一、案例背景
為促進和推動重點單位和行業對關鍵信息基礎設施和行業重要系統的網絡安全保護,2016年以來,公安部每年組織國家級的網絡攻防實戰演習。演習采用實戰方式,選取國內數十支頂尖網絡安全攻擊隊伍對關鍵信息基礎設施運營者和重點單位運營者的信息系統和網絡設施進行實戰攻擊。根據國家網絡安全相關法律法規及集團公司相關要求,為進一步降低互聯網暴露面,減少網絡攻擊風險,區公司組織相關單位完善了互聯網系統網絡安全管理要求和系統入網申請流程,進一步加強對互聯網系統網絡安全管理。
一方面,為了實現安全的遠程接入辦公,亟需采取一套比傳統安全技術和架構具有顯著提升的新架構、新技術或新產品來解決以上問題,新的網絡安全架構必須采用零信任安全架構,新的網絡安全架構需能夠很好的適用于該場景下,并在經過測試后,VPN異構產品能夠很好的解決VPN設備出現的安全問題。
另一方面,在信息化高速發展時期,云計算、大數據、物聯網、移動互聯網等新興技術的應用,為各行各業的信息化建設帶來了顛覆性的變革和超高速的發展的同時也為信息安全的防護帶來了諸多挑戰,主要表現如下:
1.互聯網的飛速發展突破了業務常規的時間、空間限制,移動化、碎片化的訪問方式,導致網絡的邊界越來越模糊,企業的安全邊界極易被泛化;
2.大量業務大規模向云上遷移,數據的集中導致傳統物理邊界之外的數據和基礎設施成為高價值的攻擊目標;
3.應用系統的日益增加和累積,導致企業資產在互聯網上的攻擊暴露面不斷擴大,攻擊者總能比用戶更早的發現漏洞;
4.日益繁多的業務系統導致管理和訪問的難度不斷提升,以賬戶、憑證為基礎的訪問方式已經無法確保身份的可信度;
5.基于內網用戶、設備和流量可信假設的傳統邊界思維,無法有效抵御來自企業網絡內部的威脅,攻擊者的滲入、員工的疏忽,都會導致數據泄露。
因此,亟需一套新的安全體系來滿足現有的企業信息安全防護要求。
二、案例概述
在加快新型基礎設施建設(“新基建”)以及數字化轉型的大背景下,以云計算為代表的新技術基礎設施與5G為代表的通信網絡基礎設施作為“新基建”的底座,都面臨轉型升級,以更好地支撐各行各業全面數字化轉型的要求。
一方面,作為三大運營商之一,通過新建系統100%上云,存量系統"關移轉并"三年上云,解決實際業務問題,降本增效提感知,助推企業數字化轉型的同時,上云后暴露在互聯網的數據和業務,因企業訪問失去了邊界,由原有的傳統企業內網直接拓展到互聯網,面臨著極高的安全風險。具體表現如下:
1.信息集中導致攻擊目標明確
某市營業廳日常訪問的業務支撐系統上云后,使得云端平臺存儲了大量的高價值數據資源,業務和數據的集中造成了目標的集中和風險的集中,成為了黑產最主要的攻擊和竊取目標。
2.多元訪問導致權限管理雜亂
云端部署了大量業務支撐系統,不同員工需要在特定環境下訪問不同的業務系統,因授權板塊分散,用戶權限不集中管控,導致用戶權限無法動態分配、實時更新,存在大量權限開放或無人使用的風險賬號。
3.封閉端口導致遠程訪問困難
為避免黑客的攻擊和掃描,云端主機不能在互聯網上暴露訪問端口,不能使用VPN訪問。但員工在家辦公或出差時,有遠程訪問云上業務系統的需求。
另一方面,該運營商面臨著兼顧員工日常辦公場景和營業廳業務場景穩定運行雙重挑戰。在辦公場景下,原有接入方式“一次連接,永久授權”,存在安全隱患;端口暴露在互聯網上,極易被攻擊者利用等諸多風險問題,需要實時監測內網終端、主機、虛擬資源的健康狀態,并能夠有效防止安全威脅橫向擴散,加強對員工建立身份識別與訪問管理體系,確保訪問人員“可信”,訪問權限“可控”,訪問行為“可視”。營業廳場景下,原有VPN連接不穩定,影響業務辦理體驗,認證方式單一,用戶名密碼可能會被盜用等風險問題凸出。需要確保在最大并發用戶數情況下的不同用戶角色便捷、高效、安全的接入訪問各個業務系統的需求。
