【零信任落地案例】上海云盾贵州白山云科技股份有限公司 应用可信访问

本文主要是介绍【零信任落地案例】上海云盾贵州白山云科技股份有限公司 应用可信访问,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1方案背景

1. 1方案背景

随着云计算、大数据、物联网、移动互联网等技术的兴起,适用于不同行业 的“私有云”或者“公有云"解决方案层出不穷,很多政务系统、0A系统、重 要业务系统以及其他对外信息发布系统逐渐向“云"端迁移。这无疑加快了很多 企业的战略转型升级,企业的业务架构和网络环境也随之发生了重大的变化。

目前,绝大多数企业都还是采用传统的网络分区和隔离的安全模型,用边界 防护设备划分出企业内网和外网,并以此构建企业安全体系。在传统的安全体系 下,内网用户默认享有较高的网络权限,而外网用户如异地办公员工、分支机构 接入企业内网都需要通过VPN。不可否认传统的网络安全架构在过去发挥了积极 的作用,但是在高级网络攻击肆虐、内部恶意事件频发的今天,传统基于边界防 护的网络安全架构很难适应新环境,对于一些高级持续性威胁攻击无法有效防御, 内网安全事故也频频发生。传统安全架构已不能满足企业的数字化转型需求,传统的网络安全架构需要迭代升级。

1.2风险分析

2.1过度信任防火墙 防火墙提供了划分网络边界、隔离阻断边界之间的流量的一种方式,通过防 火墙可以提供简单、快速有效的隔离能力。然而传统防火墙是基于IP、VLAN手 工配置访问策略,这意味着管理员需要将所有的防火墙策略进行持续维护,不但 工作量巨大容易出错,而且基于区域隔离的ACL授权太严格,限制了生产力。一 旦攻击者使用合法权限(如口令、访问票据等)绕过防护机制,则内网安全防护 形同虚设。

1.2.2内网粗颗粒度的隔离 我们知道风险已不只来自于企业外部,甚至更多是来自于内部。而传统的基 于网络位置的信任体系,所有策略都是针对边界之外的威胁,在网络内部没有安 全控制点,导致边界一旦被攻破之后,既无法应对攻击者在企业内部的横移,也 无法有效控制“合法用户"造成的内部威胁。

1.2.3远程办公背后的挑战 近年来APT攻击、勒索病毒、窃密事件、漏洞攻击层出不穷,日趋泛滥,云 化和虚拟化的发展,移动办公、远程访问、云服务形式又突破了企业的物理网络 边界,而接入网络的人员、设备、系统的多样性呈指数型增加,参差不齐的终端 接入设备和系统,具有极大的不确定性,各种接入人员的身份和权限管理混乱, 更使安全战场不断扩大,信任区域日趋复杂。企业同时面临着安全与效率的双重 挑战,边界消失已经成为必然。

1.2.4攻击面暴露 随着公有云市场占有率不断提升、企业上云是共同的趋势。在这一趋势下, 企业的关键业务会越来越多地部署在公有云上,那么其暴露面和攻击面势必变大,原本只能在内网访问的高敏感度的业务系统不得不对互联网开放。与此同时军工 级攻击工具的平民化,又让风险不断加剧。

2方案概述和应用场景

2. 1平台架构

YUNDUN-应用可信访问解决方案提供零信架构中“无边界可信访问"的核心 能力。基于“从不信任、始终校验''的架构,重构企业安全能力建设,将过去的 基于网络边界的模型,转变为以身份为核心的新的安全边界,助力企业数字化转 型。

​2.2应用场景

2.2.1无边界移动办公场景

据第三方调查数据显示,2020年春节期间,中国有超过3亿人远程办公, 以前只能在办公室开展的工作全部搬回了员工的家中,不仅仅局限在日常工作协 同沟通、视频会议等,越来越多的企业将很多IT功能都搬上了远程办公平台, 远程开发,远程运维,远程客服,远程教学等等都已变成现实。为了支撑远程移 动办公,原本只能在内网访问的高敏感度的业务系统不得不对互联网开放。目前 远程移动办公使用最多的是两种接入方式,一种是通过端口映射将业务系统直接 开放公网访问;一种是使用VPN打通远程网络通道。无论哪种方式,都是对原本 脆弱的网络边界打上了更多的“洞",敏锐的攻击者一定不会放过这些暴露面。

在YUNDUN零信任解决方案中,默认网络无边界,无论访问人员在哪里,使 用什么终端设备,访问是内网办公应用或是业务资源,都无需使用VPN,同时支 持细粒度的鉴权访问控制,真正实现无边界化安全办公场景。

