国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

疫情背景下遠(yuǎn)程辦公安全解決方案設(shè)計(jì)

2023-03-09 03:16:06程曉海嚴(yán)曉華黎彥玲
廣東通信技術(shù) 2023年1期
關(guān)鍵詞:網(wǎng)關(guān)辦公信任

[程曉海 嚴(yán)曉華 黎彥玲]

1 引言

隨著業(yè)務(wù)系統(tǒng)的集約化建設(shè)、云化部署,業(yè)務(wù)應(yīng)用的數(shù)字化、移動(dòng)化,大量企業(yè)開始開放遠(yuǎn)程辦公,尤其是近年來全球受新冠疫情疫情影響,居家、隔離等防疫措施,迫使大規(guī)模/全員遠(yuǎn)程辦公成為新常態(tài)。在網(wǎng)絡(luò)安全形勢日益嚴(yán)峻的大環(huán)境下,遠(yuǎn)程辦公帶來的安全風(fēng)險(xiǎn)也逐漸升級,因此,如何安全、便捷地支撐企業(yè)遠(yuǎn)程辦公,成為當(dāng)前亟待重點(diǎn)解決的問題。

2 遠(yuǎn)程辦公主要現(xiàn)狀及痛點(diǎn)

2.1 當(dāng)前現(xiàn)狀分析

隨著信息化建設(shè)不斷深入,企業(yè)的業(yè)務(wù)更加開放,訪問用戶更加多元化;集團(tuán)型企業(yè)對業(yè)務(wù)系統(tǒng)采取集約化建設(shè),訪問呈現(xiàn)多分支;云技術(shù)發(fā)展,使業(yè)務(wù)部署更分散;移動(dòng)化,近50%的業(yè)務(wù)通過移動(dòng)化方式發(fā)布。技術(shù)、應(yīng)用的演進(jìn),尤其是全球新冠疫情爆發(fā)后,遠(yuǎn)程辦公模式迅猛發(fā)展。據(jù)DCMS 稱,將近32%的英國企業(yè)正在使用VPN 來方便遠(yuǎn)程訪問。

隨著業(yè)務(wù)縱深發(fā)展,企業(yè)辦公網(wǎng)絡(luò)所處的環(huán)境也越來越復(fù)雜。端類型,從內(nèi)網(wǎng)PC 為主,演變?yōu)樵谱烂妗⒐P記本、手機(jī)端等移動(dòng)終端;業(yè)務(wù)訪問角色,從內(nèi)部員工為主,演變?yōu)閮?nèi)外多重角色;業(yè)務(wù)系統(tǒng)類型,從C/S 業(yè)務(wù)為主,演變?yōu)锽/S、APP、H5 等多形式業(yè)務(wù)占絕對主導(dǎo)地位。

2.2 問題與痛點(diǎn)分析

2.2.1 業(yè)務(wù)暴露面大,被攻擊風(fēng)險(xiǎn)高

隨著企業(yè)網(wǎng)絡(luò)的物理安全邊界越來越模糊,訪問需求的復(fù)雜性越來越高,企業(yè)內(nèi)部資源的暴露面呈現(xiàn)不斷擴(kuò)大趨勢,這非常容易因業(yè)務(wù)系統(tǒng)本身的脆弱性(如漏洞、弱密碼等),遭受黑客攻擊。

2.2.2 接入終端缺乏管理,安全不可控

遠(yuǎn)程辦公場景下,存在大量公網(wǎng)終端,因無法加入域控環(huán)境,企業(yè)難以集中管理,安全狀況良莠不齊。當(dāng)終端同時(shí)訪問內(nèi)網(wǎng)與互聯(lián)網(wǎng)時(shí),容易作為跳板對業(yè)務(wù)造成威脅。

2.2.3 多重認(rèn)證,安全性弱、用戶體驗(yàn)差

由于缺乏有效的管理和技術(shù)手段,賬號(hào)密碼被冒用、泄露風(fēng)險(xiǎn)高,爆破成本低,容易造成業(yè)務(wù)被入侵。

傳統(tǒng)遠(yuǎn)程接入與業(yè)務(wù)系統(tǒng)認(rèn)證相互獨(dú)立、割裂,用戶需多次認(rèn)證才能使用業(yè)務(wù),用戶認(rèn)證體驗(yàn)差。

