隨著信息技術的發(fā)展����,云計算成為信息化發(fā)展的必然方向�,上云順勢成為了驅動各行業(yè)數(shù)字化轉型的新引擎。今年,蔓延全球的新冠肺炎疫情��,更倒逼企業(yè)數(shù)字化轉型�����,遠程辦公��、云端儲存可能成為常態(tài)�����。在此背景下�����,網(wǎng)絡數(shù)據(jù)安全���、云服務的安全成為企業(yè)數(shù)字化進程中最受關注的問題��。
如何保障云端平臺數(shù)據(jù)資源的安全性��,促進企業(yè)數(shù)字化運營�����?需要通過多種手段對用戶身份和應用進行合法性驗證����,通過“零信任”機制來提升云安全程度��。
在加快新型基礎設施建設(“新基建”)以及數(shù)字化轉型的大背景下�����,以云計算為代表的新技術基礎設施與5G為代表的通信網(wǎng)絡基礎設施作為“新基建”的底座�,都面臨轉型升級,以更好地支撐各行各業(yè)全面數(shù)字化轉型的要求�。
電信作為三大運營商之一,通過新建系統(tǒng)100%上云�,存量系統(tǒng)"關移轉并"三年上云,解決實際業(yè)務問題��,降本增效提感知���,助推企業(yè)數(shù)字化轉型的同時��,上云后暴露在互聯(lián)網(wǎng)的數(shù)據(jù)和業(yè)務�,因企業(yè)訪問失去了邊界��,由原有的傳統(tǒng)企業(yè)內網(wǎng)直接拓展到互聯(lián)網(wǎng),面臨著極高的安全風險�����。
某省電信營業(yè)廳日常訪問的業(yè)務支撐系統(tǒng)上云后���,使得云端平臺存儲了大量的高價值數(shù)據(jù)資源���,業(yè)務和數(shù)據(jù)的集中造成了目標的集中和風險的集中,成為了黑產(chǎn)最主要的攻擊和竊取目標�����。
云端部署了大量業(yè)務支撐系統(tǒng)����,不同員工需要在特定環(huán)境下訪問不同的業(yè)務系統(tǒng),因授權板塊分散�,用戶權限不集中管控,導致用戶權限無法動態(tài)分配����、實時更新��,存在大量權限開放或無人使用的風險賬號���。
為避免黑客的攻擊和掃描�����,云端主機不能在互聯(lián)網(wǎng)上暴露訪問端口��,不能使用VPN訪問�。但員工在家辦公或出差時,有遠程訪問云上業(yè)務系統(tǒng)的需求��。
任子行結合零信任理念�,根據(jù)某省電信的業(yè)務支撐系統(tǒng)上云后的信息安全需求,提供零信任遠程接入安全防護解決方案����,助力某省電信加強云端數(shù)據(jù)與業(yè)務安全保護,有效管理員工訪問權限����,動態(tài)控制遠程訪問安全,通過對人����、終端和系統(tǒng)都進行識別��、訪問控制��、跟蹤實現(xiàn)全面的身份化�����,成功建立網(wǎng)絡安全新邊界���。
具體實施方案如下:
業(yè)務支撐系統(tǒng)上云后�����,必須使用云主機訪問業(yè)務系統(tǒng)����。通過部署零信任安全網(wǎng)關,將企業(yè)內網(wǎng)應用隱身��,只有通過認證授權的用戶使用安全瀏覽器才能與零信任網(wǎng)關和應用系統(tǒng)建立加密連接���,非授權的用戶無法掃描到核心應用����,從而實現(xiàn)了最細粒度的應用隔離。對企業(yè)內網(wǎng)業(yè)務系統(tǒng)進行“隱身”���,將企業(yè)內網(wǎng)應用暴露的攻擊面降到最低�。
通過層層授權與防御機制,只授予員工辦公所需的應用訪問權限����,應用級最小授權給用戶���,精細化管理用戶權限�����。并根據(jù)用戶訪問的設備及網(wǎng)絡環(huán)境�����,基于信任模型判定用戶安全級別�����,限定不同安全級別用戶可訪問的應用�。
始終假設網(wǎng)絡充滿威脅���,不信任任何網(wǎng)絡���、人、設備/系統(tǒng)����,基于員工身份庫,實現(xiàn)多因子身份認證�,基于訪問環(huán)境,動態(tài)控制用戶的訪問策略��,基于用戶行為分析�,持續(xù)驗證用戶身份合法性。精細化控制用戶遠程訪問權限�,弱化內部數(shù)據(jù)泄露的風險。
任子行零信任遠程接入安全防護解決方案優(yōu)勢
任子行零信任遠程接入安全防護解決方案���,采用SDP的技術模型��,以企業(yè)安全客戶端實現(xiàn)用戶身份驗證�����,聯(lián)通應用加密隧道��,訪問發(fā)布的應用�����,在實現(xiàn)零信任核心安全理念的同時又為用戶帶來了方便快捷的使用體驗��。這種“輕量級”的實施方案��,有助于企業(yè)快速落地零信任安全模型����,使得“零信任”應用訪問成為企業(yè)安全防護架構中最基礎的防護設施����。
零信任安全建設是一個系統(tǒng)工程,需要頂層設計�����,逐步建設����,不能一蹴而就�����。未來����,任子行將繼續(xù)專注于技術的深入研究與研發(fā)��,以期最終實現(xiàn)安全防護與零信任體系相結合�����,最大限度提升企業(yè)網(wǎng)絡安全防護能力�,為國家網(wǎng)絡安全建設貢獻一份力量。
公安備案號:44030502000376