全新定义下一代网络准入控制系统

   当前企业网络准入系统的现状 

   在现代企业的内部终端管理中，网络准入已由传统安全产品转化为一项基础设施，因为网络准入是企业终端安全管理的基础，谁进入了网络、终端是否安全合规、网络权限是否正确这些都是网络准入的细节。但是随着现代企业IT架构和安全需求的变化，当前的准入系统已无法满足企业的安全需求。主要有三个方面的变化： 

   01安全威胁向传统边界和控制区域之外迁移 

   第一，安全威胁向传统边界和控制区域之外移动，以前企业的网络是烟囱式的网络，整个企业是一套大的网络，网络内部划分各隔离子网。但随着移动化办公、byod设备的使用及系统的云迁移，网络边界已经不再清晰，尤其是在当前疫情的影响下，企业远程办公逐渐增加，迫切需要一种新的准入方式实现企业内部全场景的管控。 

   02内部可信走向零信任安全体系 

   第二由内部可信走向了零信任网络，由原来的企业内部即等于可信，变为了从不信任，始终校验。传统的安全方式依据用户终端所在网络范围实现可信，即终端在生产网时，生产网的终端都是可信的。一次一种验证，这种方式显然是不安全的，这也是为什么企业开始逐步向零信任网络迁徙，通过零信任网络架构，对每一次的资源访问进行校验和重新授权。 

   03云边端一体化管控是下一代网络准入控制的关注点 

   随着中国大数据、云计算市场的普及发展和5G技术在终端准入控制市场的应用，终端承载的数据价值和功能价值也日益提升，传统准入只考虑边界的问题，但在当前多种网络环境、多类型终端形态和安全要求的情况下，下一代网络准入势必要基于零信任网络的持续验证，解决安全威胁问题，实现云边端一体化的管控。 

   下一代网络准入系统的五个关键点 

   01全网资产可视是网络准入的基础 

   随着物联网的发展进程，ip电话、摄像头等泛终端设备增多，企业内部的未知IT设备也越来越多，我们必须首先做好全网资产的可视才能做好网络准入控制。 

   02静态的安全校验存在多种安全风险 

   传统网络准入是静态校验机制，即在入网前进行安全检测，检查后就放行，在下次认证前是没有任何安全措施的，类似我们疫情期间进入一栋大厦需要检查带口罩，但只在入大厦前检查，进入大厦后随时可以把口罩摘掉，这样的静态防御是没有用途的。 

   03内部威胁感知是网络准入的最终目的 

   传统安全方案以识别用户身份，检测终端入网状态为目标，注重入网时的安全状态，而忽略了入网后的终端安全变化；下一代企业网络准入管控系统建设的路径是由资产管理开始，延伸至入网管控和持续性安全监测，最终实现对内部网络威胁检测与处置。 

   04网络的复杂性使得边界管控可能存在死角 

   当今终端类型复杂、应用系统复杂、网络复杂，安全需求逐渐改变，传统的网络意义开始逐步出现无法管控的死角。 

   05准入部署要保障网络的高可用 

   企业的数字化转型对网络的可用性依赖更高，准入部署要保障网络的高可用。 

   下一代网络准入控制整体框架 

   下一代网络准入系统的功能 

   01支持多种准入控制技术适应复杂网络环境 

   在网络适应上，通过一套系统实现多种网络环境下的准入管理和动态授权，包括交换机有线接入、无线接入、还有HUB接入、nat接入、vpn接入等场景，并可针对不同场景下实行不同的网络授权体系，实现端口级别的准入管控。 

   02多重高可用设计保障网络可靠性 

   下一代网络准入在保障网络可靠性上通过六种手段实现： 

   （一）通过传统双机热备方式实现冗余； 

   （二）实现数据库冗余，终端在入网时及入网后都会进行入网安全校验，安全校验策略存储在数据库内，下一代网络准入可实现安全校验策略的冗余，当数据库发生故障时依然可正常检验； 

   （三）认证源冗余，下一代准入系统在AD/Ldap等认证源服务器断开或发生故障时依然可以利用冗余信息实现用户认证； 

   （四）一键撤防实现紧急逃生机制； 

   （五）逃生模块可使得下一代网络准入系统在完全宕机的情况下实现逃生； 

   （六）熔断机制，当一定时间内超出预设阈值的终端数量准入认证失败时，系统自动切换到逃生，保障业务的平稳运行。 

   03全网探测实现资产的持续可见性 

   通过网络探针、终端主机探针、服务器主机探针和外部探针结合实现覆盖全网空间的资产探测能力。 

   04构建基于信任验证的动态访问控制 

   解决静态校验问题的关键在于构建基于信任验证的动态访问控制，系统可根据终端网络行为进行实时上下文关联分析，动态下发网络控制权限，并通过威胁情报信息进行威胁评级，实现快速响应。 

   三种场景：下一代网络准入需求 

   01面向企业的安全管控 

   ·面向企业员工的安全管控：建立严格的网络准入机制，避免非法终端入网，并可实现对异常终端进行端口级阻断。 

   ·适应多场景的安全合规检查：智能准入环境下，依据不同终端不同网络不同角色，进行客户端方式、插件方式及无代理方式的安全检查。

   ·SDN网络环境下的联动集成：在SDN网络中，通过Radius代理将SDN认证中心与联软准入系统进行联动。联软准入系统负责终端的802.1X 认证和终端安全检查，然后把用户身份标签返回给SDN认证中心。 

   ·外部访客接入：对于外部访客或驻场外协人员，可通过临时账号、自助注册和审批授权的方式实现网络认证和控制。 

   02物联网安全管控场景，主要针对企业内部的哑终端设备进行管理 

   传统准入的哑终端设备管理是通过IP/MAC地址添加的白名单内进行管理，但不仅维护工作量巨大，同时及其容易被伪造。同时，面多终端的哑终端设备，下一代终端通过，多种设备属性形成设备指纹，并可以关联到设备归属人。威胁检测发现威胁行为后是可以快速关联到对应归属人，而威胁行为的发现是通过多维度的数据采集进行行为建模，并形成设备类型画像，当发生差异性行为时进行快速告警和处置。 

   03云主机安全管控 

   第一种措施是通过流量监控，捕捉攻击行为，针对DDoS攻击流量阻断; 

   第二种通过伪装技术自动模拟大量内网主机（幻影），诱捕非法攻击，进行攻击路径的追溯，并进行防御; 

   第三种，基于零信任网络边界下，通过应用安全网络实现企业内部业务系统的隐藏，当用户访问业务系统时，必须经过访问控制引擎的动态认证授权，才能正常访问业务。而动态认证的参数包含了用户身份、终端类型、接入地点、访问应用和健康状态等信息。 

   整套下一代网络准入方案，在补充了传统网络准入在全网资产可见性、云边端基础安全防护及威胁持续监测响应的不足外，通过提高入侵难度，强化企业安全对抗能力，改变网络安全行业内攻防不平衡的现状。