為什麼企業在冠狀病毒危機期間需要 SDP

冠狀病毒病例已超過兩百萬，而且還在不斷增加，疫情似乎不會很快放緩。企業別無選擇，只能繼續使用在家工作的模式，雖然一些員工可能對此感到高興，但隨著黑客加班，企業有很多事情需要擔心。

據資料顯示在啟用遠程工作後不久，大約 40% 的企業發現其網絡上的網絡攻擊有所增加。其中許多攻擊涉及 DDoSing，這會迫使業務網絡離線，並因停機時間過長而造成重大財務損失。

除此之外，網絡犯罪分子還加大了網絡釣魚攻擊的力度。自 1 月以來，全球約有 4,000 個與冠狀病毒相關的域名被註冊。其中，5% 是可疑的，5% 是惡意的，這比標準網站的風險高 50%。

以冠狀病毒為主題的網絡釣魚和語音釣魚會利用每個人對 Covid-19 相關新聞的渴望，誘騙員工與狡猾的網站進行交互、下載受惡意軟件感染的文件，甚至共享敏感的公司數據。由於員工沒有採取辦公室提供的相同保護措施，成為這些騙局受害者的人數也在增加。

許多人不再使用連接到公司網絡的工作計算機，而是使用連接到家庭互聯網的自己的設備進行工作。專業和舒適之間的界限變得模糊，員工更容易放鬆警惕並分心，看到他們無意中接聽了一個未知號碼打來的電話，認為這是他們聯繫人中未列出的同事，或者點擊了一封未經證實的電子郵件，聲稱提供了“新開發的 Covid-19 疫苗”的詳細信息。

如果發生類似的情況，結果是顯而易見的 - 員工設備將感染惡意軟件（尤其是勒索軟件），這反過來會感染您的整個網絡，詐騙者將輕鬆獲得您的所有有價值的數據。

再加上您的企業已經面臨的財務壓力（遠程設置、額外帶寬、為不再使用的工作空間支付租金），您的公司甚至會在隔離結束之前就陷入困境。

這就是 SDP 發揮作用的地方。

SDP 代表軟件定義的邊界。不需要太技術性，它是一種將網絡邊界建立在軟件而不是硬件上的安全解決方案。它在網絡層而不是應用程序層建立虛擬邊界，並在授予用戶設備和身份訪問權限之前對用戶設備和身份進行身份驗證。

為了提供針對網絡攻擊的全面保護，SDP 架構使用五層安全性：

• 溫泉– 單包認證
• 傳輸層安全協議– 相互傳輸層安全
• DV– 設備驗證
• 動態防火牆
• 應用程序B– 應用程序綁定

SDP 連接如何工作？

雖然術語可能因服務而異，但 SDP 使用三項功能來發揮作用：

• SDP 客戶端– 通常以應用程序的形式。
• SDP控制器– 這是員工/設備與公司網絡之間的信任經紀人。
• SDP網關– 也稱為訪問節點，它授予用戶對所請求網絡的訪問權限。

由於這一切聽起來有點複雜和模糊，下面是 SDP 如何工作的基本概述：

簡而言之，當您使用 SDP 時，就像您正在使用具有 Internet 連接的 Web 服務器，但絕對沒有與任何設備的開放連接，從而使您的公司服務器幾乎不可見。

SDP 如何在 Covid-19 大流行期間保護公司數據？

這一解釋可能讓您對 SDP 可以為您的公司做什麼有一個基本的了解，但有些人可能仍然對使用 SDP 持觀望態度。因此，以下是在疫情期間及之後使用 SDP 保護網絡的好處：

保護您的網絡免受惡意軟件的侵害

任何網絡釣魚攻擊的目標通常都是感染設備。如果黑客用惡意軟件接管了員工的設備，他們在連接到您的網絡時會迅速將其傳播到您的網絡。

即使發生這種情況，SDP 也可以保護您的服務器。基本上，如果擁有受感染設備的用戶請求訪問網絡，SDP 將分析其設備是否存在惡意軟件痕跡（以及其他安全檢查）。如果它檢測到任何惡意活動，它將阻止（有時甚至列入黑名單）該設備。

此外，SDP 還可以與任何 IdP（身份提供商）解決方案無縫集成，這意味著您可以實施多重身份驗證 (MFA)。這是針對秘密竊取員工登錄憑據的黑客的絕佳防禦。他們將無法連接到您的網絡，因為他們沒有必要的 MFA 代碼。

但是，雖然 SDP 可以保護您的網絡免受此類攻擊，但這並不意味著您不應該採取額外措施來保護員工的設備免受以冠狀病毒為主題的網絡釣魚。

最好為他們提供一些有關如何發現和保護自己免受網絡釣魚的培訓。這裡有一些來自 EFF 的有用提示。此外，也許要求您的員工使用：

• ProPrivacy 的網站檢查工具（它會立即發現 Covid-19 網絡釣魚站點）。
• 斯坦福大學的反網絡釣魚瀏覽器擴展。
• 腳本攔截器比如 uBlock Origin 和 uMatrix。
• 可靠的防病毒解決方案。

