用新一代端点网络安全客户端取代传统 VPN 和 NAC 解决方案
随着每天成千上万的知识型员工加入移动工作队伍,全球企业正在收获运营灵活性、提高生产率和变革性协作的好处。移动设备无处不在,这意味着任何碰巧是移动设备的员工都可以连接他们的设备,从任何地方访问企业网络,无论是在家里、在野外还是在移动的任何地方。
毫无疑问,远程工作人员为企业带来的好处数不胜数,但同时也带来了巨大的安全风险。每当员工带着笔记本电脑或智能手机离开企业园区的物理边界时,他们就离开了网络安全边界的保护。确保漫游员工的安全是保护员工和企业网络免受入侵风险的首要条件。
各组织清楚地认识到这些风险,并通过只允许授权用户和设备连接网络来减轻风险。通过应用适当的访问控制和安全策略,它们可确保漫游员工从典型的企业网络外围进行访问。IT 人员通常依靠虚拟专用网络或 VPN 作为关键,为移动工作人员配置安全的加密连接,以便远程访问企业网络。
传统的 VPN 使移动工作人员能够通过笔记本电脑、平板电脑和手机,在不受信任的个人或公共网络上访问企业专有数据,就像这些设备直接连接到组织的中央网络一样。网络访问控制(NAC)解决方案(可选择在企业内部实施)只允许符合预定义安全策略的经过身份验证的移动设备在用户在办公室时检索企业网络中的专有资源。
因此,简单地说,这些传统的 VPN 和 NAC 解决方案只有两个主要用途:前者为移动员工配置企业网络的远程访问连接,而后者只在员工身处办公室时才对其经过认证的设备进行访问控制。然而,两者都无法满足当今组织的需求:即为其移动员工和企业网络提供高级保护,防止当今普遍存在的现代漏洞。
传统解决方案无法保护移动用户免受现代漏洞攻击
如今,传统的 VPN 和 NAC 解决方案在提供万无一失的安全性方面存在不足。这些解决方案并不是为数据和用户无处不在的新世界而设计的。由于企业数据和应用程序越来越多地从云端交付,威胁面大幅扩大,使得传统解决方案通常只能提供足够的保护,以应对不断增长的安全风险。
虽然 VPN 只能提供远程连接,NAC 也能提供一定程度的内部合规性检查和访问控制保护,但遗憾的是,它们无法保护移动工作人员免受当今高级威胁参与者的高级攻击手段--如高级持续威胁、SaaS 威胁、鱼叉式网络钓鱼和身份盗用。对于 IT 人员来说,传统解决方案无法消除远程访问盲区,而这些盲区正是由于无法深入了解通过安全 VPN 传输的应用流量而产生的。除了在安全方面失败之外,光是部署一个带有 VPN 的 NAC 解决方案就增加了成本、复杂性和管理工作量。
端点新一代网络安全客户端的优势
用于端点的下一代网络安全客户端在防范现代漏洞利用方面更进一步:
提供全面的交通可视性:它通过使用作为互联网网关部署的组织新一代防火墙(NGFW)来检查所有流量,从而保护移动用户的安全,无论是在外围、非军事区(DMZ)还是在云中。
阻止高级威胁: 它能从移动用户的流量中识别出新的、以前已知的和极具针对性的恶意软件,从而预防高度规避的高级威胁从被入侵的端点渗透到企业网络。远程访问客户端通过自动威胁检测和预防服务对所有流量进行恶意软件检测,从而将新一代防火墙的安全保护功能扩展到远程用户。
控制 SaaS 应用程序的访问:它通过对认可和允许的 SaaS 应用程序执行策略,同时阻止不认可的应用程序,从而提供对 SaaS 应用程序的安全访问。
实施零信任:它实施零信任原则,如可靠的用户识别和多因素身份验证,只允许在需要知道的基础上访问敏感信息。
实现对第三方的安全应用级访问:它只需通过 Web 界面启用无客户端 SSL VPN,就能为合作伙伴、业务伙伴和承包商提供安全的应用程序访问,而无需他们从其未受管理的 BYOD 设备上设置完整的 SSL VPN。
下表对用于端点的下一代网络安全客户端、传统 VPN 和传统 NAC 解决方案之间的主要优势进行了基本比较。
| 主要优势 | 面向端点的新一代网络安全客户端 | 传统 VPN | 传统 NAC |
提供远程访问 |
✔ |
✔ |
X |
提供安全连接 |
✔ |
✔ |
X |
预防互联网和 SaaS 威胁 |
✔ |
X |
X |
防止身份盗窃 |
✔ |
X |
X |
保护内部网络 |
✔ |
X |
✔ |
实施零信任 |
✔ |
X |
X |
根据用户、设备、内容和应用执行访问策略,实现全面的可视性和细粒度控制 |
✔ |
X |
X |
要进一步了解 Palo Alto Networks 如何利用其面向传统网络边界之外端点的下一代网络安全客户端确保移动和漫游用户的安全,请获取我们的 GlobalProtect 数据表。