2.2.2多云业务安全管控场景

越来越多的企业业务应用构建在云端大数据平台中,使得云端平台存储了大 量的高价值数据资源。业务和数据的集中造成了目标的集中和风险的集中,这自 然成为黑产最主要的攻击和窃取目标。从企业数字化转型和IT环境的演变来看, 云计算、移动互联的快速发展导致传统内外网边界模糊,企业无法基于传统的物 理边界构筑安全基础设施,基于网络边界的信任模型被打破,企业的安全边界正 在消失。

同时近年来外部攻击的规模、手段、目标等都在演化,有组织的、攻击武器 化、以数据及业务为攻击目标的高级持续攻击屡见不鲜,且总是能找到各种漏洞 突破企业的边界并横向移动,可以说企业的网络安全边界原本就已经很脆弱,而 随着“全云化“的覆盖可以说是让这种脆弱性雪上加霜。

YUNDUN-应用可信访问解决方案利用边缘安全网关技术隐藏用户的真实业务 资产,如真实IP、端口等等,用户在通过边缘安全网关访问业务时,会进行身 份认证,只有经过身份认证并授权访问的应用才被准许访问,这样就极大的隐藏 了攻击暴露面。保障业务部署于任何环境下的访问安全性,有效防御数据泄露、 DDoS攻击、APT攻击等安全威胁。

2.2.3统一身份、业务管理场景

单点登录要解决的就是,用户只需要登录一次就可以访问所有相互信任的应 用系统,目前,YUNDUN-应用可信访问解决方案已经支持与第三方身份认证如钉 钉、企业微信、微信等集成,同时支持标准的0IDC、SAML等协议,可与客户应 用轻松集成。云端控制台可进行精细的权限管控,保障权限最小化,访问控制策 略可实时下发至边缘安全网关。边缘安全网关可持续对用户的访问行为进行信任 评估,动态控制和调整用户访问权限。同时企业的应用将收敛于应用门户,统一 工作入口,方便统一管理。

3优势特点和应用价值

3. 1方案优势

3. 1.1 SaaS 部署

无需机房、服务器等开销,降低建设、维护硬件成本,使用浏览器就可以连 接到平台中,省时省力。

3. 1.2综合的解决方案及产品

YUNDUN-应用可信访问解决方案除了提供单独的应用可信访问功能,同时支 持灵活扩展,包含云WAF、云抗D、云加速、DNS防护等综合安全能力,全面提 高应用性能和可靠性。

3. 1.3安全检测分析平台联动

传统的边界防护模型通常不介入到业务中,因此难以还原所有的轨迹,不能 有效关联分析,导致安全检测容易出现盲点,应用可信访问平台支持针对所有访 问审计,UEBA异常行为分析弱身份凭据泄漏,同时支持与SOC/SIEM/Snort等平 台数据对接、联动分析、持续审计访问。

3. 2客户价值

3. 2.1传统VPN的缺陷

1. 安全性不足

仅一次用户鉴权,没有持续安全监测,当出现用户证书被盗或用户身份验证 强度不足的情况,无法解决合法用户的内部安全威胁;

2. 稳定性不足

当使用弱网络(如小运营商,丢包率高),海外网络(跨洋线路,延迟大) 时,频繁断线重连,访问体验差;

3. 灵活性不足

大部分企业的VPN产品是第三方采购,采购和部署周期长,容量,带宽也受 限于先前的规划,难以在突发需要的时候进行快速的弹性扩容。

整个方案目标旨在为用户提供更多场景的远程访问服务,内网应用快速 SaaS化访问,灵活性更强,同时拥有更强的身份认证和细粒度访问控制能力, 弥补了内部VPN安全性、稳定性、灵活性不足的问题。

3.2.2提高安全ROI,降低IT复杂度

整体方案基于零信任思想:“默认情况下不信任网络内部和外部的任何人/ 设备/系统,以身份为中心进行访问控制,身份是安全的绝对核心”将过去的基 于网络边界的模型,转变为以身份为核心的新的安全边界,无需做过多的改造, 降低IT复杂度。

3.2.3精细灵活的安全管理

管理员可对用户访问进行精细化控制,包括URL过滤、带宽控制、DN S过滤, 优先保证组织内重要商务应用的访问,提升企业办公效率,并可视化所有网络流 量,提供各维度统计报表,帮助管理员更好地实施合规策略。

