随着信息技术的发展,云计算成为信息化发展的必然方向,上云顺势成为了驱动各行业数字化转型的新引擎。今年,蔓延全球的新冠肺炎疫情,更倒逼企业数字化转型,远程办公、云端储存可能成为常态。在此背景下,网络数据安全、云服务的安全成为企业数字化进程中最受关注的问题。
如何保障云端平台数据资源的安全性,促进企业数字化运营?需要通过多种手段对用户身份和应用进行合法性验证,通过“零信任”机制来提升云安全程度。
背景介绍
在加快新型基础设施建设(“新基建”)以及数字化转型的大背景下,以云计算为代表的新技术基础设施与5G为代表的通信网络基础设施作为“新基建”的底座,都面临转型升级,以更好地支撑各行各业全面数字化转型的要求。
电信作为三大运营商之一,通过新建系统100%上云,存量系统"关移转并"三年上云,解决实际业务问题,降本增效提感知,助推企业数字化转型的同时,上云后暴露在互联网的数据和业务,因企业访问失去了边界,由原有的传统企业内网直接拓展到互联网,面临着极高的安全风险。
基础设施上云,安全风险加剧
1 信息集中导致攻击目标明确
某省电信营业厅日常访问的业务支撑系统上云后,使得云端平台存储了大量的高价值数据资源,业务和数据的集中造成了目标的集中和风险的集中,成为了黑产最主要的攻击和窃取目标。
2 多元访问导致权限管理杂乱
云端部署了大量业务支撑系统,不同员工需要在特定环境下访问不同的业务系统,因授权板块分散,用户权限不集中管控,导致用户权限无法动态分配、实时更新,存在大量权限开放或无人使用的风险账号。
3 封闭端口导致远程访问困难
为避免黑客的攻击和扫描,云端主机不能在互联网上暴露访问端口,不能使用VPN访问。但员工在家办公或出差时,有远程访问云上业务系统的需求。
任子行零信任远程接入安全防护解决方案
任子行结合零信任理念,根据某省电信的业务支撑系统上云后的信息安全需求,提供零信任远程接入安全防护解决方案,助力某省电信加强云端数据与业务安全保护,有效管理员工访问权限,动态控制远程访问安全,通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化,成功建立网络安全新边界。
具体实施方案如下:
1 集中访问通道,应用隐身
业务支撑系统上云后,必须使用云主机访问业务系统。通过部署零信任安全网关,将企业内网应用隐身,只有通过认证授权的用户使用安全浏览器才能与零信任网关和应用系统建立加密连接,非授权的用户无法扫描到核心应用,从而实现了最细粒度的应用隔离。对企业内网业务系统进行“隐身”,将企业内网应用暴露的攻击面降到最低。
2 统一权限管控,权限最小
通过层层授权与防御机制,只授予员工办公所需的应用访问权限,应用级最小授权给用户,精细化管理用户权限。并根据用户访问的设备及网络环境,基于信任模型判定用户安全级别,限定不同安全级别用户可访问的应用。
3 动态访问控制,评估智能
始终假设网络充满威胁,不信任任何网络、人、设备/系统,基于员工身份库,实现多因子身份认证,基于访问环境,动态控制用户的访问策略,基于用户行为分析,持续验证用户身份合法性。精细化控制用户远程访问权限,弱化内部数据泄露的风险。
任子行零信任远程接入安全防护解决方案优势
任子行零信任远程接入安全防护解决方案,采用SDP的技术模型,以企业安全客户端实现用户身份验证,联通应用加密隧道,访问发布的应用,在实现零信任核心安全理念的同时又为用户带来了方便快捷的使用体验。这种“轻量级”的实施方案,有助于企业快速落地零信任安全模型,使得“零信任”应用访问成为企业安全防护架构中最基础的防护设施。
零信任安全建设是一个系统工程,需要顶层设计,逐步建设,不能一蹴而就。未来,任子行将继续专注于技术的深入研究与研发,以期最终实现安全防护与零信任体系相结合,最大限度提升企业网络安全防护能力,为国家网络安全建设贡献一份力量。
400-700-1218
微信公众号
公司微博
公安备案号:44030502000376