2.2.4 數(shù)據(jù)易泄露,后果嚴(yán)重

企業(yè)信息化和大數(shù)據(jù)的快速發(fā)展,越來越多重要核心數(shù)據(jù)在業(yè)務(wù)系統(tǒng)集中存放,因此成為攻擊目標(biāo)。在遠(yuǎn)程辦公場景下,這些數(shù)據(jù)更容易被攻破、泄露,給企業(yè)或社會(huì)造成損失。

2.2.5 安全監(jiān)管要求越來越高

隨著安全形勢日趨嚴(yán)峻,國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管力度逐步加強(qiáng),如公安部每年的攻防演練、工信部的安全漏洞掃描,推動(dòng)企業(yè)主動(dòng)做好防護(hù)和加固。

3 零信任及其主要技術(shù)

傳統(tǒng)企業(yè)網(wǎng)絡(luò)在構(gòu)建安全體系時(shí),主要是基于邊界安全的理念,即:在企業(yè)網(wǎng)絡(luò)的邊界部署IPS、防火墻、WAF、等安全設(shè)備,用來防范來自企業(yè)網(wǎng)絡(luò)邊界之外的攻擊。近年來,隨著移動(dòng)化、上云和軟件即服務(wù)(SaaS)三大趨勢,尤其疫情爆發(fā)后,遠(yuǎn)程辦公規(guī)模化、常態(tài)化,傳統(tǒng)網(wǎng)絡(luò)邊界模型已無法滿足當(dāng)前新要求,零信任安全策略逐漸被采納。

3.1 零信任相關(guān)概念

零信任既不是技術(shù)也不是產(chǎn)品,而是一種安全理念。零信任理念強(qiáng)調(diào):“Never Trust、Always Verify”。根據(jù)NIST《零信任架構(gòu)標(biāo)準(zhǔn)》[1]中的定義:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下,當(dāng)執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問請求時(shí),降低其決策準(zhǔn)確度的不確定性。

3.2 軟件定義邊界(SDP)

軟件定義邊界SDP 是實(shí)踐零信任安全理念的技術(shù)架構(gòu)與方案。企業(yè)可以通過部署SDP 產(chǎn)品或者解決方案來實(shí)現(xiàn)零信任安全理念中的原則。SDP 的網(wǎng)絡(luò)隱身技術(shù)可以很好實(shí)現(xiàn)Never Trust 原則。與傳統(tǒng)TCP/IP 網(wǎng)絡(luò)默認(rèn)允許連接不同,在沒有經(jīng)過身份驗(yàn)證和授權(quán)之前,服務(wù)器對于終端用戶是完全不可見的,從By Default Trust 變成Never Trust。SDP 是一種快速高效的零信任安全實(shí)踐技術(shù)架構(gòu)。[2]

3.3 SPA 單包授權(quán)

SPA 單包授權(quán)是SDP(軟件定義邊界)的核心功能,在允許訪問控制器、網(wǎng)關(guān)等相關(guān)系統(tǒng)組件所在的網(wǎng)絡(luò)之前先檢查設(shè)備或用戶身份,實(shí)現(xiàn)零信任“先認(rèn)證再連接”的安全模型。SPA 單包授權(quán)的目的是允許服務(wù)被防火墻隱藏起來,防火墻默認(rèn)丟棄所有未經(jīng)驗(yàn)證的TCP 和UDP 數(shù)據(jù)包,不響應(yīng)那些連接請求,不為潛在的攻擊者提供任何關(guān)于該端口是否正被監(jiān)聽的信息,進(jìn)而實(shí)現(xiàn)“網(wǎng)絡(luò)隱身”。在認(rèn)證和授權(quán)后,用戶被允許訪問該服務(wù)。[2]

4 基于零信任的遠(yuǎn)程辦公安全解決方案

4.1 方案主要目標(biāo)

基于零信任安全理念,組合網(wǎng)絡(luò)安全、終端安全、數(shù)據(jù)安全、身份識(shí)別等多種技術(shù),構(gòu)建新型零信任安全架構(gòu)。即:將設(shè)備信任和用戶信任作為架構(gòu)的基礎(chǔ),通過對訪問過程的持續(xù)評估,確認(rèn)訪問行為的可信度,并對訪問行為進(jìn)行自適應(yīng)的訪問控制。該架構(gòu)用于取代逐漸不適應(yīng)當(dāng)前安全要求的傳統(tǒng)安全架構(gòu)。

