新型边界安全
传统的网络部署架构上,网络是基于交换机、路由器等标准网络设备建立的,通常的边界都是通过一系列的安全设备在网络访问互联网的出口搭建防御体系。通常一个新的安全边界出现包括在往运行设备不受管控(交换机、控制器、接入终端等)、在接入层交换机下面私接路由器、随身Wi-Fi等新型设备,对网络造成极大的安全隐患。
基于上述问题,信锐IoT边缘安全系统,为边缘网络持久护航,两个组件:IoT边缘安全系统+内网安全执行官,内网安全执行官以组件化形态内置于安视汇聚/接入交换机、无线AP中,通过从以下四个方面管控终端接入安全问题。
终端自动识别
很多情况下,网络管理员并不清楚自己运维的网络接入哪些终端类型,对终端的管控非常少,网管软件只能解决网络设备的管理,因此也无法防止私接共享设备。通过信锐安视交换机作为网络边界的安全执行官,对终端进行精确识别之后进行系列的安全管控措施。系统可自动识别20余大类联网终端类型,实现联网终端资产可视,且支持自定义终端类型,终端识别更精准。
信锐结合安视交换机+控制器设备推出了终端类型识别库,对接入终端进行精确识别,同时又能够防止私接共享设备。
终端分类准入
当终端接入网络,通常我们都非常关注这些终端在网络里的状态,为了满足客户的需求,我们在边界终端管理上从多个角度去分析了当前终端的安全状态:
1) 终端在网络中发生的安全事件(终端类型/位置/地址异常)
2) 终端端口迁移记录及次数
3) 网络中终端接入类型分布
终端分类准入:系统在识别出终端类型的基础之上,可联动内网安全执行官组件,实现非授权类型的终端无法接入网络。(如:限制私接路由器连接入网)
终端审批入网
为了防止随意接入网络,需要我们设置一系列的终端接入策略,信锐边界终端安全管控方案从多种维度提供终端安全管控规则。
1) 基于安视交换机接口定义终端接入类型
2) 基于IP地址,首次部署实现IP-MAC自动绑定,并自定义免审批IP和强制审批IP地址
3) 实现终端基于接入位置绑定,防止非授权终端接入非授权区域
4) 基于MAC地址自定义白名单接入终端
对违反接入安全规则的终端,通过短信、APP告警。或者自定义将终端加入冻结黑名单。
终端资产可视
支持将在网终端分门别类,以图形化形式展示,并可自动侦视、定位不安全终端、异常类型终端、位置异常终端、地址异常终端等。
终端安全管控联动安全策略
上述终端安全管控方式中,我们不难看出都是基于物理层、网络层。在当前网络IT技术飞速发展中,新型的基于应用层的攻击方式越来越多,我们通过结合安全态势感知方案,更加深层次的监测终端安全状态,实现安全态势感知平台发现的风险终端,联动控制器+安视交换机对终端进行封堵,快速识别、锁定威胁源。
