1方案背景
隨著移動信息化的高速發(fā)展,以智能手機,智能平板為代表的移動智能設(shè)備 逐步深入到企業(yè)辦公領(lǐng)域。基于當前移動辦公的趨勢,某集團也逐步將業(yè)務(wù)從 PC端向移動端進行遷移。一方面,移動技術(shù)的發(fā)展讓移動辦公成為常態(tài),疫情 進一步加速了移動辦公、線上協(xié)作的常態(tài)化進程。另一方面,為使線上協(xié)作、移 動辦公更高效便捷,越來越多的應(yīng)用和數(shù)據(jù)在互聯(lián)網(wǎng)上發(fā)布,數(shù)據(jù)和應(yīng)用訪問面 臨更高的風險。
隨著數(shù)字化轉(zhuǎn)型的不斷深入,某集團將越來越多的核心應(yīng)用遷移到云計算平 臺和互聯(lián)網(wǎng),企業(yè)的服務(wù)范圍已經(jīng)遠遠超出了原有內(nèi)部網(wǎng)絡(luò)邊界,企業(yè)業(yè)務(wù)系統(tǒng) 走向了更開放的生態(tài)模式,由此面臨的來自互聯(lián)網(wǎng)的惡意威脅越來越大。
主要包括:
1. 員工自帶設(shè)備辦公,存在數(shù)據(jù)泄露風險
大部分員工使用自帶的手機、筆記本進行移動/遠程辦公,企業(yè)數(shù)據(jù)在不可 控的個人設(shè)備上面臨以下風險:辦公過程中,難免會流轉(zhuǎn)敏感文件,若被員工下 載到個人設(shè)備中、隨意轉(zhuǎn)發(fā)到互聯(lián)網(wǎng),會造成敏感文件泄露事件;業(yè)務(wù)應(yīng)用展現(xiàn) 了重大審批流程、公司等,一旦被拷貝、截屏并轉(zhuǎn)發(fā)到微信等社交平臺上,損失 將不可估量。
2. 業(yè)務(wù)應(yīng)用服務(wù)器暴露在互聯(lián)網(wǎng)上,終端、應(yīng)用與某集團內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器之 間通過互聯(lián)網(wǎng)連接方式,網(wǎng)絡(luò)無邊界
綜上,傳統(tǒng)的安全方案已經(jīng)不能滿足企業(yè)要求。多種因素促使該企業(yè)一直在 尋求更完善的信息安全解決方案,有效防護企業(yè)IT資產(chǎn)和數(shù)據(jù)安全,并幫助全 球員工安全地接入業(yè)務(wù)系統(tǒng),便捷的開展日常工作。
2方案概述和應(yīng)用場景
某集團業(yè)務(wù)種類眾多、數(shù)據(jù)資產(chǎn)龐大,且已經(jīng)構(gòu)建了復雜的網(wǎng)絡(luò)體系,企業(yè) 網(wǎng)絡(luò)安全防護體系在滿足業(yè)務(wù)發(fā)展需求的同時,面對應(yīng)用實踐仍然較少的零信任 理念轉(zhuǎn)型需求,如何保障數(shù)據(jù)的合法合規(guī)訪問和使用,以及如何選擇最貼切集團 業(yè)務(wù)安全需求的方案提供商成為重要挑戰(zhàn)。指掌易在詳細了解了該集團客戶所面 臨的的挑戰(zhàn)和實際需求之后,為客戶提供了一套切實可行的零信任解決方案。通 過一年多的持續(xù)考察論證,某集團的零信任網(wǎng)絡(luò)架構(gòu)建設(shè)已經(jīng)取得了顯著的成效。
指掌易SDP零信任解決方案基于零信任模型實現(xiàn),以基于身份的細粒度訪問 代替廣泛的網(wǎng)絡(luò)接入,為用戶提供安全可靠的訪問業(yè)務(wù)系統(tǒng)方案。幫助客戶實現(xiàn) 0A、門戶、郵件等辦公系統(tǒng)在互聯(lián)網(wǎng)上進行隱身,同時要求基于零信任理念,保 證員工在內(nèi)、外網(wǎng)訪問辦公系統(tǒng)時,都必須首先通過零信任系統(tǒng)進行認證,避免 以往當員工處于內(nèi)網(wǎng)時的隱形信任問題。
