網御星云:基于“零信任”打造遠程辦公安全運營新模式

2021-11-18 17:39:05

新冠疫情防控常態化的當下,遠程辦公成為企業“新常態”。由于遠程辦公的地點具有分散,使得網絡邊界擴大、接入終端復雜、內部資源暴露,增加了數據泄露的風險,網絡攻擊事件也大幅度增長。2021年5月,黑客組織DarkSide利用公司員工遠程辦公VPN存在的漏洞竊取賬號信息,控制了某國輸油管道廠商管道控制系統,使其感染了勒索病毒,竊取并劫持了100GB的數據,導致其輸油管道停運8天。該事件給遠程辦公安全敲響了警鐘,全面考慮遠程辦公風險,提升安全防護能力刻不容緩。

遠程辦公安全需求分析

在傳統辦公模式下,企業基本采用VPN方式實現遠程辦公,員工通過VPN賬號,接入公司內部網絡,就可以訪問所需的應用資源。在新的辦公場景下,如果還延續傳統基于網絡位置的訪問管理模式,無疑打開了一個更大的網絡安全潘多拉魔盒,各路潛在攻擊魚貫而出,防不勝防。

當遠程辦公場景逐漸復雜化,傳統遠程辦公存在的安全缺陷便暴露無遺,而傳統邊界安全理念無法滿足新型安全需求,亟需新的安全能力提供全面保障。對此,零信任安全理念成為了解決上述問題的最佳方案之一。

關鍵詞:北京安全運營解決方案公司、北京安全運營、北京安全運營廠商、北京安全運營公司、北京安全運營中心

網御星云遠程辦公零信任解決方案

零信任(ZeroTrust)是一組安全理念,其核心思想是默認不信任何人和設備,經過驗證后才能獲得信任,允許訪問資源和應用。零信任的理念包含先認證再訪問、最小權限、訪問行為持續評估、多因素風險確認、根據風險動態調整訪問控制策略等。

網御星云基于零信任安全理念,對企業遠程辦公場景進行全新設計,旨在幫助企業建立可信、可管、可控的動態安全保障體系,解決網絡邊界泛化的安全問題,收斂網絡暴露面,實現業務和數據的安全訪問,并滿足網絡安全合規監管要求。

整體方案采用零信任SDP技術實現員工訪問辦公資源過程中身份、設備、鏈路、權限、資源等每個要素的安全,加強辦公場景的安全動態管控,收斂暴露面,構建動態主動安全防御體系。

遠程辦公場景安全設計如圖所示:

圖1遠程辦公場景安全設計圖

在遠程辦公場景安全設計中,我們將暴露后端的郵件、OA、CRM、運維、開發測試等系統隱藏起來,通過“五個可信”(即可信身份、可信環境、可信鏈路、可信權限、可信應用)確保遠程或本地辦公人員訪問資源的全過程安全。

關鍵詞:北京安全運營解決方案公司、北京安全運營、北京安全運營廠商、北京安全運營公司、北京安全運營中心

方案涉及重要組件及作用如下:

可信接入客戶端及環境感知:在用戶辦公設備上安裝客戶端軟件,實現終端安全接入認證、SAP敲門協商、傳輸加密、安全基線掃描、環境感知數據上報等功能,保證接入終端的可靠,數據傳輸的機密和完整。

可信接入代理:在對應辦公訪問資源前端部署代理網關,統一資源對外訪問入口,收斂資源暴露面,實現對客戶端到應用訪問過程中的端口動態開放、傳輸加密、應用代理訪問等功能,實現網絡隱身極大降低網絡的暴露面。

可信接入控制器:可信接入控制器聯動身份、權限等基礎設施實現對接入主體身份、設備身份、設備運行環境身份等多維一體的身份驗證與權限鑒別;控制器可匯聚客戶端采集上報的終端信息,并實時研判打分,進行信任評估;當接入主體信任度發生變化,控制器可依據事先定義的策略,動態生成訪問控制規則,下發至可信接入代理,實現用戶訪問業務的動態授權。

零信任安全管控臺:集身份中心、認證中心、權限中心、審計中心、環境感知中心、威脅情報中心UEBA等于一身,是零信任安全的基礎設施及安全控制“大腦”,動態建立用戶與資源的信任鏈條,達到用戶可信、可管、可控。

關鍵詞:北京安全運營解決方案公司、北京安全運營、北京安全運營廠商、北京安全運營公司、北京安全運營中心

方案價值

△ 安全合規:滿足等級保護及國家密碼測評相關合規要求。

△ 可信訪問:基于零信任安全理念,先認證后連接,通過持續認證、動態授權、業務審計等技術手段,實現用戶設備、網絡、應用、數據的可信訪問。

△ 應用隱身:基于SPA單包授權技術,可有效隱藏網絡端口,實現應用隱身,大面積減少攻擊暴露面。

隨著新冠疫情防控成為常態化的趨勢,如何做好“遠程+現場”辦公的雙安全,是企業應考慮的重點問題之一。網御星云遠程辦公零信任解決方案聚焦遠程辦公場景下的多維因素,可為多種用戶場景提供全方位安全防護,助力企業建立遠程辦公“新常態”下可信、可管、可控的動態安全保障體系。

關鍵詞:北京安全運營解決方案公司、北京安全運營、北京安全運營廠商、北京安全運營公司、北京安全運營中心

關閉
精彩放送
亚洲AV无码AV中文AV日韩AV