概述
1方案背景
随着移动信息化的高速发展,以智能手机,智能平板为代表的移动智能设备 逐步深入到企业办公领域。基于当前移动办公的趋势,某集团也逐步将业务从 PC端向移动端进行迁移。一方面,移动技术的发展让移动办公成为常态,疫情 进一步加速了移动办公、线上协作的常态化进程。另一方面,为使线上协作、移 动办公更高效便捷,越来越多的应用和数据在互联网上发布,数据和应用访问面 临更高的风险。
随着数字化转型的不断深入,某集团将越来越多的核心应用迁移到云计算平 台和互联网,企业的服务范围已经远远超出了原有内部网络边界,企业业务系统 走向了更开放的生态模式,由此面临的来自互联网的恶意威胁越来越大。
主要包括: 1. 员工自带设备办公,存在数据泄露风险
大部分员工使用自带的手机、笔记本进行移动/远程办公,企业数据在不可 控的个人设备上面临以下风险:办公过程中,难免会流转敏感文件,若被员工下 载到个人设备中、随意转发到互联网,会造成敏感文件泄露事件;业务应用展现 了重大审批流程、公司等,一旦被拷贝、截屏并转发到微信等社交平台上,损失 将不可估量。
2. 业务应用服务器暴露在互联网上,终端、应用与某集团内网业务服务器之 间通过互联网连接方式,网络无边界
综上,传统的安全方案已经不能满足企业要求。多种因素促使该企业一直在 寻求更完善的信息安全解决方案,有效防护企业IT资产和数据安全,并帮助全 球员工安全地接入业务系统,便捷的开展日常工作。
2方案概述和应用场景
某集团业务种类众多、数据资产庞大,且已经构建了复杂的网络体系,企业 网络安全防护体系在满足业务发展需求的同时,面对应用实践仍然较少的零信任 理念转型需求,如何保障数据的合法合规访问和使用,以及如何选择最贴切集团 业务安全需求的方案提供商成为重要挑战。指掌易在详细了解了该集团客户所面 临的的挑战和实际需求之后,为客户提供了一套切实可行的零信任解决方案。通 过一年多的持续考察论证,某集团的零信任网络架构建设已经取得了显著的成效。
指掌易SDP零信任解决方案基于零信任模型实现,以基于身份的细粒度访问 代替广泛的网络接入,为用户提供安全可靠的访问业务系统方案。帮助客户实现 0A、门户、邮件等办公系统在互联网上进行隐身,同时要求基于零信任理念,保 证员工在内、外网访问办公系统时,都必须首先通过零信任系统进行认证,避免 以往当员工处于内网时的隐形信任问题。
指掌易通过和集团现有IAM系统进行对接,保证在PC端和移动端是实现用 户的统一身份认证及SSO单点登录机制。
本项目总体设计架构图如上图所示,指掌易MBS移动业务智能安全平台是一 套“云-管-端'‘三位一体构建立体纵深的移动设备、业务的安全防护、管理运维 的综合平台。平台主要由安全工作空间、SDP (软件定义边界)零信任接入网关、 运维管理平台三部分组成。
MBS移动业务智能安全平台支持在Android和iOS移动设备上,建立移动安 全工作空间,实现个人数据和企业数据的完全隔离,实现应用级的DLP策略,如 应用水印、禁止复制粘贴、禁止截屏等功能,所有集团内部办公应用可以发布在 安全工作空间内的应用商店中。
MBS移动业务智能安全平台支持在Windows和Mac系统上安装PC安全浏览 器,在安全浏览器內可以实现包括水印、禁止复制、禁止另存为等功能。
支持多类型终端通过SDP(软件定义边界)方式连接入某集团内网,外网员 工通过部署在新、老DMZ区的不同SDP网关接入内网业务系统,内网员工通过部 署在内网的SDP网关连接到业务系统。所有员工访问内网业务系统都需要首先通 过SDP认证。
通过运维平台,能够实现态势感知、运维审计等功能,支持对攻击行为、应 用情况、用户情况、设备情况等进行记录和审计。 1.零信任安全接入
指掌易SDP安全网关解决方案由客户端、安全网关和控制器三大组件构成。
SDP客户端负责用户身份认证,周期性的检测上报设备、网络等环境信息,为用 户提供安全接入的统一入口。SDP控制器负责身份认证,访问策略和安全策略分 发,并持续对用户进行信任等级的动态评估,根据评估结果动态调整用户权限, 并对用户的接入、访问等行为进行全面的统计分析。SDP安全网关根据控制器的 策略与客户端建立安全加密的数据传输通道。
1) 网络隐身避免外部攻击
关键的应用服务端口不再向外暴露,由零信任网关代理访问。基于UDP协议 的SPA单包授权认证机制,默认“拒绝一切”请求,仅在接收到合法的认证数据 包的情况下,对用户身份进行认证,对非法SPA包默认丢弃。认证通过后,接入 终端和网关之间建立基于UDP协议的加密隧道,支持抗中间人攻击、重放攻击等。 SPA协议和加密隧道协议技术实现对外关闭所有的TCP端口,保证了潜在的网络 攻击者嗅探不到灵犀SDP安全网关的端口,无法对网关进行扫描,预防网络攻击 行为,有效地减少互联网暴露面。
2) 可信接入实现安全访问
根据“零信任"的安全理念,通过对包括用户、设备、网络、时间、位置等 多因素的身份信息进行验证,确认身份的可信度和可靠性。在默认不可信的前提 下,只有全部身份信息符合安全要求,才能够认证通过,客户端才能够与安全网 关建立加密的隧道连接,由安全网关代理可访问的服务。针对异地登录、新设备 登录的等风险行为,系统将追加二次验证,防止账号信息泄露而导致的内网入侵。