指掌易通過和集團現(xiàn)有IAM系統(tǒng)進行對接,保證在PC端和移動端是實現(xiàn)用 戶的統(tǒng)一身份認證及SSO單點登錄機制。
本項目總體設(shè)計架構(gòu)圖如上圖所示,指掌易MBS移動業(yè)務(wù)智能安全平臺是一 套“云-管-端'‘三位一體構(gòu)建立體縱深的移動設(shè)備、業(yè)務(wù)的安全防護、管理運維 的綜合平臺。平臺主要由安全工作空間、SDP (軟件定義邊界)零信任接入網(wǎng)關(guān)、 運維管理平臺三部分組成。
MBS移動業(yè)務(wù)智能安全平臺支持在和iOS移動設(shè)備上,建立移動安 全工作空間,實現(xiàn)個人數(shù)據(jù)和企業(yè)數(shù)據(jù)的完全隔離,實現(xiàn)應(yīng)用級的DLP策略,如 應(yīng)用水印、禁止復制粘貼、禁止截屏等功能,所有集團內(nèi)部辦公應(yīng)用可以發(fā)布在 安全工作空間內(nèi)的應(yīng)用商店中。
MBS移動業(yè)務(wù)智能安全平臺支持在和Mac系統(tǒng)上安裝PC安全瀏覽 器,在安全瀏覽器內(nèi)可以實現(xiàn)包括水印、禁止復制、禁止另存為等功能。
支持多類型終端通過SDP(軟件定義邊界)方式連接入某集團內(nèi)網(wǎng),外網(wǎng)員 工通過部署在新、老DMZ區(qū)的不同SDP網(wǎng)關(guān)接入內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng),內(nèi)網(wǎng)員工通過部 署在內(nèi)網(wǎng)的SDP網(wǎng)關(guān)連接到業(yè)務(wù)系統(tǒng)。所有員工訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)都需要首先通 過SDP認證。
通過運維平臺,能夠?qū)崿F(xiàn)態(tài)勢感知、運維審計等功能,支持對攻擊行為、應(yīng) 用情況、用戶情況、設(shè)備情況等進行記錄和審計。
1.零信任安全接入
指掌易SDP安全網(wǎng)關(guān)解決方案由客戶端、安全網(wǎng)關(guān)和控制器三大組件構(gòu)成。
SDP客戶端負責用戶身份認證,周期性的檢測上報設(shè)備、網(wǎng)絡(luò)等環(huán)境信息,為用 戶提供安全接入的統(tǒng)一入口。SDP控制器負責身份認證,訪問策略和安全策略分 發(fā)云計算 身份認證與訪問控制技術(shù),并持續(xù)對用戶進行信任等級的動態(tài)評估,根據(jù)評估結(jié)果動態(tài)調(diào)整用戶權(quán)限, 并對用戶的接入、訪問等行為進行全面的統(tǒng)計分析。SDP安全網(wǎng)關(guān)根據(jù)控制器的 策略與客戶端建立安全加密的數(shù)據(jù)傳輸通道。
1) 網(wǎng)絡(luò)隱身避免外部攻擊
關(guān)鍵的應(yīng)用服務(wù)端口不再向外暴露,由零信任網(wǎng)關(guān)代理訪問。基于UDP協(xié)議 的SPA單包授權(quán)認證機制,默認“拒絕一切”請求,僅在接收到合法的認證數(shù)據(jù) 包的情況下,對用戶身份進行認證,對非法SPA包默認丟棄。認證通過后,接入 終端和網(wǎng)關(guān)之間建立基于UDP協(xié)議的加密隧道,支持抗中間人攻擊、重放攻擊等。 SPA協(xié)議和加密隧道協(xié)議技術(shù)實現(xiàn)對外關(guān)閉所有的TCP端口,保證了潛在的網(wǎng)絡(luò) 攻擊者嗅探不到靈犀SDP安全網(wǎng)關(guān)的端口,無法對網(wǎng)關(guān)進行掃描云計算 身份認證與訪問控制技術(shù),預防網(wǎng)絡(luò)攻擊 行為,有效地減少互聯(lián)網(wǎng)暴露面。