通過防止 DDoS 攻擊避免代價高昂的停機

DDoS 攻擊通常需要 IP 地址才能起作用。這就是黑客利用不需要的流量和請求來瞄準網絡的方式。

SDP 通過使用 SPA 來幫助解決此問題，SPA 會混淆客戶端的 IP 地址。這不僅僅是用新地址替換原始地址的問題。相反，SDP 使其完全不可見。更重要的是，它甚至可以從應用程序基礎設施中剝離所有 DNS 信息，以進一步隱藏網絡，並確保沒有開放端口。

此外，即使黑客以某種方式獲得有關 SPA 安全層的內部知識，他們仍然無法對您的網絡進行 DDoS。在啟動 mTLS 握手之前，服務器將簡單地丟棄任何 DDoS 嘗試。

看看我們的“什麼是 DDoS 攻擊” 指南以獲取有關此主題的更多信息。

不再有 MITM 風險

您的網絡安全可能很嚴格，但您員工的家庭網絡可能存在一些漏洞。這正是熟練的黑客發起中間人 (MITM) 攻擊以監視其流量或滲透您的網絡所需要的。

SDP 依靠嚴格的用戶和設備身份驗證流程來防止這種情況發生。它不僅驗證用戶身份及其設備，還檢查他們的位置、項目和時間。接下來，它會在授予訪問權限之前根據預定義的條件評估該數據。

此外，雙向加密身份驗證會檢查請求訪問的設備是否具有必要的私鑰。是的，SDP 會驗證密鑰是否未被撤銷或過期。

此外，SDP 動態創建和解除防火牆規則，確保每個用戶只能訪問他們需要的資源。此外，用戶不共享同一個網絡，因為他們都使用私有網絡，像VPN一樣。

Twingate – 簡單易用且高端安全

許多企業擔心員工很難適應使用 SDP。這就是為什麼我們推薦溫格特。

使用 Twingate 不需要您的員工具備任何技術知識。他們只需下載並安裝客戶端（通過應用商店、安裝包或 MDM），通過現有 IdP 進行身份驗證，然後就可以開始了。

控制器將處理其餘的事情，將簽名的權限和規則推送給客戶端，以及協商客戶端和資源之間的加密連接。一旦一切都得到確認，節點就會將用戶路由到適當的資源。

我們喜歡的 Twingate 功能：

• 它具有單擊式員工/第三方入職和離職功能。
• 部署節點無需更改硬件和應用程序。
• 該控制器可通過全球 580 多個訪問點進行擴展。
• Twingate 與 RBAC 和 ABAC 策略 + 您現有的堆棧無縫集成。
• 該服務提供對員工行為的全面審核。

Twingate 也是 VPN 的絕佳替代品，可在訪問 AWS、Azure 和 GCP 等服務時提供更高的安全級別。

總體而言，Twingate 提供真正的 ZKA（零知識架構）和零摩擦部署。

企業 VPN 的工作效果是否與 SDP 一樣好？

並不真地。儘管VPN 提供端到端加密對於遠程連接，它沒有任何嚴格的身份驗證過程。如果員工的 VPN 帳戶或設備遭到洩露，黑客可能會破壞您的網絡。

事實上，SDP 在幾乎所有方面都優於 VPN：

• VPN 可以提供 DDoS 保護，但如果發生洩漏，您的網絡可能會受到損害。使用 SDP，即使黑客設法找到您的 IP 地址，他們也無法淹沒您的網絡，因為沒有開放端口。
• SDP 在處理多級別網絡訪問方面表現得更好。與 VPN 不同，您無需為所有部門設置多個帳戶，因為 SDP 為每個用戶創建單獨的網絡。另外，由於員工僅使用他們需要的資源，因此您可以節省帶寬成本。
• 通過 SDP，您實際上可以獲得 VPN 連接。許多 SDP 將 VPN 納入其架構中以提供安全的網絡連接。另一方面，您無法通過 VPN 獲得 SDP 功能。

不過，如果您是自由職業者或經營一家非常小的企業，並且認為您不需要 SDP，那麼企業 VPN 可能是一個很好的、經濟高效的替代方案。這是一個指南最適合小型企業的 VPN在市場上。

結論

疫情不會很快好轉，因此遠程工作將繼續存在。不幸的是，黑客正在通過 MITM、DDoS 和網絡釣魚攻擊來利用這一點。

企業 VPN 似乎是保護網絡的好方法，但 SDP 提供了更好的安全性，因為它們可以驗證用戶身份和設備完整性。此外，它們還可以有效地使您的公司網絡隱形，從而全​​面防範 DDoS 攻擊。

如果您對 SDP 有任何疑問，或者有更多信息想要添加到此討論中，請在下面的評論中分享您的想法。