行業(yè)實踐案例
一、案例背景
為促進(jìn)和推動重點單位和行業(yè)對關(guān)鍵信息基礎(chǔ)設(shè)施和行業(yè)重要系統(tǒng)的網(wǎng)絡(luò)安全保護(hù),2016年以來,公安部每年組織國家級的網(wǎng)絡(luò)攻防實戰(zhàn)演習(xí)。演習(xí)采用實戰(zhàn)方式,選取國內(nèi)數(shù)十支頂尖網(wǎng)絡(luò)安全攻擊隊伍對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和重點單位運(yùn)營者的信息系統(tǒng)和網(wǎng)絡(luò)設(shè)施進(jìn)行實戰(zhàn)攻擊。根據(jù)國家網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及集團(tuán)公司相關(guān)要求,為進(jìn)一步降低互聯(lián)網(wǎng)暴露面,減少網(wǎng)絡(luò)攻擊風(fēng)險,區(qū)公司組織相關(guān)單位完善了互聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全管理要求和系統(tǒng)入網(wǎng)申請流程,進(jìn)一步加強(qiáng)對互聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全管理。
一方面,為了實現(xiàn)安全的遠(yuǎn)程接入辦公,亟需采取一套比傳統(tǒng)安全技術(shù)和架構(gòu)具有顯著提升的新架構(gòu)、新技術(shù)或新產(chǎn)品來解決以上問題,新的網(wǎng)絡(luò)安全架構(gòu)必須采用零信任安全架構(gòu),新的網(wǎng)絡(luò)安全架構(gòu)需能夠很好的適用于該場景下,并在經(jīng)過測試后,VPN異構(gòu)產(chǎn)品能夠很好的解決VPN設(shè)備出現(xiàn)的安全問題。
另一方面,在信息化高速發(fā)展時期,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新興技術(shù)的應(yīng)用,為各行各業(yè)的信息化建設(shè)帶來了顛覆性的變革和超高速的發(fā)展的同時也為信息安全的防護(hù)帶來了諸多挑戰(zhàn),主要表現(xiàn)如下:
1.互聯(lián)網(wǎng)的飛速發(fā)展突破了業(yè)務(wù)常規(guī)的時間、空間限制,移動化、碎片化的訪問方式,導(dǎo)致網(wǎng)絡(luò)的邊界越來越模糊,企業(yè)的安全邊界極易被泛化;
2.大量業(yè)務(wù)大規(guī)模向云上遷移,數(shù)據(jù)的集中導(dǎo)致傳統(tǒng)物理邊界之外的數(shù)據(jù)和基礎(chǔ)設(shè)施成為高價值的攻擊目標(biāo);
3.應(yīng)用系統(tǒng)的日益增加和累積,導(dǎo)致企業(yè)資產(chǎn)在互聯(lián)網(wǎng)上的攻擊暴露面不斷擴(kuò)大,攻擊者總能比用戶更早的發(fā)現(xiàn)漏洞;
4.日益繁多的業(yè)務(wù)系統(tǒng)導(dǎo)致管理和訪問的難度不斷提升,以賬戶、憑證為基礎(chǔ)的訪問方式已經(jīng)無法確保身份的可信度;
5.基于內(nèi)網(wǎng)用戶、設(shè)備和流量可信假設(shè)的傳統(tǒng)邊界思維,無法有效抵御來自企業(yè)網(wǎng)絡(luò)內(nèi)部的威脅,攻擊者的滲入、員工的疏忽,都會導(dǎo)致數(shù)據(jù)泄露。
因此,亟需一套新的安全體系來滿足現(xiàn)有的企業(yè)信息安全防護(hù)要求。
二、案例概述
在加快新型基礎(chǔ)設(shè)施建設(shè)(“新基建”)以及數(shù)字化轉(zhuǎn)型的大背景下,以云計算為代表的新技術(shù)基礎(chǔ)設(shè)施與5G為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為“新基建”的底座,都面臨轉(zhuǎn)型升級,以更好地支撐各行各業(yè)全面數(shù)字化轉(zhuǎn)型的要求。