4.2 典型安全方案設(shè)計(jì)

本設(shè)計(jì)方案以零信任為原則,重點(diǎn)解決遠(yuǎn)程辦公的“三項(xiàng)安全痛點(diǎn)”:訪問控制安全、鏈路安全和終端安全。將企業(yè)網(wǎng)絡(luò)內(nèi)部和外部的任何設(shè)備、訪問者、和業(yè)務(wù)系統(tǒng)均視為不信任,體系化的設(shè)計(jì)新型的訪問控制,構(gòu)建新的信任基礎(chǔ)。[3]

首先對現(xiàn)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行綜合評估,根據(jù)業(yè)務(wù)模型和場景,確定方案的主要功能需求;根據(jù)交互量和并發(fā)數(shù)確定建設(shè)規(guī)模和能力。本文的場景確定為:企業(yè)有一個(gè)總部(構(gòu)建私有云服務(wù))和一個(gè)物理上分開的分支機(jī)構(gòu),并擁有企業(yè)自己的內(nèi)網(wǎng)。主要功能確定為:網(wǎng)絡(luò)隱身、最小授權(quán)和高效訪問共三項(xiàng),系統(tǒng)性能滿足4000 用戶并發(fā)的需求。企業(yè)實(shí)際運(yùn)用中,具體設(shè)備選型可結(jié)合解決方案廠家的產(chǎn)品實(shí)際,選擇具有集群功能、可平滑升級迭代的產(chǎn)品,并考慮架構(gòu)能夠適配安全技術(shù)與措施不斷演進(jìn)發(fā)展。

4.2.1 方案架構(gòu)設(shè)計(jì)

方案整體架構(gòu)基于零信任理念的SDP 架構(gòu)實(shí)現(xiàn)(如圖1 所示),核心零信任產(chǎn)品組件由控制中心、代理網(wǎng)關(guān)、客戶端、分析中心四大部分組成。[4]

圖1 架構(gòu)設(shè)計(jì)圖

控制中心:它是調(diào)度與管理的中心,負(fù)責(zé)認(rèn)證、授權(quán)、策略下發(fā)與管理。通過給網(wǎng)關(guān)發(fā)送控制指命,控制建立連接和切斷用戶與應(yīng)用之間的通信連接。[3]

代理網(wǎng)關(guān):它位于客戶端和應(yīng)用資源之間,負(fù)責(zé)建立、監(jiān)視終端用戶與應(yīng)用資源間的連接,并負(fù)責(zé)在必要時(shí)切斷這種連接。上述功能的實(shí)現(xiàn),是通過它與控制中心之間的信息通信,接收控制中心所發(fā)出的指令和策略來實(shí)現(xiàn)的[3][4]。

客戶端:系統(tǒng)在客戶端應(yīng)具備在PC 和移動(dòng)端兩類,并且移動(dòng)端APP 和PC 客戶端均可支持SSL 隧道的訪問。開啟SPA 服務(wù)隱身后,只有授權(quán)過的客戶端才能連接控制中心和代理網(wǎng)關(guān),才能進(jìn)行認(rèn)證、授權(quán)、和代理訪問。[5]

分析中心:負(fù)責(zé)日志采集、存儲(chǔ)及分析。日志接收存儲(chǔ)引擎和安全分析引擎,通過分析,識(shí)別系統(tǒng)安全風(fēng)險(xiǎn),以風(fēng)險(xiǎn)告警形式提示管理員,支持可視化處理。

4.2.2 部署方案設(shè)計(jì)

購置2 臺(tái)零信任網(wǎng)關(guān),分別部署在企業(yè)所屬網(wǎng)絡(luò)的出口節(jié)點(diǎn)和私有云節(jié)點(diǎn),實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)隔離,并實(shí)現(xiàn)對所有訪問請求的記錄,如:訪問資源的URL 路徑、源IP 地址和目標(biāo)IP 地址,同時(shí)還可以實(shí)現(xiàn)對日志審計(jì)的支持。[5]

購置1 臺(tái)零信任控制中心,部署在零信任網(wǎng)關(guān)前,實(shí)現(xiàn)對系統(tǒng)的管理、控制和日常維護(hù)。如圖2 所示。

