隨著信息技術(shù)的發(fā)展���,云計(jì)算成為信息化發(fā)展的必然方向�,上云順勢成為了驅(qū)動(dòng)各行業(yè)數(shù)字化轉(zhuǎn)型的新引擎。今年���,蔓延全球的新冠肺炎疫情�����,更倒逼企業(yè)數(shù)字化轉(zhuǎn)型�,遠(yuǎn)程辦公�����、云端儲(chǔ)存可能成為常態(tài)�。在此背景下,網(wǎng)絡(luò)數(shù)據(jù)安全�����、云服務(wù)的安全成為企業(yè)數(shù)字化進(jìn)程中最受關(guān)注的問題����。
如何保障云端平臺(tái)數(shù)據(jù)資源的安全性,促進(jìn)企業(yè)數(shù)字化運(yùn)營�����?需要通過多種手段對用戶身份和應(yīng)用進(jìn)行合法性驗(yàn)證,通過“零信任”機(jī)制來提升云安全程度�����。
在加快新型基礎(chǔ)設(shè)施建設(shè)(“新基建”)以及數(shù)字化轉(zhuǎn)型的大背景下���,以云計(jì)算為代表的新技術(shù)基礎(chǔ)設(shè)施與5G為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為“新基建”的底座����,都面臨轉(zhuǎn)型升級���,以更好地支撐各行各業(yè)全面數(shù)字化轉(zhuǎn)型的要求�。
電信作為三大運(yùn)營商之一,通過新建系統(tǒng)100%上云���,存量系統(tǒng)"關(guān)移轉(zhuǎn)并"三年上云����,解決實(shí)際業(yè)務(wù)問題����,降本增效提感知�,助推企業(yè)數(shù)字化轉(zhuǎn)型的同時(shí)����,上云后暴露在互聯(lián)網(wǎng)的數(shù)據(jù)和業(yè)務(wù),因企業(yè)訪問失去了邊界�����,由原有的傳統(tǒng)企業(yè)內(nèi)網(wǎng)直接拓展到互聯(lián)網(wǎng)��,面臨著極高的安全風(fēng)險(xiǎn)�����。
基礎(chǔ)設(shè)施上云,安全風(fēng)險(xiǎn)加劇
1 信息集中導(dǎo)致攻擊目標(biāo)明確
某省電信營業(yè)廳日常訪問的業(yè)務(wù)支撐系統(tǒng)上云后,使得云端平臺(tái)存儲(chǔ)了大量的高價(jià)值數(shù)據(jù)資源��,業(yè)務(wù)和數(shù)據(jù)的集中造成了目標(biāo)的集中和風(fēng)險(xiǎn)的集中���,成為了黑產(chǎn)最主要的攻擊和竊取目標(biāo)��。
2 多元訪問導(dǎo)致權(quán)限管理雜亂
云端部署了大量業(yè)務(wù)支撐系統(tǒng)���,不同員工需要在特定環(huán)境下訪問不同的業(yè)務(wù)系統(tǒng),因授權(quán)板塊分散�,用戶權(quán)限不集中管控,導(dǎo)致用戶權(quán)限無法動(dòng)態(tài)分配��、實(shí)時(shí)更新��,存在大量權(quán)限開放或無人使用的風(fēng)險(xiǎn)賬號����。
3 封閉端口導(dǎo)致遠(yuǎn)程訪問困難
為避免黑客的攻擊和掃描,云端主機(jī)不能在互聯(lián)網(wǎng)上暴露訪問端口��,不能使用VPN訪問���。但員工在家辦公或出差時(shí)����,有遠(yuǎn)程訪問云上業(yè)務(wù)系統(tǒng)的需求����。
任子行零信任遠(yuǎn)程接入安全防護(hù)解決方案
