零信任的终端安全闭环

大部分数据泄密事件都是内部员工有意或无意造成的。例如，员工把机密的规划设计图纸、核心源代码拿出去卖，或者涉密设备、U盘的丢失，员工中了病毒木马后导致的数据泄露等等。

怎样解决员工泄密问题呢？常见的终端数据防泄密技术包括：DLP、云桌面、终端数据隔离（终端沙箱）、远程浏览器隔离（RBI）等等。

一个完整的零信任解决方案应该包括终端数据安全，将数据防泄密技术融入零信任架构，根据零信任的细粒度安全策略，执行敏感数据的访问控制。

下面就来梳理一下零信任的终端数据安全方案。

零信任终端的安全闭环

从获取数据的角度看，零信任的“动态访问控制”能力可以保证——只有合法的用户设备才能访问敏感数据。但下载到设备上的数据，仍有可能被用户故意泄露。

所以，一个完整的零信任方案必须具备“终端数据安全”能力，才能形成一个完整的闭环。不能让用户通过零信任下载的文件，随随便便就被外发、拷走了。

零信任与终端数据安全技术的融合

零信任可以分别与DLP、云桌面、终端沙箱、RBI等技术融合，以终端数据安全状态为准入条件，执行零信任访问控制。

零信任架构中，网关是数据的统一入口。零信任可以在入口处，要求用户必须使用某种安全软件，才能访问对应敏感级别的数据。

例如，用户访问敏感数据时，零信任客户端可以检查用户设备上是否装了DLP、终端沙箱等安全程序，检测访问请求是否是从云桌面或沙箱容器中发出的，零信任系统可以与数据安全后台对接，检查该用户的管控策略是否足够安全，是否满足访问敏感数据的要求……综合评估用户的可信等级之后，才允许访问。

而且，企业可以在建设零信任架构时，根据场景需求选择不同的技术。例如，零信任可以要求必须在终端沙箱中，才能编辑核心源代码；必须在云桌面里才能进行安全运维；第三方合作伙伴必须通过RBI访问供应商管理系统等等。

终端数据安全方案分类

在各类技术方案中，云桌面、DLP技术太旧、口碑差，RBI技术太新、不成熟，目前最受期待，我认为最适合大面积推广的就是“终端数据隔离”技术。

数据隔离技术的成本比云桌面更低，适用场景比RBI更多，体验和安全性比DLP更高。实际上，目前国内大部分安全厂商的零信任方案中，都已经带有终端数据隔离（终端沙箱）功能了。

数据隔离技术与零信任的关系如下图所示：

终端数据隔离技术分类

简单来说，数据隔离技术就是把企业敏感数据“加密存储”，与用户的个人数据隔离开，只有合法用户才能访问加了密的数据。

数据隔离技术一般都要靠客户端实现。

（1）装了数据隔离客户端后，用户下载文件时，客户端会将敏感文件加密存储在硬盘上。

（2）用户打开文件前，客户端会校验用户身份和权限。

（3）身份、权限合法时，客户端才会将文件解密，用户才能打开使用。

（4）非法用户无法打开文件。

终端数据隔离技术中最关键的就是“加密”。根据加密方式的不同，终端沙箱技术可以分为两类——文件加密、磁盘加密。

1、文件加密

客户端会在操作系统存储和读取文件的过程中做一些手脚（hook相关方法）。在用户下载文件时，检查该文件是否属于企业的敏感文件（根据后台配置），用户设备是否合法。是的话，就加密存储。在用户打开文件时，检查用户设备是否有权限打开。有的话，才进行解密。功能特点如下：

2、磁盘加密

客户端会在初次使用时，创建一块安全区（可能是一个虚拟盘）。然后对整个“区”进行加密。用户下载的敏感文件加密保存在安全区内。用户打开文件时，如果用户设备合法，则允许从安全区中解密、打开。