4经验总结

产品是基于零信任这个概念,是国内最近才火起来的,客户接受度不高,市 场缺乏教育,以产品方式去推动时,客户更多的是处于观望和了解状态。

最近考CZTP的人越来越多,看到相关问题下面大家都在求加群,自己建了个交流群,顺便分享下自己考过的相关课程资料。大家可以互相督促,交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿(无水印版) 

这篇关于【零信任落地案例】上海云盾贵州白山云科技股份有限公司 应用可信访问的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/434557

相关文章

MySQL 中的 JSON 查询案例详解

《MySQL中的JSON查询案例详解》:本文主要介绍MySQL的JSON查询的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录mysql 的 jsON 路径格式基本结构路径组件详解特殊语法元素实际示例简单路径复杂路径简写操作符注意MySQL 的 J

C语言中位操作的实际应用举例

《C语言中位操作的实际应用举例》:本文主要介绍C语言中位操作的实际应用,总结了位操作的使用场景,并指出了需要注意的问题,如可读性、平台依赖性和溢出风险,文中通过代码介绍的非常详细,需要的朋友可以参... 目录1. 嵌入式系统与硬件寄存器操作2. 网络协议解析3. 图像处理与颜色编码4. 高效处理布尔标志集合

Python Transformers库(NLP处理库)案例代码讲解

《PythonTransformers库(NLP处理库)案例代码讲解》本文介绍transformers库的全面讲解,包含基础知识、高级用法、案例代码及学习路径,内容经过组织,适合不同阶段的学习者,对... 目录一、基础知识1. Transformers 库简介2. 安装与环境配置3. 快速上手示例二、核心模

Java中的Lambda表达式及其应用小结

《Java中的Lambda表达式及其应用小结》Java中的Lambda表达式是一项极具创新性的特性,它使得Java代码更加简洁和高效,尤其是在集合操作和并行处理方面,:本文主要介绍Java中的La... 目录前言1. 什么是Lambda表达式?2. Lambda表达式的基本语法例子1:最简单的Lambda表

Python结合PyWebView库打造跨平台桌面应用

《Python结合PyWebView库打造跨平台桌面应用》随着Web技术的发展,将HTML/CSS/JavaScript与Python结合构建桌面应用成为可能,本文将系统讲解如何使用PyWebView... 目录一、技术原理与优势分析1.1 架构原理1.2 核心优势二、开发环境搭建2.1 安装依赖2.2 验

Java字符串操作技巧之语法、示例与应用场景分析

《Java字符串操作技巧之语法、示例与应用场景分析》在Java算法题和日常开发中,字符串处理是必备的核心技能,本文全面梳理Java中字符串的常用操作语法,结合代码示例、应用场景和避坑指南,可快速掌握字... 目录引言1. 基础操作1.1 创建字符串1.2 获取长度1.3 访问字符2. 字符串处理2.1 子字

SpringShell命令行之交互式Shell应用开发方式

《SpringShell命令行之交互式Shell应用开发方式》本文将深入探讨SpringShell的核心特性、实现方式及应用场景,帮助开发者掌握这一强大工具,具有很好的参考价值,希望对大家有所帮助,如... 目录引言一、Spring Shell概述二、创建命令类三、命令参数处理四、命令分组与帮助系统五、自定

SpringBoot应用中出现的Full GC问题的场景与解决

《SpringBoot应用中出现的FullGC问题的场景与解决》这篇文章主要为大家详细介绍了SpringBoot应用中出现的FullGC问题的场景与解决方法,文中的示例代码讲解详细,感兴趣的小伙伴可... 目录Full GC的原理与触发条件原理触发条件对Spring Boot应用的影响示例代码优化建议结论F

MySQL 分区与分库分表策略应用小结

《MySQL分区与分库分表策略应用小结》在大数据量、复杂查询和高并发的应用场景下,单一数据库往往难以满足性能和扩展性的要求,本文将详细介绍这两种策略的基本概念、实现方法及优缺点,并通过实际案例展示如... 目录mysql 分区与分库分表策略1. 数据库水平拆分的背景2. MySQL 分区策略2.1 分区概念

Python中使用正则表达式精准匹配IP地址的案例

《Python中使用正则表达式精准匹配IP地址的案例》Python的正则表达式(re模块)是完成这个任务的利器,但你知道怎么写才能准确匹配各种合法的IP地址吗,今天我们就来详细探讨这个问题,感兴趣的朋... 目录为什么需要IP正则表达式?IP地址的基本结构基础正则表达式写法精确匹配0-255的数字验证IP地