虽然业界整天都在发展单点登录和共享等技术,以期望简化网民操作步骤,增强用户体验。但诸如金融和政府等敏感部门却对其并无好感。原因简单至极,单点验证方便了用户,也方便了黑客。
但除了单点验证和静态登录的问题以外,就没别的安全隐患了吗?
答案也是否定的。技艺精湛的黑客们会用计策攻陷某些主机,然后深度潜伏,层层渗透获取多点登录权限,直到拿下他们的最终目标。藏有敏感身份凭证的主机,经常浏览和视频站点的用户,私自接入网络的电脑、等等都是主要目标,这些……让传统的防御变得不堪一击。
为了应对这样的攻击者,业内的安全公司开始各取所长,合作开展新式防务——将的过滤、审核、认证做得“更动态”。
2012年3月初,RSA,事业部和云安全公司Zscaler联合宣布,双在共同开发一个基于云的解决,确保访问任何Web应用或云服务的身份持续可信。该解决方案旨在帮助机构将政策和控制应用到甚至网络之外的身份,并简化在管理多个和 Web服务相关的用户凭据时遇到的挑战。源自RSA的云可信权威服务、RSA自适应身份认证,基于风险的认证和身份联合,与具备Zscaler的线内Web安全功能整合在一起,能够为用户访问互联网提供一种无处不在的服务,进行持续的、风险感知的身份认证。
该解决方案将基于设备识别、用户行为分析和漏洞检测,提供强力的用户认证、身份联合及动态风险评估。开发中的组合服务将用于帮助机构降低因认证不充分、凭证被盗或用户设备及账户被盗所带来的风险,包括数据失窃、服务滥用以及其它网络威胁。通过监控认证用户行为和环境条件,该服务将创建一个动态的风险概要,降低Web应用遭到被盗账号、机器人以及恶意软件访问的潜在可能,同时还能确保积极、简单的用户体验。
“信任已不再是简单地识别用户。由于更多设备种类、从更多的地点、访问更多的应用程序和数据,必须动态地创建、动态地加强信任。”这是Zscaler总裁兼CEO——Jay Chaudhry在RSA2012大会上说过的一句话。
听着很牛气吧,可能有朋友这时候会问了,Zscaler这家公司有多牛,会让RSA与其有这么紧密的合作?
大家不妨来这个,如图1所示。
图1 Zscaler在2011年5月的Gartner象限中所处位置
Zscaler的业务是帮助公司从那些令人厌烦,花费巨大的Web过滤与网络控制中解脱出来,由一种基于“云”,按月付费的模式所取代。可以将其看作是是一种Web代理,对用户所有的进出流量进行拦截,从中检查这些Web活动中是否有潜在的危险或违规。
他们有一批网络安全方面的专家,负责为不同的客户设计非常细致的安全策略,如员工可以访问哪些网站,什么时候可以访问这些网站。
2010年到2011年,这家云安全公司在原有优势上继续高歌猛进,不管是市场还是技术,都让人刮目相看,如此看来,RSA与其合作,可谓是如虎添翼了。
可能有的朋友会较真一下,要说“动态”的安全认证,其实RSA公司的解决方案早就已经囊括了。但为什么这里还要和Zscaler合作呢?
对此,RSA总裁.科洛维表示:“Zscaler是做控制点产品,而RSA不打算做这些。Zscaler不做身份管理也不做认证,假设这里有一个员工想接入企业网络,要通过Zscaler的产品,然后Zscaler对他们要进行身份认证,通过身份认证后允许接入企业网,随着一段时间过去,Zscaler有很多的信息,要导入到治理可视层。所以我们宣布和Zscaler的合作,等于是一个结合。云架构有三层,Zscaler是在底层基础设施。”
而谈到和RSA的合作时,Jay Chaudhry,ZScaler公司总裁兼首席执行官讲到:“要建立信任,简单地识别用户身份已经不再充分了。随着更多设备从更多地点访问更多应用和数据,信任必须动态地建立和利用。与RSA进行技术合作后,我们将能持续、动态地建立信任,进而增强客户的信息安全和客户所依靠的云服务。”
作为用户,大家不妨期待这两家公司的结合能产生更好的安全体验。