圖2 部署方案設(shè)計(jì)示意圖

主要功能效果:

(1)網(wǎng)絡(luò)和業(yè)務(wù)隱身:SPA 單包授權(quán)技術(shù)與應(yīng)用訪問代理配合,實(shí)現(xiàn)網(wǎng)關(guān)自身和應(yīng)用資源的雙重隱藏,讓企業(yè)“網(wǎng)絡(luò)隱身”。

(2)可信終端管理:①終端身份認(rèn)證,用戶和設(shè)備雙重認(rèn)證;② 可信環(huán)境感知,終端安全基線檢測;③動(dòng)態(tài)授權(quán)控制,終端威脅異常,禁止訪問。

(3)統(tǒng)一入口,集中導(dǎo)航,高效訪問。支持

靜態(tài)密碼、動(dòng)態(tài)口令、生物識(shí)別等多維身份認(rèn)證方式,實(shí)現(xiàn)單點(diǎn)登錄,提升用戶認(rèn)證的安全性和體驗(yàn)性。

表1 性能指標(biāo)需求表

4.3 主要功能設(shè)計(jì)

4.3.1 網(wǎng)關(guān)和業(yè)務(wù)隱身功能

支持基于SPA 單包授權(quán)技術(shù)的隱身功能,服務(wù)器僅允許授權(quán)用戶使用可信客戶端訪問被保護(hù)業(yè)務(wù),否則,不可見,也不能連接(如圖3 所示)。避免攻擊者對服務(wù)器進(jìn)行漏洞掃描、爆破等惡意攻擊。

圖3 網(wǎng)絡(luò)/業(yè)務(wù)隱身示意圖

用戶通過在安全的網(wǎng)絡(luò)環(huán)境登錄獲取TOTP 種子,或者通過管理員分發(fā)“SPA企業(yè)專屬客戶端”獲取TOTP種子。當(dāng)用戶需在不安全網(wǎng)絡(luò)環(huán)境登錄系統(tǒng)時(shí),就可以通過種子計(jì)算出動(dòng)態(tài)令牌加入https請求中,服務(wù)器校驗(yàn)令牌合法性,如不合法,就不響應(yīng)該請求。

網(wǎng)關(guān)隱身:采用控制面和業(yè)務(wù)面分離,先驗(yàn)證才連接。默認(rèn)不開放任何TCP 端口,SPA 敲門驗(yàn)證通過后,才開放端口,實(shí)現(xiàn)網(wǎng)絡(luò)隱身。

應(yīng)用隱身:只允許驗(yàn)證通過的設(shè)備和用戶連接,否則應(yīng)用不可見,不可連接,實(shí)現(xiàn)應(yīng)用隱身。

4.3.2 最小授權(quán)訪問

動(dòng)態(tài)按需最小授權(quán),基于可信的用戶身份、訪問終端、上下文信息、流量內(nèi)容等多維信息,按照更精細(xì)的顆粒度實(shí)施風(fēng)險(xiǎn)度量,并根據(jù)度量結(jié)果進(jìn)行授權(quán),以此達(dá)到進(jìn)行動(dòng)態(tài)訪問控制的效果,確保只有可信的用戶、終端設(shè)備,才能實(shí)現(xiàn)對應(yīng)用的可見、可連接和可訪問[6]。

在用戶和資源之間,綜合身份、設(shè)備、行為等維度的風(fēng)險(xiǎn)信息,通過智能分析和動(dòng)態(tài)訪問控制,進(jìn)行持續(xù)風(fēng)險(xiǎn)和信任等級評估[7],在業(yè)務(wù)系統(tǒng)全場景實(shí)現(xiàn)放行、阻斷、自適應(yīng)認(rèn)證、權(quán)限收斂等自適應(yīng)處置。人機(jī)綁定,確保用戶和設(shè)備雙重可信,防止賬號(hào)竊取/仿冒攻擊。

4.3.3 高效訪問

統(tǒng)一入口:與已有4A 快速對接,一個(gè)賬號(hào)打通所有應(yīng)用,統(tǒng)一賬號(hào)登錄。與4A 實(shí)現(xiàn)單點(diǎn)登錄,4A 與應(yīng)用實(shí)現(xiàn)單點(diǎn)登錄。登出一鍵注銷,用戶應(yīng)用會(huì)話統(tǒng)一管理,無感登出,統(tǒng)一注銷。

