忘记网络周边，说安全供应商

如果您的所有公司的计算机和应用程序直接连接到互联网，该怎么办？这是谷歌在2014年提出的网络安全的一个新模型之后的假设，它是一个开始从网络和安全供应商中引起注意的。

近年来，企业已经超越了传统的工作区，允许员工通过使用他们的个人设备和在私人或公共云中访问应用程序来远程工作。将漫游工人带回折叠，根据其本地网络的安全毯，依赖VPN和Endpoint软件来强制网络访问控制。

谷歌的EADVERCORP探讨企业安全方法远离网络周边，并将其放在设备和用户身上。它不会根据它们是“在内部网络内部的内部网络内部的”重新中“分配更高或更低的信任程度。

一些安全供应商已经开始接受这种逐默认的安全模型。Duo Security，一个双因素认证提供商上周推出了自己的FeaterCorp-Inspired提供，并且企业软件启动STALEFT暂时基于相同的原则具有动态访问管理服务。

甚至像思科系统这样的网络和安全设备制造商已经开始将传统的周边安全网关转移到云端，以更好地为漫游员工提供服务。

Duo Security的新款Duo超越服务包括一个软件包，该软件包为所有公司的基于Web的应用程序的身份验证网关，无论是它们在本地网络中还是云中托管。它可以部署在公司网络的Demilitarized区域（DMZ）中，并提供单一登录服务，该服务能够强制执行设备和基于用户的访问策略。

DUO超越假设所有设备的零信任环境默认，无论它们是“从企业网络中或从外部重新连接。也就是说，它确实为管理员提供了通过将Duo证书部署到公司管理的那些通过部署Duo证书来区分企业设备和个人设备的能力。

该设备识别过程具有几个好处。它允许轻松发现用于访问公司应用程序的新设备，这有助于公司创建和维护包含员工“个人设备的准确存库存。它还允许限制对某些应用程序或帐户的访问到公司管理设备，可以保证一定程度的安全性。

该服务还可以通过查看它是运行最新的操作系统和浏览器版本，无论是浏览器插件是否最新，在移动设备的情况下，还可以检查连接设备的安全状态，无论是加密和密码执行实施。这允许管理员根据设备“健康”创建细粒度的访问规则，并确保只有合理的安全设备可以访问公司应用程序，即使这些设备由员工本身拥有和管理。

Duo安全性并不是希望客户完全放弃VPN，如果他们部署Duo超越，而是根据公司的经验到目前为止，客户可以将VPN许可成本降低到80％。这是因为大多数漫游员工只使用VPN连接来访问少数流行的Intranet Web应用程序，如Confluence，Jira或SharePoint。

超越服务的二重奏每月售价为9美元，包括公司旧的Duo访问服务中的一切，以及新的基于证书的设备标识和控制远程用户可访问的内部应用程序的机制。

朝着超强的安全模型迁移，设备的位置无关紧要，可以帮助公司避免在其网络内培养虚拟墙壁。网络分段依赖于设置防火墙和VLAN来限制对某些应用程序和服务的访问，并不容易实现，并且可以快速成为行政负担。

事实上，正如许多公开记录的安全漏洞所证明的那样，攻击者经常成功地在网络内横向移动，一旦他们闯入。大多数黑客开始通过网络钓鱼或其他方法来定位低级员工，然后，一旦在网络内，跳跃系统到系统，利用漏洞和窃取访问凭证，直到他们到达组织的皇冠珠宝。

2009年底，谷歌自己的网络被违反了中国人的春代被称为Aurora的春代活动的一部分。由针对公司员工开始的黑客寻求访问人权活动家的Gmail账户。

其他安全供应商也在拥抱ReftorCorp，而实施情况存在差异，则一般目标是相同的：移动安全超出严格定义的网络周边。

Duo仅适用于基于Web的应用程序，其设备洞察力技术是无代理的。有关笔记本电脑OS，浏览器和插件的信息是通过浏览器本身获得的。

这种方法限制了可以收集哪种信息，但Duo认为它在安全性和可用性之间攻击了正确的平衡，因为说服用户在其个人设备上安装公司任务的软件可能是有问题的。

相比之下，另一家称为STALEFT的公司提供了一个名为动态访问管理的超级频道启发解决方案，该解决方案适用于SSH（Secure Shell）和RDP（远程桌面协议），Linux和Windows服务器的远程访问协议。STALEFT“S服务确实需要安装客户端软件，该软件可以同步短寿命访问证书和处理设备注册和本地帐户创建。

由需要解决漫游员工的问题，BYOD和SOFTWAL-AS-SERVICE的问题，一些网络供应商甚至甚至开始将网络周边外部的安全设备移动到云端。

星期一，思科系统宣布它呼叫了第一个安全的Internet网关（SIG），该网关是基于2015年获得的公司的基于云的Opendns Umbrella服务。

“一个SIG在任何地方的用户都提供了安全的访问权限，即使他们离开VPN，即使在VPN中也是如此，”思科在博客帖子中说。“在连接到任何目的地之前，SIG将作为您的安全ondamp到Internet，并提供第一行防御和检查。无论用户所在的位置还是他们试图连接到什么，流量都会首先通过SIG。“

如果这种企业安全捕获的新方法可能甚至可以帮助加速IPv6的采用，这些IPv6部分地被担心通过网络周边打孔，因为许多公司仍然有旧的防火墙和唐的设备T对它有适当的支持。