任子行結(jié)合零信任理念,根據(jù)某省電信的業(yè)務(wù)支撐系統(tǒng)上云后的信息安全需求��,提供零信任遠(yuǎn)程接入安全防護(hù)解決方案�����,助力某省電信加強(qiáng)云端數(shù)據(jù)與業(yè)務(wù)安全保護(hù)���,有效管理員工訪問權(quán)限�,動(dòng)態(tài)控制遠(yuǎn)程訪問安全��,通過對人����、終端和系統(tǒng)都進(jìn)行識(shí)別、訪問控制�����、跟蹤實(shí)現(xiàn)全面的身份化��,成功建立網(wǎng)絡(luò)安全新邊界���。
具體實(shí)施方案如下:
業(yè)務(wù)支撐系統(tǒng)上云后,必須使用云主機(jī)訪問業(yè)務(wù)系統(tǒng)����。通過部署零信任安全網(wǎng)關(guān),將企業(yè)內(nèi)網(wǎng)應(yīng)用隱身��,只有通過認(rèn)證授權(quán)的用戶使用安全瀏覽器才能與零信任網(wǎng)關(guān)和應(yīng)用系統(tǒng)建立加密連接���,非授權(quán)的用戶無法掃描到核心應(yīng)用���,從而實(shí)現(xiàn)了最細(xì)粒度的應(yīng)用隔離。對企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行“隱身”��,將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低����。
2 統(tǒng)一權(quán)限管控,權(quán)限最小
通過層層授權(quán)與防御機(jī)制�,只授予員工辦公所需的應(yīng)用訪問權(quán)限,應(yīng)用級最小授權(quán)給用戶��,精細(xì)化管理用戶權(quán)限����。并根據(jù)用戶訪問的設(shè)備及網(wǎng)絡(luò)環(huán)境,基于信任模型判定用戶安全級別����,限定不同安全級別用戶可訪問的應(yīng)用。
3 動(dòng)態(tài)訪問控制�����,評估智能
始終假設(shè)網(wǎng)絡(luò)充滿威脅�����,不信任任何網(wǎng)絡(luò)����、人、設(shè)備/系統(tǒng)��,基于員工身份庫���,實(shí)現(xiàn)多因子身份認(rèn)證����,基于訪問環(huán)境,動(dòng)態(tài)控制用戶的訪問策略�,基于用戶行為分析,持續(xù)驗(yàn)證用戶身份合法性�。精細(xì)化控制用戶遠(yuǎn)程訪問權(quán)限,弱化內(nèi)部數(shù)據(jù)泄露的風(fēng)險(xiǎn)��。
任子行零信任遠(yuǎn)程接入安全防護(hù)解決方案優(yōu)勢
任子行零信任遠(yuǎn)程接入安全防護(hù)解決方案�����,采用SDP的技術(shù)模型���,以企業(yè)安全客戶端實(shí)現(xiàn)用戶身份驗(yàn)證�,聯(lián)通應(yīng)用加密隧道�,訪問發(fā)布的應(yīng)用,在實(shí)現(xiàn)零信任核心安全理念的同時(shí)又為用戶帶來了方便快捷的使用體驗(yàn)��。這種“輕量級”的實(shí)施方案����,有助于企業(yè)快速落地零信任安全模型,使得“零信任”應(yīng)用訪問成為企業(yè)安全防護(hù)架構(gòu)中最基礎(chǔ)的防護(hù)設(shè)施���。
零信任安全建設(shè)是一個(gè)系統(tǒng)工程���,需要頂層設(shè)計(jì)�,逐步建設(shè)�,不能一蹴而就�����。未來���,任子行將繼續(xù)專注于技術(shù)的深入研究與研發(fā)�,以期最終實(shí)現(xiàn)安全防護(hù)與零信任體系相結(jié)合�,最大限度提升企業(yè)網(wǎng)絡(luò)安全防護(hù)能力,為國家網(wǎng)絡(luò)安全建設(shè)貢獻(xiàn)一份力量����。
公安備案號:44030502000376