隨著信息技術的發展�,云計算成為信息化發展的必然方向��,上云順勢成為了驅動各行業數字化轉型的新引擎。今年�����,蔓延全球的新冠肺炎疫情�����,更倒逼企業數字化轉型�,遠程辦公����、云端儲存可能成為常態。在此背景下���,網絡數據安全、云服務的安全成為企業數字化進程中最受關注的問題��。
如何保障云端平臺數據資源的安全性���,促進企業數字化運營��?需要通過多種手段對用戶身份和應用進行合法性驗證�,通過“零信任”機制來提升云安全程度��。
在加快新型基礎設施建設(“新基建”)以及數字化轉型的大背景下�����,以云計算為代表的新技術基礎設施與5G為代表的通信網絡基礎設施作為“新基建”的底座,都面臨轉型升級���,以更好地支撐各行各業全面數字化轉型的要求。
電信作為三大運營商之一���,通過新建系統100%上云,存量系統"關移轉并"三年上云���,解決實際業務問題����,降本增效提感知,助推企業數字化轉型的同時,上云后暴露在互聯網的數據和業務���,因企業訪問失去了邊界,由原有的傳統企業內網直接拓展到互聯網,面臨著極高的安全風險���。
某省電信營業廳日常訪問的業務支撐系統上云后,使得云端平臺存儲了大量的高價值數據資源,業務和數據的集中造成了目標的集中和風險的集中,成為了黑產最主要的攻擊和竊取目標��。
云端部署了大量業務支撐系統���,不同員工需要在特定環境下訪問不同的業務系統���,因授權板塊分散����,用戶權限不集中管控,導致用戶權限無法動態分配、實時更新,存在大量權限開放或無人使用的風險賬號��。
為避免黑客的攻擊和掃描�,云端主機不能在互聯網上暴露訪問端口,不能使用VPN訪問。但員工在家辦公或出差時�,有遠程訪問云上業務系統的需求�����。
任子行結合零信任理念�,根據某省電信的業務支撐系統上云后的信息安全需求���,提供零信任遠程接入安全防護解決方案�����,助力某省電信加強云端數據與業務安全保護,有效管理員工訪問權限,動態控制遠程訪問安全�����,通過對人�����、終端和系統都進行識別���、訪問控制�����、跟蹤實現全面的身份化,成功建立網絡安全新邊界�。
具體實施方案如下:
業務支撐系統上云后,必須使用云主機訪問業務系統�����。通過部署零信任安全網關�,將企業內網應用隱身,只有通過認證授權的用戶使用安全瀏覽器才能與零信任網關和應用系統建立加密連接,非授權的用戶無法掃描到核心應用,從而實現了最細粒度的應用隔離�。對企業內網業務系統進行“隱身”�,將企業內網應用暴露的攻擊面降到最低�。
通過層層授權與防御機制,只授予員工辦公所需的應用訪問權限���,應用級最小授權給用戶,精細化管理用戶權限。并根據用戶訪問的設備及網絡環境��,基于信任模型判定用戶安全級別�����,限定不同安全級別用戶可訪問的應用。
始終假設網絡充滿威脅,不信任任何網絡��、人���、設備/系統�,基于員工身份庫,實現多因子身份認證��,基于訪問環境���,動態控制用戶的訪問策略�,基于用戶行為分析,持續驗證用戶身份合法性�����。精細化控制用戶遠程訪問權限�,弱化內部數據泄露的風險。
任子行零信任遠程接入安全防護解決方案����,采用SDP的技術模型��,以企業安全客戶端實現用戶身份驗證,聯通應用加密隧道���,訪問發布的應用,在實現零信任核心安全理念的同時又為用戶帶來了方便快捷的使用體驗��。這種“輕量級”的實施方案�����,有助于企業快速落地零信任安全模型�����,使得“零信任”應用訪問成為企業安全防護架構中最基礎的防護設施。
零信任安全建設是一個系統工程��,需要頂層設計�����,逐步建設����,不能一蹴而就����。未來,任子行將繼續專注于技術的深入研究與研發����,以期最終實現安全防護與零信任體系相結合�,最大限度提升企業網絡安全防護能力�����,為國家網絡安全建設貢獻一份力量��。
公安備案號:44030502000376