3月29日消息 受全球新冠肺炎疫情影响,居家办公将成为大多数公司的“新常态”。美国推特公司甚至宣布,将允许旗下所有员工“永久居家办公”。
对于员工而言,这的确是个很大的便利;但对于企业的IT部门而言,却是个巨大的挑战。IT部门将不得不面对繁重的运维压力和薄弱的远程安全防控能力挑战,特别是层出不穷的网络钓鱼攻击。如何解决在远程办公的浪潮中,所面临的数字化安全问题,需要CIO们仔细考虑。
作为负责提供安全数字化体验的智能边缘平台,Akamai区域副总裁暨大中华区总经理李昇指出:“中国区的企业很多都采用移动优先策略来实施远程办公,高度分散的远程区域办公意味着企业需要关注面临的风险,特别是在实施访问控制时防范风险。Akamai针对性的推出了Akamai MFA解决方案,使用智能手机应用程序将现有智能手机转变为硬件安全密钥,无需单独部署和管理硬件安全密钥,将成为向安全数字化工作场所转型的强大催化剂。”
Akamai区域副总裁暨大中华区总经理李昇
防范网络钓鱼:安全、成本与体验并重
Akamai亚太及日本地区企业安全产品管理高级总监Nick Hawkins指出,随着公司资产不断向线上迁移并且对地点的依赖性日益降低(远程工作队伍、基于云的内部应用等),应用安全和访问控制也必须更新换代。
Akamai亚太及日本地区企业安全产品管理高级总监Nick Hawkins
在众多防护手段中,多因素身份验证(MFA)通常被视为一项对身份认证访问安全措施的重要补充,但许多企业机构并没有充分认识到将MFA加入到访问环境安全层所产生的影响。虽然与单因素的用户名/密码认证相比,传统的MFA能够大大降低风险,但由于它依靠个人来验证和连接安全请求与审核,因此仍然容易被多种认证安全规避方法所破解。所以它容易遭受一些类型的攻击,包括网络钓鱼、中间人攻击、重放攻击和社会工程陷阱等。
解决传统MFA问题的建议方法是使用基于FIDO2的认证机制。该认证机制会对登录证书进行加密,并且这些证书永远不会离开用户的设备。然而到目前为止,成功实现这种认证的唯一方法是使用物理安全密钥。但是要实施物理安全措施会产生前期硬件成本、长期管理和实施成本以及员工丢失密钥和需要更换密钥等令人头疼的问题。
针对这一问题,Akamai MFA使用基于标准的身份验证方法以及智能手机应用程序来取代物理安全密钥,为员工提供了可防范网络钓鱼的易用体验。该解决方案利用的FIDO2可提供端到端加密和密封的请求/响应流,使得企业在不增加成本的情况下获得出色的多因素身份验证安全性,并且提供了基于身份验证需求增长而升级的简单路径。此外,方案还杜绝了提供物理安全密钥所带来的成本和物流问题,同时还能让员工可以获得更完美的体验。
多维度入手:夯实多层次安全策略
对于企业级用户而言,安全强度、实施成本和用户体验是三个最为关注的维度。在Akamai看来,企业安全始终需要在三者之间实现微妙的平衡。在大多数解决方案中,越是增加安全组件的强度,成本就越高并且用户体验通常会变得越差。
但作为一项比较独特的创新解决方案,Akamai MFA可以同时满足提高应用安全,同时降低运营成本,改善用户体验三大诉求,为用户和网络安全团队提供了更强大、更安全的体验,同时帮助企业机构实现安全、成本和用户体验之间的最佳平衡。
当然,Akamai MFA只是Akamai整体安全解决方案的拼图之一。Nick Hawkins指出,企业级安全必须是一个多层次的安全策略。MFA是用户访问验证的一个组成部分,应被放入一个更大的应用访问安全架构中,该架构应能够验证身份、确定访问权限并且还可以确定设备的健康和状态,并与企业机构的首选身份提供程序(IDP)集成。比如Akamai的Enterprise Application Access很好地展示了如何将所有这些元素整合到一个安全应用访问解决方案中。
该实践中,来自IDP的信息可以用于确定哪些组的员工可以访问哪些应用。然后,可以使用Akamai MFA等解决方案向用户发出安全访问验证请求,确保访问应用的用户获得授权和相关的认证。此外,还可以通过设备状态验证等附加检查来确认用于访问的设备是否符合所有相关的安全标准,比如操作系统补丁级别、磁盘加密等。如果设备未通过所有验证检查,设备状态验证程序将禁止其访问应用,即使用户已获得授权和认证也不例外。
在可用性方面,Akamai MFA部署在Akamai智能边缘平台之上,可通过具有韧性和性能的、全球覆盖的Enterprise Center进行集中激活和管理。该服务可与Microsoft Azure AD、Okta和Akamai自己的Enterprise Application Access等市场领先的身份提供程序相集成。对于安全Shell(SSH)和Windows登录用例,该服务还支持其他集成。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。