2) 可信接入實現(xiàn)安全訪問
根據(jù)“零信任"的安全理念,通過對包括用戶、設(shè)備、網(wǎng)絡(luò)、時間、位置等 多因素的身份信息進行驗證,確認身份的可信度和可靠性。在默認不可信的前提 下,只有全部身份信息符合安全要求,才能夠認證通過,客戶端才能夠與安全網(wǎng) 關(guān)建立加密的隧道連接,由安全網(wǎng)關(guān)代理可訪問的服務(wù)。針對異地登錄、新設(shè)備 登錄的等風險行為,系統(tǒng)將追加二次驗證,防止賬號信息泄露而導致的內(nèi)網(wǎng)入侵。
3) 零信任環(huán)境檢測
包括進行身份信息檢測、設(shè)備信息檢測、訪問位置信息檢測、訪問網(wǎng)絡(luò)信息 檢測、訪問時間信息檢測等。
4) 最小化授權(quán)
當用戶行為或環(huán)境發(fā)生變化時,指掌易SDP會持續(xù)監(jiān)視上下文,基于位置、 時間、安全狀態(tài)和一些自定義屬性實施訪問控制管理。通過用戶身份、終端類型、 設(shè)備屬性、接入方式、接入位置、接入時間來感知用戶的訪問上下文行為,并動 態(tài)調(diào)整用戶信任級別。
對于同一用戶需要設(shè)定其最小業(yè)務(wù)集及最大業(yè)務(wù)集,對于每次訪問,基于用 戶屬性、職務(wù)、業(yè)務(wù)組、操作系統(tǒng)安全級別等進行安全等級評估,按照其安全等 級,進行對應(yīng)的業(yè)務(wù)系統(tǒng)訪問。
5)零信任持續(xù)認證
通過強大的身份服務(wù)來確保每個用戶的訪問,一旦身份驗證通過,并能證明 自己設(shè)備的完整性,賦予對應(yīng)權(quán)限訪問資源。SDP進行持續(xù)的自適應(yīng)風險與信任 評估,信任度和風險級別會隨著時間和空間發(fā)生變化,根據(jù)安全等級的要求、網(wǎng) 絡(luò)環(huán)境等因素,達到信任和風險的平衡。
指掌易SDP零信任解決方案架構(gòu)中,所有用戶的請求都必須通過組織信任的 設(shè)備發(fā)起,用戶的身份需要鑒定確認是否合法,并且通過遵循控制端下發(fā)的安全 策略才能訪問隱藏在安全網(wǎng)關(guān)后面的特定的內(nèi)部資源。
在持續(xù)認證過程中,通過上下文分析和基于計分的信任算法提供更加動態(tài)和 細粒度的訪問控制能力。
2. 安全工作空間
針對集團員工的BYOD辦公場景,基于指掌易自主研發(fā)的VSA技術(shù),無需獲 取應(yīng)用源代碼、無需對操作系統(tǒng)進行Root或越獄情況下,對應(yīng)用進行容器化, 建立一個可管理的、相對隔離的安全工作空間,作為構(gòu)建在應(yīng)用和系統(tǒng)、應(yīng)用和 應(yīng)用之間的橋梁。集團內(nèi)部的辦公應(yīng)用均通過應(yīng)用商店下發(fā)和安裝到安全工作空 間內(nèi)。安全辦公空間內(nèi)的辦公應(yīng)用和數(shù)據(jù)與空間外的個人應(yīng)用和數(shù)據(jù)相互隔離, 個人應(yīng)用無法訪問辦公應(yīng)用和數(shù)據(jù),保障辦公應(yīng)用的安全。同時,安全工作空間 通過容器化封裝對辦公應(yīng)用提供數(shù)據(jù)防泄漏能力,防止應(yīng)用層數(shù)據(jù)外泄。DLP賦 能企業(yè)移動業(yè)務(wù),無需改造移動APP。提供包括應(yīng)用水印、截屏/錄屏保護、復 制黏貼保護、數(shù)據(jù)/文件保護、數(shù)據(jù)隔離、應(yīng)用數(shù)據(jù)透明加解密等安全保護策略。