3) 零信任环境检测
包括进行身份信息检测、设备信息检测、访问位置信息检测、访问网络信息 检测、访问时间信息检测等。
4) 最小化授权
当用户行为或环境发生变化时,指掌易SDP会持续监视上下文,基于位置、 时间、安全状态和一些自定义属性实施访问控制管理。通过用户身份、终端类型、 设备属性、接入方式、接入位置、接入时间来感知用户的访问上下文行为,并动 态调整用户信任级别。
对于同一用户需要设定其最小业务集及最大业务集,对于每次访问,基于用 户属性、职务、业务组、操作系统安全级别等进行安全等级评估,按照其安全等 级,进行对应的业务系统访问。
5)零信任持续认证
通过强大的身份服务来确保每个用户的访问,一旦身份验证通过,并能证明 自己设备的完整性,赋予对应权限访问资源。SDP进行持续的自适应风险与信任 评估,信任度和风险级别会随着时间和空间发生变化,根据安全等级的要求、网 络环境等因素,达到信任和风险的平衡。
指掌易SDP零信任解决方案架构中,所有用户的请求都必须通过组织信任的 设备发起,用户的身份需要鉴定确认是否合法,并且通过遵循控制端下发的安全 策略才能访问隐藏在安全网关后面的特定的内部资源。
在持续认证过程中,通过上下文分析和基于计分的信任算法提供更加动态和 细粒度的访问控制能力。
2. 安全工作空间
针对集团员工的BYOD办公场景,基于指掌易自主研发的VSA技术,无需获 取应用源代码、无需对操作系统进行Root或越狱情况下,对应用进行容器化, 建立一个可管理的、相对隔离的安全工作空间,作为构建在应用和系统、应用和 应用之间的桥梁。集团内部的办公应用均通过应用商店下发和安装到安全工作空 间内。安全办公空间内的办公应用和数据与空间外的个人应用和数据相互隔离, 个人应用无法访问办公应用和数据,保障办公应用的安全。同时,安全工作空间 通过容器化封装对办公应用提供数据防泄漏能力,防止应用层数据外泄。DLP赋 能企业移动业务,无需改造移动APP。提供包括应用水印、截屏/录屏保护、复 制黏贴保护、数据/文件保护、数据隔离、应用数据透明加解密等安全保护策略。
3. 态势感知
支持对用户、设备、应用、网络攻击、服务器状态等信息的统计、分析、上 报能力。能够对用户情况、设备类型、数量、应用安装情况、使用情况、网络攻 击类型、IP地址、攻击来源等进行分析展示,帮助客户了解各类信息。
3优势特点和应用价值
1. 安全工作空间
提供移动化办公统一协作空间和应用入口,基于指掌易独创的VSA (虚拟安 全域)技术,支持在移动设备上创建虚拟的安全工作空间。在BYOD场景中,实 现用户个人数据与工作业务数据的安全隔离,既保障了工作数据的安全性,同时 极大提升了移动办公的用户体验。实现了一个设备兼备“个人"和“工作"两套 “区域”,兼顾工作数据安全以及个人生活隐私。
2. 基于“零信任理念”的安全接入系统
围绕无边界零信任网络安全架构理念建设安全网关,零信任安全针对传统边 界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议,零 信任架构建议组织围绕业务系统创建一种以身份为中心的全新边界,旨在解决 “基于网络边界建立信任''这种理念本身固有的安全问题。零信任模型不再基于 网络位置建立信任,而是在不依赖网络传输层安全机制的前提下,有效地保护网 络通信和业务访问。
3. 轻量化安全框架
轻量化的移动安全框架,适配99%的应用及近千款主流移动设备,移动应用 安全封装后安全控制能力近百项,同时支持Android、iOS两大主流移动平台。 开箱即用,简化配置,无需繁琐的设备注册,增强移动办公效率。打消BYOD场 景中个人用户对安装使用安全保护应用,可能造成个人隐私信息泄露等众多疑虑, 降低移动办公安全的推进难度。
4. 高可扩展性设计
系统支持高可用集群部署,具有合理、高效、灵活的体系结构,便于管理系 统的处理能力、容量的扩充、以及多种业务的接入。支持企业移动业务不断新增 扩展,安全能力向后兼容,不断扩展新的安全功能或能力,同步支持企业移动业 务安全赋能。
4经验总结
零信任理念是未来企业网络安全防护体系的重要发展方向,从实施推进的具 体路径上,以及覆盖的业务系统范围来看,目前该集团的零信任架构重点关注于 OA系统、邮件系统、移动办公平台等使用范围广泛,用户级别较高的业务,且 已经覆盖了庞大的用户群体。未来,可通过安全态势感知和智能、动态的安全策 略调整,逐步实现整体信息安全智能化,助力某集团构建全面信息化安全规划。
最近考CZTP的人越来越多,看到相关问题下面大家都在求加群,自己建了个交流群,顺便分享下自己考过的相关课程资料。大家可以互相督促,交流经验和进度。想进群的私信我。
文章转自CSA GCR - 2021零信任落地案例集 终稿(无水印版)
最后
以上就是矮小白猫为你收集整理的【零信任落地案例】指掌易某集团灵犀・SDP零信任解决方案的全部内容,希望文章能够帮你解决【零信任落地案例】指掌易某集团灵犀・SDP零信任解决方案所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复