针对企业安全的一些个人想法——从边界安全到零信任

既然已经是企业安全了,

那么就说明客户端一定是明确且可控的。

 

明确,要求客户端:

1,物理设备明确,禁止客户端用户随意在办公主机上安装非USB接口的硬件。

2,物理位置明确,禁止客户端用户随意移动办公主机,且要求客户端必须入域。

3,客户端操作系统版本明确,要求客户端用户安装指定版本的操作系统。

4,客户端使用者明确,要求客户端的使用人员明确。

 

可控,要求客户端:

1,客户端软件环境可控,禁止客户端用户随意安装软件,如果客户端用户有需求的话,可以联系IT人员,IT人员评估后,得到结论是否可以安装,如果可以,则由IT提供,否则寻找替代品。

2,客户端软件操作可控,使用的客户端软件只使用指定的功能,其他功能通过技术手段,或者其他手段来做屏蔽或禁止。

 

由于企业安全不同于个人安全,企业安全可以明确要求企业员工禁止安装某些XXXXXX,

针对有特殊需求的客户端,做特殊的处理。

 

基于以上的种种,那么企业安全软件的开发,完全可以从规则上规避一些很难处理的问题,

比如,针对安全软件的不兼容问题,

  IT部给企业员工发放工作机的时候,直接发放一台内置安装了企业安全软件的机器,

  企业云管完全可以要求客户端禁止安装第三方安全软件,

  然后企业安全软件做整个系统的接管,

  用户如果要安装某一个第三方软件,企业安全软件直接获取信息,并且一边上报,一边弹窗警告,最后直接禁止。

 

由于客户端环境确定,所以客户端可以硬编码直接来针对指定的系统来处理,

其他不相干的系统可以直接提示后放弃。

 

这么做,其实用一个安全制度,就解决了全平台适配的问题。

 

如果不想这么做的话,那么就又变成了原始的PC个人安全的角度,

首先需要考虑全平台兼容,

然后要考虑竞品兼容,

后续要做的事情就太多了。

 

现在好多非安全公司,在做企业安全软件的时候,都是在用一些传统PC个人安全软件的经验在做。

安全公司也就算了,安全公司有技术积累,但是非安全公司也要这样,这就说不过去了。

他们可能是认为这一套比较成熟,这么做虽然不能更出彩,但是至少是经过检验的,应该没问题,

但是他们没有想过,这些真的是你要做的么,你是否有必要做这些,你做这些到底是为了解决问题还是装逼。

 

按照前面说的套路,从客户端再继续发展,继续扩展客户端功能,以及服务端的行为。

其实,就可以把一个边界安全模型的PC安全软件,变成一个专供企业内部使用的基于零信任网络模型的安全软件了。

posted @ 2021-06-06 02:34  穷到底  阅读(82)  评论(0编辑  收藏  举报