一方面,作為三大運(yùn)營商之一,通過新建系統(tǒng)100%上云,存量系統(tǒng)"關(guān)移轉(zhuǎn)并"三年上云,解決實際業(yè)務(wù)問題,降本增效提感知,助推企業(yè)數(shù)字化轉(zhuǎn)型的同時,上云后暴露在互聯(lián)網(wǎng)的數(shù)據(jù)和業(yè)務(wù),因企業(yè)訪問失去了邊界,由原有的傳統(tǒng)企業(yè)內(nèi)網(wǎng)直接拓展到互聯(lián)網(wǎng),面臨著極高的安全風(fēng)險。具體表現(xiàn)如下:
1.信息集中導(dǎo)致攻擊目標(biāo)明確
某市營業(yè)廳日常訪問的業(yè)務(wù)支撐系統(tǒng)上云后,使得云端平臺存儲了大量的高價值數(shù)據(jù)資源,業(yè)務(wù)和數(shù)據(jù)的集中造成了目標(biāo)的集中和風(fēng)險的集中,成為了黑產(chǎn)最主要的攻擊和竊取目標(biāo)。
2.多元訪問導(dǎo)致權(quán)限管理雜亂
云端部署了大量業(yè)務(wù)支撐系統(tǒng),不同員工需要在特定環(huán)境下訪問不同的業(yè)務(wù)系統(tǒng),因授權(quán)板塊分散,用戶權(quán)限不集中管控,導(dǎo)致用戶權(quán)限無法動態(tài)分配、實時更新,存在大量權(quán)限開放或無人使用的風(fēng)險賬號。
3.封閉端口導(dǎo)致遠(yuǎn)程訪問困難
為避免黑客的攻擊和掃描,云端主機(jī)不能在互聯(lián)網(wǎng)上暴露訪問端口,不能使用VPN訪問。但員工在家辦公或出差時,有遠(yuǎn)程訪問云上業(yè)務(wù)系統(tǒng)的需求。
另一方面,該運(yùn)營商面臨著兼顧員工日常辦公場景和營業(yè)廳業(yè)務(wù)場景穩(wěn)定運(yùn)行雙重挑戰(zhàn)。在辦公場景下,原有接入方式“一次連接,永久授權(quán)”,存在安全隱患;端口暴露在互聯(lián)網(wǎng)上,極易被攻擊者利用等諸多風(fēng)險問題,需要實時監(jiān)測內(nèi)網(wǎng)終端、主機(jī)、虛擬資源的健康狀態(tài),并能夠有效防止安全威脅橫向擴(kuò)散,加強(qiáng)對員工建立身份識別與訪問管理體系,確保訪問人員“可信”,訪問權(quán)限“可控”,訪問行為“可視”。營業(yè)廳場景下,原有VPN連接不穩(wěn)定,影響業(yè)務(wù)辦理體驗,認(rèn)證方式單一,用戶名密碼可能會被盜用等風(fēng)險問題凸出。需要確保在最大并發(fā)用戶數(shù)情況下的不同用戶角色便捷、高效、安全的接入訪問各個業(yè)務(wù)系統(tǒng)的需求。
三、安全技術(shù)應(yīng)用情況
任子行零信任安全防護(hù)解決方案
基于零信任安全理念,根據(jù)客戶業(yè)務(wù)支撐系統(tǒng)上云后的信息安全需求,提供零信任遠(yuǎn)程接入安全防護(hù)解決方案,助力用戶加強(qiáng)云端數(shù)據(jù)與業(yè)務(wù)安全保護(hù),有效管理員工訪問權(quán)限,動態(tài)控制遠(yuǎn)程訪問安全,通過對人、終端和系統(tǒng)都進(jìn)行識別、訪問控制、實現(xiàn)全面的身份化,成功建立網(wǎng)絡(luò)安全新邊界。
具體建設(shè)方案如下:
1.集中訪問通道,應(yīng)用隱身,縮小攻擊暴露面
業(yè)務(wù)支撐系統(tǒng)上云后,必須使用云主機(jī)訪問業(yè)務(wù)系統(tǒng)。通過部署零信任安全網(wǎng)關(guān),將企業(yè)內(nèi)網(wǎng)應(yīng)用隱身,只有通過認(rèn)證授權(quán)的用戶使用安全瀏覽器才能與零信任網(wǎng)關(guān)和應(yīng)用系統(tǒng)建立加密連接,非授權(quán)的用戶無法掃描到核心應(yīng)用,從而實現(xiàn)了最細(xì)粒度的應(yīng)用隔離。對企業(yè)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行“隱身”,將企業(yè)內(nèi)網(wǎng)應(yīng)用暴露的攻擊面降到最低。
2.統(tǒng)一權(quán)限管控,權(quán)限最小,防止威脅橫向擴(kuò)散
通過層層授權(quán)與防御機(jī)制,只授予員工辦公所需的應(yīng)用訪問權(quán)限,應(yīng)用級最小授權(quán)給用戶,精細(xì)化管理用戶權(quán)限。并根據(jù)用戶訪問的設(shè)備及網(wǎng)絡(luò)環(huán)境,基于信任模型判定用戶安全級別,限定不同安全級別用戶可訪問的應(yīng)用。