三、安全技術應用情況
任子行零信任安全防護解決方案
基于零信任安全理念,根據客戶業務支撐系統上云后的信息安全需求,提供零信任遠程接入安全防護解決方案,助力用戶加強云端數據與業務安全保護,有效管理員工訪問權限,動態控制遠程訪問安全,通過對人、終端和系統都進行識別、訪問控制、實現全面的身份化,成功建立網絡安全新邊界。
具體建設方案如下:
1.集中訪問通道,應用隱身,縮小攻擊暴露面
業務支撐系統上云后,必須使用云主機訪問業務系統。通過部署零信任安全網關,將企業內網應用隱身,只有通過認證授權的用戶使用安全瀏覽器才能與零信任網關和應用系統建立加密連接,非授權的用戶無法掃描到核心應用,從而實現了最細粒度的應用隔離。對企業內網業務系統進行“隱身”,將企業內網應用暴露的攻擊面降到最低。
2.統一權限管控,權限最小,防止威脅橫向擴散
通過層層授權與防御機制,只授予員工辦公所需的應用訪問權限,應用級最小授權給用戶,精細化管理用戶權限。并根據用戶訪問的設備及網絡環境,基于信任模型判定用戶安全級別,限定不同安全級別用戶可訪問的應用。
3.動態訪問控制,評估智能,降低數據泄露風險
始終假設網絡充滿威脅,不信任任何網絡、人、設備/系統,基于員工身份庫,實現多因子身份認證,基于訪問環境,動態控制用戶的訪問策略,基于用戶行為分析,持續驗證用戶身份合法性。精細化控制用戶遠程訪問權限,傳輸鏈路應采取加密措施,保證數據傳輸的安全性,弱化內部數據泄露的風險。
4.建立統一業務系統,門戶統一,提升用戶訪問體驗
智行零信任安全瀏覽器集成SSO單點登錄能力,只需一次瀏覽器認證,即可單賬號無縫訪問內外網環境應用,消除切換賬號困擾,提升用戶訪問體驗。
四、客戶反饋效果
客戶評價
在項目實施過程中,零信任團隊面臨客戶環境多樣性、網絡復雜性等多方面挑戰。零信任產品上線可在不破壞原有客戶環境的情況下進行,因此需要對客戶外接設備進行逐一對接,對客戶網絡環境進行深度適配。同時,通過部署任子行智行零信任安全防護產品,幫助用戶解決遠程辦公場景下的各種風險問題的同時,大大提升了用戶體驗和辦公效率。對此,客戶給與任子行產品和技術服務高度評價。
安全風險降低情況及使用效果情況
1.信息安全加強:身份管理體系作為信息安全加強的重要舉措,可有效保障公司機密及業務數據的安全使用,保護其信息資產不受勒索軟件、犯罪黑客行為、網絡釣魚和其他惡意軟件攻擊的威脅,加強內部人員規范管理;平均減少了31%的重復身份。
2.業務流程風險控制:業務流程風險控制作為管理核心,身份治理體系可加強內外部相關人員訪問的硬件設備及業務系統進行集中管控,同時從管理制度、合規性、審計要求進行內部風險控制;通過自動化的賬號創建、變更、回收及重復密碼工作,提升IT部門91%的運維效率。
3.提高企業生產力:為有效滿足信息系統對業務的快捷響應能力,減少保護用戶憑證和訪問權限的復雜性及開銷,打造一套標準化、規范化、敏捷度高的身份管理平臺成為經營發展的基礎保障,可極大提高企業生產力。通過集中的用戶管理模塊,訪問認證模塊及合規審計模塊的統一建設,有效減少88%的信息化重復投入。
4.降低運營成本:實現身份管理和相關最佳實踐,可以多種形式帶來重大競爭優勢。大多數公司需要為外部用戶賦予到內部系統的訪問權限。向客戶、合作伙伴、供應商、承包商和雇員開放業務融合,可提升效率,降低運營成本。用戶從打開網頁到登錄進系統的訪問時間,通過統一認證與SSO,提升73%的用戶訪問效率。
5.滿足合規要求:通過加強身份治理,基于業務場景的人、終端、環境、鏈路、流量、資產、行為上下文、內容等多維的因素進行風險計算動態調整用戶訪問權限,確保訪問人員“可信”、訪問終端“可信”、訪問行為“可信”;為企業構建具備較強風險應對能力的動態自適應網絡安全閉環體系,滿足國家相關法律法規及標準要求。