隨著信息技術(shù)的發(fā)展�����,云計算成為信息化發(fā)展的必然方向�����,上云順勢成為了驅(qū)動各行業(yè)數(shù)字化轉(zhuǎn)型的新引擎�。今年,蔓延全球的新冠肺炎疫情���,更倒逼企業(yè)數(shù)字化轉(zhuǎn)型��,遠程辦公��、云端儲存可能成為常態(tài)����。在此背景下���,網(wǎng)絡(luò)數(shù)據(jù)安全�、云服務(wù)的安全成為企業(yè)數(shù)字化進程中最受關(guān)注的問題。
如何保障云端平臺數(shù)據(jù)資源的安全性�����,促進企業(yè)數(shù)字化運營���?需要通過多種手段對用戶身份和應(yīng)用進行合法性驗證,通過“零信任”機制來提升云安全程度���。
在加快新型基礎(chǔ)設(shè)施建設(shè)(“新基建”)以及數(shù)字化轉(zhuǎn)型的大背景下��,以云計算為代表的新技術(shù)基礎(chǔ)設(shè)施與5G為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為“新基建”的底座�����,都面臨轉(zhuǎn)型升級����,以更好地支撐各行各業(yè)全面數(shù)字化轉(zhuǎn)型的要求��。
電信作為三大運營商之一�����,通過新建系統(tǒng)100%上云����,存量系統(tǒng)"關(guān)移轉(zhuǎn)并"三年上云���,解決實際業(yè)務(wù)問題,降本增效提感知���,助推企業(yè)數(shù)字化轉(zhuǎn)型的同時�����,上云后暴露在互聯(lián)網(wǎng)的數(shù)據(jù)和業(yè)務(wù)�����,因企業(yè)訪問失去了邊界���,由原有的傳統(tǒng)企業(yè)內(nèi)網(wǎng)直接拓展到互聯(lián)網(wǎng),面臨著極高的安全風險����。
某省電信營業(yè)廳日常訪問的業(yè)務(wù)支撐系統(tǒng)上云后�,使得云端平臺存儲了大量的高價值數(shù)據(jù)資源,業(yè)務(wù)和數(shù)據(jù)的集中造成了目標的集中和風險的集中,成為了黑產(chǎn)最主要的攻擊和竊取目標���。
云端部署了大量業(yè)務(wù)支撐系統(tǒng)���,不同員工需要在特定環(huán)境下訪問不同的業(yè)務(wù)系統(tǒng),因授權(quán)板塊分散�,用戶權(quán)限不集中管控,導致用戶權(quán)限無法動態(tài)分配�����、實時更新�����,存在大量權(quán)限開放或無人使用的風險賬號���。
為避免黑客的攻擊和掃描,云端主機不能在互聯(lián)網(wǎng)上暴露訪問端口�����,不能使用VPN訪問���。但員工在家辦公或出差時�����,有遠程訪問云上業(yè)務(wù)系統(tǒng)的需求�。
任子行結(jié)合零信任理念,根據(jù)某省電信的業(yè)務(wù)支撐系統(tǒng)上云后的信息安全需求��,提供零信任遠程接入安全防護解決方案����,助力某省電信加強云端數(shù)據(jù)與業(yè)務(wù)安全保護,有效管理員工訪問權(quán)限����,動態(tài)控制遠程訪問安全,通過對人����、終端和系統(tǒng)都進行識別、訪問控制��、跟蹤實現(xiàn)全面的身份化��,成功建立網(wǎng)絡(luò)安全新邊界�。
具體實施方案如下:
業(yè)務(wù)支撐系統(tǒng)上云后���,必須使用云主機訪問業(yè)務(wù)系統(tǒng)。通過部署零信任安全網(wǎng)關(guān)����,將企業(yè)內(nèi)網(wǎng)應(yīng)用隱身,只有通過認證授權(quán)的用戶使用安全瀏覽器才能與零信任網(wǎng)關(guān)和應(yīng)用系統(tǒng)建立加密連接����,非授權(quán)的用戶無法掃描到核心應(yīng)用,從而實現(xiàn)了最細粒度的應(yīng)用隔離�。對企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進行“隱身”�,將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低。
2 統(tǒng)一權(quán)限管控�,權(quán)限最小
通過層層授權(quán)與防御機制,只授予員工辦公所需的應(yīng)用訪問權(quán)限����,應(yīng)用級最小授權(quán)給用戶,精細化管理用戶權(quán)限��。并根據(jù)用戶訪問的設(shè)備及網(wǎng)絡(luò)環(huán)境��,基于信任模型判定用戶安全級別,限定不同安全級別用戶可訪問的應(yīng)用���。
始終假設(shè)網(wǎng)絡(luò)充滿威脅,不信任任何網(wǎng)絡(luò)�����、人�、設(shè)備/系統(tǒng),基于員工身份庫���,實現(xiàn)多因子身份認證��,基于訪問環(huán)境����,動態(tài)控制用戶的訪問策略�����,基于用戶行為分析���,持續(xù)驗證用戶身份合法性�����。精細化控制用戶遠程訪問權(quán)限����,弱化內(nèi)部數(shù)據(jù)泄露的風險。
任子行零信任遠程接入安全防護解決方案優(yōu)勢
任子行零信任遠程接入安全防護解決方案����,采用SDP的技術(shù)模型,以企業(yè)安全客戶端實現(xiàn)用戶身份驗證����,聯(lián)通應(yīng)用加密隧道,訪問發(fā)布的應(yīng)用���,在實現(xiàn)零信任核心安全理念的同時又為用戶帶來了方便快捷的使用體驗。這種“輕量級”的實施方案���,有助于企業(yè)快速落地零信任安全模型����,使得“零信任”應(yīng)用訪問成為企業(yè)安全防護架構(gòu)中最基礎(chǔ)的防護設(shè)施。
零信任安全建設(shè)是一個系統(tǒng)工程�����,需要頂層設(shè)計�����,逐步建設(shè)����,不能一蹴而就。未來��,任子行將繼續(xù)專注于技術(shù)的深入研究與研發(fā)���,以期最終實現(xiàn)安全防護與零信任體系相結(jié)合��,最大限度提升企業(yè)網(wǎng)絡(luò)安全防護能力���,為國家網(wǎng)絡(luò)安全建設(shè)貢獻一份力量。
公安備案號:44030502000376