针对企业安全的一些个人想法——从边界安全到零信任
既然已经是企业安全了,
那么就说明客户端一定是明确且可控的。
明确,要求客户端:
1,物理设备明确,禁止客户端用户随意在办公主机上安装非USB接口的硬件。
2,物理位置明确,禁止客户端用户随意移动办公主机,且要求客户端必须入域。
3,客户端操作系统版本明确,要求客户端用户安装指定版本的操作系统。
4,客户端使用者明确,要求客户端的使用人员明确。
可控,要求客户端:
1,客户端软件环境可控,禁止客户端用户随意安装软件,如果客户端用户有需求的话,可以联系IT人员,IT人员评估后,得到结论是否可以安装,如果可以,则由IT提供,否则寻找替代品。
2,客户端软件操作可控,使用的客户端软件只使用指定的功能,其他功能通过技术手段,或者其他手段来做屏蔽或禁止。
由于企业安全不同于个人安全,企业安全可以明确要求企业员工禁止安装某些XXXXXX,
针对有特殊需求的客户端,做特殊的处理。
基于以上的种种,那么企业安全软件的开发,完全可以从规则上规避一些很难处理的问题,
比如,针对安全软件的不兼容问题,
IT部给企业员工发放工作机的时候,直接发放一台内置安装了企业安全软件的机器,
企业云管完全可以要求客户端禁止安装第三方安全软件,
然后企业安全软件做整个系统的接管,
用户如果要安装某一个第三方软件,企业安全软件直接获取信息,并且一边上报,一边弹窗警告,最后直接禁止。
由于客户端环境确定,所以客户端可以硬编码直接来针对指定的系统来处理,
其他不相干的系统可以直接提示后放弃。
这么做,其实用一个安全制度,就解决了全平台适配的问题。
如果不想这么做的话,那么就又变成了原始的PC个人安全的角度,
首先需要考虑全平台兼容,
然后要考虑竞品兼容,
后续要做的事情就太多了。
现在好多非安全公司,在做企业安全软件的时候,都是在用一些传统PC个人安全软件的经验在做。
安全公司也就算了,安全公司有技术积累,但是非安全公司也要这样,这就说不过去了。
他们可能是认为这一套比较成熟,这么做虽然不能更出彩,但是至少是经过检验的,应该没问题,
但是他们没有想过,这些真的是你要做的么,你是否有必要做这些,你做这些到底是为了解决问题还是装逼。
按照前面说的套路,从客户端再继续发展,继续扩展客户端功能,以及服务端的行为。
其实,就可以把一个边界安全模型的PC安全软件,变成一个专供企业内部使用的基于零信任网络模型的安全软件了。