2.1 安全空间

用户在安装带有终端沙箱功能的零信任客户端之后，初次启动时需要创建一个“安全空间”。创建后，可以看到磁盘上多了一个虚拟镜像文件。用户下载的企业文件都会保存在安全空间，也就是存在这个镜像文件中。这个空间中的文件只能通过专门的客户端打开、访问。

2.2 两种客户端形态

常见的客户端有两种产品形态——双桌面形态、桌面插件形态。两种形态的主要区别在于访问空间内文件的方式是不同的。

双桌面形态的功能特点

桌面插件形态的功能特点

从云基于零信任的终端安全思路

源于零信任（先认证再连接、动态授权），补齐终端的安全短板（终端数据防泄露与威胁隔离），实现“端管云”都安全。

零信任的终端安全闭环相关推荐

腾讯iOA零信任安全——IT变革下的新一代企业网
导语:2019年5月21日,腾讯全球数字生态大会在春城昆明盛大开幕.大会中TEG作为腾讯的内部技术支撑平台,在展区展出30余个技术应用.共分为资源层,资源管理层,应用支撑层,大数据平台,安全管理体系, ...
微软零信任用户访问架构解读
概述微软对零信任的理解和基于微软自身安全产品的实践,提出了零信任战略.原则及建设的关键举措和步骤,并围绕Azure AD构建零信任用户访问参考架构.本文对微软零信任访问的安全架构进行简要阐述和解读. ...
宁盾新一代身份管理AM7联合第三方ZTNA，助力零信任办公敏捷落地
传统的网络安全基于边界防护,通过防火墙将企业内部与外部隔离,无论墙外暗藏多少攻击与危机,墙内都默认是安全的.但随着云计算.移动化.5G时代到来,网络安全的边界正在逐渐走向消失,企业被迫重构安全边界,& ...
【零信任落地案例】北京芯盾时代电信运营商零信任业务安全解决方案落地项目
1方案背景随着5G.人工智能.云计算和移动互联网等技术的发展,企业不断深化信息化建设,云应用.移动办公等越来越普及,关键业务越来越多地依托于互联网开展,移动成为设备.业务和人员的显著特点,企业I ...
从理念到大型实践，揭开腾讯零信任iOA安全方案的“落地密码”
随着企业数字化转型的不断深化,远程办公.移动办公逐渐成为主流办公形式,但在复杂多变的安全环境下,如何应对来自内外部的潜在安全风险也成为了企业的必修课题. 在1月23日举办的TGO鲲鹏会杭州年度家宴上, ...
零信任-深信服零信任aTrust介绍(5)
深信服零信任aTrust介绍深信服是国内领先的互联网信任服务提供商,也是国内首家通过认证的全球信任服务商.深信服零信任是其中一项核心的信任技术,主要针对身份认证.数字签名.数字证书等方面的信任问题 ...
零信任｜IAM是基于动态身份的安全新边界
IAM概述 IAM(Identity and Access Management),即身份与访问管理,或称为身份管理与访问控制,作为零信任模型中的重要组成部分,可以实现身份管理.认证和授权等重要功能, ...
零信任策略下云上安全信息与事件管理实践
简介:随着企业数字化转型的深入推进,网络安全越来越被企业所重视.为了构建完备的安全防御体系,企业通常会引入了防火墙(Firewall).防病毒系统(Anti-Virus System,AVS).入侵防 ...
对话猿辅导：阿里云远程办公零信任落地创新安全
简介: 大型实战场景验证,灵活应对复杂环境. 2020,一场突如其来的新冠疫情,引发了史上最大规模的远程办公.疫情让安全问题暴露得更加突出,与疫情的对抗也是阿里云安全的战场. 9月18日,2020云栖 ...
零信任技术进阶篇（关键技术及挑战、BeyondCorp安全模型）
目录零信任理论所需技术零信任落地所需技术零信任网络的技术难点零信任网络控制平面如何突破零信任的挑战零信任迁移中的另一项挑战,是让员工具备该新理念的思维方式 BeyondCorp: 谷歌零信 ...

零信任的终端安全闭环

零信任的终端安全闭环相关推荐

最新文章

热门文章