自2020 年开始,新冠疫情的爆发导致各企业、机构大规模转向了远程和混合工作环境,这大大增加了其攻击面和风险。同时,许多公司加速实施云计划,以提供对数据和资源的访问;企业复工后的BYOD 策略允许员工通过家庭和个人设备访问公司资产;供应链合作伙伴现在也需要远程访问信息……这一系列变化无疑为不法分子提供了全方位的攻击机会,这也是近年来网络攻击事件不断增加的主要驱动因素之一。
到目前为止,各公司依靠虚拟专用网络 (VPN) 和基于本地的安全方法来实现安全的远程访问。新冠以来,这些方法的局限性变得愈发明显。首先VPN在部署上无法真正实现按需扩展,这使得在BYOD以及合作伙伴设备上进行安装维护极难落实;同时,混合云环境中部署、使用VPN十分复杂,企业往往需要面对性能与灵活性下降的影响;最后VPN与本地安全方法大多缺乏面向DevOps和工程用户的特权访问管理(PAM)功能,使得它们的运维成本十分高昂。
因此,零信任网络访问 (ZTNA) 正成为标准化安全架构的关键要素。ZTNA 模型“从不信任并始终验证”。实施时,ZTNA 能够:
• 根据具体应用限制访问;
• 随时随地对每个设备和用户进行身份验证;
• 深知当今复杂网络态势,不做任何假设。
Gartner® 将 ZTNA 定义为“可创建基于身份和基于上下文的逻辑访问边界的产品和服务。代理在验证特定参与者的身份、上下文和策略遵从性后方可允许访问,并能够最大限度地减少在网络中其他位置的横向移动。”
如下所示,Gartner 的定义将控制层与数据层分开。
ZTNA 不仅仅是 VPN 的替代方案,还能够确保机构网络内外部的所有用户和设备在被允许或支持访问应用和数据之前,均经过身份验证和授权并通过安全配置和防护的持续验证。
选择最佳 ZTNA 解决方案
Check Point建议在为企业的环境评估 ZTNA 解决方案时,应考虑以下几大要素。
确保支持所有用户
解决方案必须确保员工、第三方合作伙伴、工程团队和 DevOps 用户能够安全访问并使用托管设备、BYOD 设备及移动设备。同时,该方案可以支持使用托管设备和无客户端架构的员工安全访问 Web 应用、数据库、远程桌面及安全 Shell (SSH) 服务器。对于需要访问多云环境和单点登录 (SSO) 至服务器、终端及数据库等专有资源的团队,务必考虑基本PAM 要求。
确保支持所有目标资源
确保 ZTNA 解决方案支持所有高优先级专有应用和资源,而不仅仅是 Web 应用。其中包括访问 SSH 终端、SQL 数据库、远程桌面 (RDP) 及服务器。DevOps 和工程团队需要零信任访问基础设施即服务 (IaaS) 产品、云生产环境、微服务及虚拟私有云。
确保操作简便
该方案需支持企业在不增加人员成本的情况下,以最低限度的维护获取最大安全能力。同时,该方案需具有统一控制台的基于云的解决方案,不仅易于使用,而且还能够提供所有 ZTNA 用例的可视性。
确保高性能和服务可用性
ZTNA 服务必须提供接近 99.999% 的正常运行时间和可满足服务水平协议 (SLA) 的高性能。查看厂商的 SLA 标准,寻找在每个区域中支持冗余的全局接入点 (PoP) 网络。
确保零信任安全稳健性
寻找将控制层和数据层分开的 ZTNA 解决方案,以真正实现对应用及其他资源的最低权限访问。该解决方案应提供细粒度应用内控制,例如读取、写入、管理权限并支持在命令和查询级别实施策略。它可通过访问视频会话记录报告群组、用户及应用使用情况,从而提供深度可视性。还需检查其他集成式安全特性,例如沙盒、云 IPS 和 DLP。
面向未来的安全服务边缘的一部分
考虑如何通过安全服务边缘 (SSE) 将 ZTNA 解决方案扩展到其他应用,例如分支机构访问、互联网接入、专有应用。保护远程 ZTNA 是构建更大的零信任安全架构的关键一环。
为何选择 Check Point Harmony Connect 远程访问
Check Point Harmony Connect 远程访问可有效保护对位于数据中心、IaaS、公有云或私有云中的任何内部公司应用的访问。易于使用,可在 10 分钟内完成部署。
Harmony Connect 远程访问可通过以下两种方式实施:
• 无客户端应用级访问:通过细粒度应用内控制将直观的 ZTNA 应用于 Web 应用、数据库、远程桌面及 SSH 服务器。由于无需代理,因此非常适合保护员工自有设备和第三方合作伙伴的远程访问。它还能够为需要丰富的云原生自动化功能的工程和 DevOps 团队提供安全访问。
• 基于客户端的网络级访问:该 VPN 即服务选项非常适合保护员工通过托管设备进行访问。它添加了嵌入式云 DLP 和行业领先的 IPS,可保护应用免受最新漏洞(如 Log4J)的影响。
好文章,需要你的鼓励
南洋理工大学研究团队开发了WorldMem框架,首次让AI拥有真正的长期记忆能力,解决了虚拟世界模拟中的一致性问题。该系统通过记忆银行存储历史场景,并使用智能检索机制,让AI能准确重现之前的场景和事件,即使间隔很长时间。实验显示在Minecraft和真实场景中都表现出色,为游戏、自动驾驶、机器人等领域带来广阔应用前景。
AWS通过升级SageMaker机器学习平台来扩展市场地位,新增观测能力、连接式编码环境和GPU集群性能管理功能。面对谷歌和微软的激烈竞争,AWS专注于为企业提供AI基础设施支撑。SageMaker新功能包括深入洞察模型性能下降原因、为开发者提供更多计算资源控制权,以及支持本地IDE连接部署。这些更新主要源于客户需求,旨在解决AI模型开发中的实际问题。
MTS AI研究团队提出RewardRanker系统,通过重排序模型和迭代自训练显著提升AI代码生成质量。该方法让13.4B参数模型超越33B大模型,在多种编程语言上表现优异,甚至在C++上超越GPT-4。通过引入困难负样本和PPO优化,系统能从多个代码候选中选出最优方案,为AI编程助手的实用化奠定基础。