博客 | 首席技术官办公室

混合工作正在推动向以身份为中心的安全转型

Lori MacVittie 缩略图
洛里·麦克维蒂
2021 年 8 月 16 日发布


毫无疑问,COVID-19 疫情是本世纪最具破坏性的劳动力事件之一。 当组织被迫处理远程劳动力时,中断就开始了,他们发现这不仅是可能的,而且还能提高生产力。

过去 18 个月,各组织对远程工作的态度发生了重大变化,但还没有完全接受这种模式。 是的,有些组织正在并计划继续以“完全远程”模式运营。 但更有可能的模式是混合模式;在这种模式下,一些员工在家工作,一些员工在办公室工作,还有一些员工则以两者结合的方式工作。

关于谁应该决定员工每天在哪里工作以及他们应该在办公室工作多少天的争论愈演愈烈,但总体而言,完全混合劳动力的概念已经被那些能够支持的行业所接受。

在 11 月 24 日至 12 月 5 日期间接受调查的 1,200 名员工中,超过一半(55%)表示他们更喜欢每周三天远程工作。 与此同时,133 名美国高管中,68% 表示员工每周应该至少在办公室工作三天,他们担心公司文化无法在纯粹的远程工作模式下生存。

(来源: 美国人力资源管理协会 (SHRM )

我个人以超然的兴趣观察着这些讨论,因为我从来没有去过办公室,相信我,我也不会去。 从 I94 到西雅图的路程真的非常非常长。

我的通勤

老实说,混合工作模式的实施细节并不像结果那么重要:员工每周每天都会在家和办公室工作。 混合工作是新的默认设置。

这个看似简单的陈述对未来的访问策略有着深远的影响。

基于 IP 的访问

您会发现,传统的基于 IP 的技术很大程度上依赖于一组固定的网络范围和地址。 策略根据 IP 拒绝或允许访问网络和应用资源。

这就是 VPN 的意义所在;有效地为您分配一个“本地”IP 地址,该地址属于允许在公司网络中自由使用的 IP 地址范围的一部分。

现在,我们可以继续这样做。 但我们不会这样做——至少对于大多数劳动力来说不会。 总会有操作员和工程师需要 VPN 提供的那种网络访问,但说实话;我不需要 VPN 来浏览 Confluence 或 SharePoint,或者在 Slack 上咨询架构师。 如果我的生产力和通信需求可以通过应用完全满足,那么我真的不需要访问网络。

坦率地说,鉴于恶意软件、勒索软件和其他恶意软件的事件日益增多,限制网络访问可能是我们现在可以采取的最佳安全策略转变。 这些破坏性构造物能够访问的资源越少越好。

这是一个真正的威胁,因为现实情况是,混合(很大程度上是临时)劳动力可能会感染一些恶意软件,有一天登录 VPN,然后,BAM! 你有麻烦了。 这就是良好的 VPN 解决方案首先包含扫描和健康检查的部分原因。 但并非所有 VPN 解决方案都是好的解决方案,即使 VPN 解决方案可以提供扫描,某些组织也不需要扫描。

对于应用访问解决方案来说,这并不意味着阳光和独角兽。 因为很多都是基于IP的,而在企业中,有很多IP地址需要管理。

单个 NetOps 必须管理的网络设备数量非常多 – 超过一半的设备管理着 251 到 5000 台设备。 ( NetDevOps 年度调查

2020 年 NetDevOps 调查

除此之外,还有我的个人、私人家庭 IP 地址,以及今天可能在家工作的其他所有人的个人、私人家庭 IP 地址。 哦,我们不要忘记需要保护的机器对机器通信的数量正在不断增加。 思科年度互联网报告预测,“到 2023 年,地球上联网设备的数量将是人类数量的三倍多。 全球大约一半的连接将是机器对机器的连接。”

结果是一个站不住脚的模型,它让运营商、安全团队以及最终必须执行政策的服务和系统不堪重负。

身份就是道路 

混合工作所带来的安全挑战比数字化快速发展所带来的挑战更为严峻。 总之,这些挑战将推动安全模型走向以身份为中心的方法。 这种方法不仅考虑人类用户,还考虑工作负载、设备和脚本形式的机器用户。 毕竟,工作量正像人一样不断变化。 最终,无论使用什么 IP,工作负载 A 仍然是工作负载 A。 不管我是在家里的办公室,还是在明尼阿波利斯的机场,还是在西雅图的办公室,我都还是我。

虽然 IP 肯定可以是身份中心安全策略的一部分,但它并不是允许访问资源的主要或决定因素。 相反,它成为一种有助于确定需要什么级别的身份验证的属性。

如果我使用 VPN/公司网络,也许我的凭证就足够了。 但如果我不是,那么也许应该需要我的凭证和第二个因素。 如果我尝试从以前未见过的 IP 地址访问,可能还存在第三个因素。

无论IP地址如何使用,它都不应该再单独使用。 甚至对于工作量来说也是如此。 毕竟,恶意软件可能“在”企业网络上,但绝不应该被允许访问应用和资源。

此外,我们需要将对身份的理解扩展到人之外,还包括我们越来越依赖的工作负载、应用和设备。

我确信我不需要提及 SolarWinds 的失败。 但是您是否意识到像Siloscape这样的威胁,它被描述为“恶意软件,撬开 Web 服务器和数据库中的已知漏洞,以危害 Kubernetes 节点和后门集群”以及错误配置的管理控制台的威胁。 许多管理控制台主要通过基于 IP 的控制来保护,但这些控制最终会被禁用,因为它们会干扰远程访问——这是当今混合工作模式中的必须。 更加强大的基于身份的访问控制可以提供针对劫持和未经授权使用的保护,无论其来源位置如何。 此外,强大的以身份为中心的安全性将提供保护,防止试图感染、劫持或以其他方式利用“公司网络”安全中的其他资源的受损系统。

我们长期以来一直在慢慢地走向基于身份的安全。 但自动化和数字化的爆炸式增长,以及混合工作模式的趋势将加速这一进程,直到我们最终放弃 IP 地址作为访问控制的主要方法。

以身份为中心的安全才是出路。