常简单,节省了创建隔离的DMZs、将外部用户引入Active Directory以及配置复杂防火墙的时间和不必要的风险。它很容易让工作人员将应用程序和数据带到网络上。云交付的安全进一步减少了安全服务的上线、切换和维护。10bet 十博没有苹果一旦对拓扑进行了抽象,网络的所有管理都是基于策略的、集中管理的,并立即全局实施。
有关校样点归零信任安全性的更多信息,我们的更多信息网络研讨会。
订阅校对点博客