博客

从网络访问控制到网络分割的演变

迈克尔DeCesare 首席执行官兼总裁 | 2019年11月6日

在过去的20年里,网络访问控制的原则基本上保持不变.

组织将以超级二进制的方式实现NAC. 网络上的设备要么被允许,要么被阻止. 他们要么获得了公司级别的权限,要么被限制为访客. 这些就是选择.

但技术领域的格局似乎在一夜之间发生了巨大变化. 物联网(IoT)爆炸式增长,大量设备上线,迅速超越了Windows和Linux. 许多这些新的物联网和运营技术(OT)设备从来都不是为了消耗代理而构建的, 这意味着NAC不再申请了. 无法保护——甚至无法看到——这些设备意味着您的组织将暴露于攻击之下.

将无代理

NAC的第一个重大发展是无代理. 欧博allbet网址多年前就引领了这一潮流,我们的愿景是为所有设备提供相同的执行和控制原则——从企业拥有的计算机到物联网设备,再到OT到云. 要做到这一点,解决方案必须是无代理的,才能真正成为企业范围的解决方案. 

这是一个巨大的技术挑战,但在今天这个互联的世界里,它被证明是正确的. 现在,在我们管理的7600万台设备中,只有大约25%是Windows或Linux. NAC最初被制造出来的原因是它只占我们看到的设备数量的四分之一. 其他供应商也意识到了同样的趋势,你也开始看到设备可见性 & 控制——正如我们现在所说的——作为一个范畴获得了巨大的动力.

分割把所有的东西都结合在一起

但科技领域的格局一直在变化. 网络已经变得越来越复杂,并且在整个校园内相互连接, 数据中心, 云计算和OT环境,以及组织在其组织周围设置防御边界的能力已经消失.   

这些趋势促使下一个主要的转变是宏观网络分割. 这正在发生. 组织希望采用零信任模型,该模型假定所有设备都不可信. 实现这一目标的方法是实现动态网络分割. 这意味着设备与同类设备分组,以限制东西交通. 然后,如果设备受到损害或不那么可信,它就有能力调整这些策略, 减少它可以访问的系统数量,直到设备全部被清除或屏蔽.

当组织试图实现网络分割时,他们遇到的问题是可用的工具只能解决这些挑战. 从历史上看,没有一种产品能够在整个企业中实现它们的目标. 其结果是一个低效且昂贵的支离破碎的环境. 随着企业增加数百万新设备和其他技术,这只会让企业变得更加笨拙, 就像云. 难怪今天的大多数组织仍然受困于一个容易受到攻击的大型扁平网络.

现代网络中的网络分割

今天欧博allbet网址推出 eyeSegment, 一个基于云的产品, 当与欧博allbet网址设备的可见性和控制平台配对时, 可以告诉组织他们的网络上有什么设备,这些IP地址在与什么通信. 它将数据转换为用户的逻辑分类, 应用程序, 服务, 以及整个企业的设备——这是你需要作为网络分割基线的深度粒度.

从那里, 组织可以使用逻辑业务上下文来设置策略,并跨实施解决方案编排策略, 比如下一代防火墙或SDN. 简而言之,eyeSegment允许组织应用动态 零信任 跨越所有环境和所有设备, 前台的电脑和ceo的笔记本电脑有不同的政策.

当设备超出这些策略或正常的行为模式时,eyesegement会标记它们. 例如, 如果一个安全摄像头通常只和数据中心的三个特定服务器通话, 然后开始拨号到一些通常不会的东西(比如互联网). 它还允许组织在将这些策略付诸行动之前对它们进行测试, 这意味着更高的效率和更少的业务中断.

这就是事实 网络市场细分 应该是什么样的, 组织有能力在整个校园范围内推广它, 数据中心, 云计算和不. 这终于给了首席信息官阻止横向威胁移动的能力. 所有这些都是围绕一个开放的、异构的网络环境构建的.

欧博allbet网址处于一个独特的位置来实现这一点. 我们参与了NAC的第一次迭代,那时候它还只是二进制控制. 我们推动了无代理的转型,现在我们正把我们的赌注押在网络分割这一未来上.

兴奋地发射 eyeSegment 今天. 它将改变我们帮助CISOs解决他们在安全方面最大问题的方式.