3. 態(tài)勢感知
支持對用戶、設(shè)備、應(yīng)用、網(wǎng)絡(luò)攻擊、服務(wù)器狀態(tài)等信息的統(tǒng)計、分析、上 報能力。能夠?qū)τ脩羟闆r、設(shè)備類型、數(shù)量、應(yīng)用安裝情況、使用情況、網(wǎng)絡(luò)攻 擊類型、IP地址、攻擊來源等進行分析展示,幫助客戶了解各類信息。
3優(yōu)勢特點和應(yīng)用價值
1. 安全工作空間
提供移動化辦公統(tǒng)一協(xié)作空間和應(yīng)用入口,基于指掌易獨創(chuàng)的VSA (虛擬安 全域)技術(shù),支持在移動設(shè)備上創(chuàng)建虛擬的安全工作空間。在BYOD場景中,實 現(xiàn)用戶個人數(shù)據(jù)與工作業(yè)務(wù)數(shù)據(jù)的安全隔離,既保障了工作數(shù)據(jù)的安全性,同時 極大提升了移動辦公的用戶體驗。實現(xiàn)了一個設(shè)備兼?zhèn)洹皞€人"和“工作"兩套 “區(qū)域”,兼顧工作數(shù)據(jù)安全以及個人生活隱私。
2. 基于“零信任理念”的安全接入系統(tǒng)
圍繞無邊界零信任網(wǎng)絡(luò)安全架構(gòu)理念建設(shè)安全網(wǎng)關(guān),零信任安全針對傳統(tǒng)邊 界安全架構(gòu)思想進行了重新評估和審視,并對安全架構(gòu)思路給出了新的建議,零 信任架構(gòu)建議組織圍繞業(yè)務(wù)系統(tǒng)創(chuàng)建一種以身份為中心的全新邊界,旨在解決 “基于網(wǎng)絡(luò)邊界建立信任''這種理念本身固有的安全問題。零信任模型不再基于 網(wǎng)絡(luò)位置建立信任,而是在不依賴網(wǎng)絡(luò)傳輸層安全機制的前提下,有效地保護網(wǎng) 絡(luò)通信和業(yè)務(wù)訪問。
3. 輕量化安全框架
輕量化的移動安全框架,適配99%的應(yīng)用及近千款主流移動設(shè)備,移動應(yīng)用 安全封裝后安全控制能力近百項,同時支持、iOS兩大主流移動平臺。 開箱即用,簡化配置,無需繁瑣的設(shè)備注冊,增強移動辦公效率。打消BYOD場 景中個人用戶對安裝使用安全保護應(yīng)用,可能造成個人隱私信息泄露等眾多疑慮, 降低移動辦公安全的推進難度。
4. 高可擴展性設(shè)計
系統(tǒng)支持高可用集群部署,具有合理、高效、靈活的體系結(jié)構(gòu),便于管理系 統(tǒng)的處理能力、容量的擴充、以及多種業(yè)務(wù)的接入。支持企業(yè)移動業(yè)務(wù)不斷新增 擴展,安全能力向后兼容,不斷擴展新的安全功能或能力,同步支持企業(yè)移動業(yè) 務(wù)安全賦能。
4經(jīng)驗總結(jié)
零信任理念是未來企業(yè)網(wǎng)絡(luò)安全防護體系的重要發(fā)展方向,從實施推進的具 體路徑上,以及覆蓋的業(yè)務(wù)系統(tǒng)范圍來看,目前該集團的零信任架構(gòu)重點關(guān)注于 OA系統(tǒng)、郵件系統(tǒng)、移動辦公平臺等使用范圍廣泛,用戶級別較高的業(yè)務(wù),且 已經(jīng)覆蓋了龐大的用戶群體。未來,可通過安全態(tài)勢感知和智能、動態(tài)的安全策 略調(diào)整,逐步實現(xiàn)整體信息安全智能化,助力某集團構(gòu)建全面信息化安全規(guī)劃。
最近考CZTP的人越來越多,看到相關(guān)問題下面大家都在求加群,自己建了個交流群,順便分享下自己考過的相關(guān)課程資料。大家可以互相督促,交流經(jīng)驗和進度。想進群的私信我。
文章轉(zhuǎn)自CSA GCR - 2021零信任落地案例集 終稿(無水印版)