3.動態(tài)訪問控制,評估智能,降低數(shù)據(jù)泄露風(fēng)險
始終假設(shè)網(wǎng)絡(luò)充滿威脅,不信任任何網(wǎng)絡(luò)、人、設(shè)備/系統(tǒng),基于員工身份庫,實現(xiàn)多因子身份認(rèn)證,基于訪問環(huán)境,動態(tài)控制用戶的訪問策略,基于用戶行為分析,持續(xù)驗證用戶身份合法性。精細(xì)化控制用戶遠(yuǎn)程訪問權(quán)限,傳輸鏈路應(yīng)采取加密措施,保證數(shù)據(jù)傳輸?shù)陌踩?弱化內(nèi)部數(shù)據(jù)泄露的風(fēng)險。
4.建立統(tǒng)一業(yè)務(wù)系統(tǒng),門戶統(tǒng)一,提升用戶訪問體驗
智行零信任安全瀏覽器集成SSO單點登錄能力,只需一次瀏覽器認(rèn)證,即可單賬號無縫訪問內(nèi)外網(wǎng)環(huán)境應(yīng)用,消除切換賬號困擾,提升用戶訪問體驗。
四、客戶反饋效果
客戶評價
在項目實施過程中,零信任團(tuán)隊面臨客戶環(huán)境多樣性、網(wǎng)絡(luò)復(fù)雜性等多方面挑戰(zhàn)。零信任產(chǎn)品上線可在不破壞原有客戶環(huán)境的情況下進(jìn)行,因此需要對客戶外接設(shè)備進(jìn)行逐一對接,對客戶網(wǎng)絡(luò)環(huán)境進(jìn)行深度適配。同時,通過部署任子行智行零信任安全防護(hù)產(chǎn)品,幫助用戶解決遠(yuǎn)程辦公場景下的各種風(fēng)險問題的同時,大大提升了用戶體驗和辦公效率。對此,客戶給與任子行產(chǎn)品和技術(shù)服務(wù)高度評價。
安全風(fēng)險降低情況及使用效果情況
1.信息安全加強(qiáng):身份管理體系作為信息安全加強(qiáng)的重要舉措,可有效保障公司機(jī)密及業(yè)務(wù)數(shù)據(jù)的安全使用,保護(hù)其信息資產(chǎn)不受勒索軟件、犯罪黑客行為、網(wǎng)絡(luò)釣魚和其他惡意軟件攻擊的威脅,加強(qiáng)內(nèi)部人員規(guī)范管理;平均減少了31%的重復(fù)身份。
2.業(yè)務(wù)流程風(fēng)險控制:業(yè)務(wù)流程風(fēng)險控制作為管理核心,身份治理體系可加強(qiáng)內(nèi)外部相關(guān)人員訪問的硬件設(shè)備及業(yè)務(wù)系統(tǒng)進(jìn)行集中管控,同時從管理制度、合規(guī)性、審計要求進(jìn)行內(nèi)部風(fēng)險控制;通過自動化的賬號創(chuàng)建、變更、回收及重復(fù)密碼工作,提升IT部門91%的運(yùn)維效率。
3.提高企業(yè)生產(chǎn)力:為有效滿足信息系統(tǒng)對業(yè)務(wù)的快捷響應(yīng)能力,減少保護(hù)用戶憑證和訪問權(quán)限的復(fù)雜性及開銷,打造一套標(biāo)準(zhǔn)化、規(guī)范化、敏捷度高的身份管理平臺成為經(jīng)營發(fā)展的基礎(chǔ)保障,可極大提高企業(yè)生產(chǎn)力。通過集中的用戶管理模塊,訪問認(rèn)證模塊及合規(guī)審計模塊的統(tǒng)一建設(shè),有效減少88%的信息化重復(fù)投入。
4.降低運(yùn)營成本:實現(xiàn)身份管理和相關(guān)最佳實踐,可以多種形式帶來重大競爭優(yōu)勢。大多數(shù)公司需要為外部用戶賦予到內(nèi)部系統(tǒng)的訪問權(quán)限。向客戶、合作伙伴、供應(yīng)商、承包商和雇員開放業(yè)務(wù)融合,可提升效率,降低運(yùn)營成本。用戶從打開網(wǎng)頁到登錄進(jìn)系統(tǒng)的訪問時間,通過統(tǒng)一認(rèn)證與SSO,提升73%的用戶訪問效率。
5.滿足合規(guī)要求:通過加強(qiáng)身份治理,基于業(yè)務(wù)場景的人、終端、環(huán)境、鏈路、流量、資產(chǎn)、行為上下文、內(nèi)容等多維的因素進(jìn)行風(fēng)險計算動態(tài)調(diào)整用戶訪問權(quán)限,確保訪問人員“可信”、訪問終端“可信”、訪問行為“可信”;為企業(yè)構(gòu)建具備較強(qiáng)風(fēng)險應(yīng)對能力的動態(tài)自適應(yīng)網(wǎng)絡(luò)安全閉環(huán)體系,滿足國家相關(guān)法律法規(guī)及標(biāo)準(zhǔn)要求。