集中導(dǎo)航:應(yīng)用集中展示,根據(jù)用戶權(quán)限,自動(dòng)展現(xiàn)用戶應(yīng)用列表,隱藏?zé)o權(quán)限的應(yīng)用,可與現(xiàn)有門戶快速集成、復(fù)用。

智能自動(dòng)選路:多數(shù)據(jù)中心場景,控制器告知終端應(yīng)用對應(yīng)網(wǎng)關(guān)地址,實(shí)現(xiàn)自動(dòng)選路;網(wǎng)關(guān)集群場景,負(fù)載均衡自動(dòng)選路[8,9]。

圖4 高效訪問

4.3.4 數(shù)據(jù)更安全

通過基于SPA 單包授權(quán)技術(shù),實(shí)現(xiàn)網(wǎng)關(guān)、業(yè)務(wù)隱身,并通過最小授權(quán)實(shí)現(xiàn)終端可信,大大降低了資源的可見性,實(shí)現(xiàn)對業(yè)務(wù)和服務(wù)的有效防護(hù),防止被攻擊或成為攻擊目標(biāo)。保障數(shù)據(jù)更安全的存儲(chǔ)、傳輸和使用。

4.3.5 契合安全監(jiān)管要求

基于零信任的遠(yuǎn)程辦公安全解決方案,相較于傳統(tǒng)案,符合當(dāng)前的技術(shù)演進(jìn)方向,并顯現(xiàn)了更強(qiáng)的安全效果,契合國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管的要求。不僅可以在公安部的攻防演練、工信部的安全漏洞掃描中取得良好效果,更可以在實(shí)際應(yīng)用中實(shí)現(xiàn)有效的防護(hù)。

4.4 方案成效

4.4.1 有效支撐疫情下企業(yè)遠(yuǎn)程辦公

零信任作為備受認(rèn)可的技術(shù)趨勢,其在遠(yuǎn)程辦公場景下的安全防護(hù)效果有目共睹。隨著全球疫情爆發(fā)并長期持續(xù),遠(yuǎn)程辦公成為企業(yè)運(yùn)轉(zhuǎn)的常態(tài),在此背景下,越來越多的政府、企業(yè)在落地應(yīng)用該技術(shù),據(jù)中國信通院調(diào)查顯示,政府機(jī)關(guān)、信息技術(shù)服務(wù)業(yè)、金融業(yè)、制造業(yè)作為排頭兵,零信任應(yīng)用占比靠前,總占比達(dá)53%。

4.4.2 最小化暴露面,保障業(yè)務(wù)安全

暴露面全面收縮,通過“先認(rèn)證,再接入”將業(yè)務(wù)收縮到內(nèi)網(wǎng),實(shí)現(xiàn)客戶端準(zhǔn)入前,端口暴露數(shù)量為0。網(wǎng)絡(luò)、應(yīng)用資源的雙重隱身[10],可以有效阻止攻擊者/黑客對企業(yè)的網(wǎng)絡(luò)、業(yè)務(wù)資源的掃描、探測和攻擊。

4.4.3 身份可信,終端持續(xù)安全

對終端實(shí)現(xiàn)集中管控,保證訪問業(yè)務(wù)的終端符合一定的安全基線;通過對終端環(huán)境及用戶行為持續(xù)安全監(jiān)測,通過中斷訪問或進(jìn)行增強(qiáng)認(rèn)證,有效保障終端安全。通過以身份為基礎(chǔ)的動(dòng)態(tài)訪問控制和最小授權(quán)原則,構(gòu)建端到端的邏輯邊界,解決了傳統(tǒng)邊界防護(hù)內(nèi)網(wǎng)被橫向擊穿隱患。

4.4.4 集中導(dǎo)航,認(rèn)證體驗(yàn)好

實(shí)現(xiàn)零信任與業(yè)務(wù)的單點(diǎn)登錄;結(jié)合動(dòng)態(tài)訪問控制策略,配置雙因素認(rèn)證方式,滿足等保合規(guī)、安全接入要求。減少密碼被竊取、爆破等安全風(fēng)險(xiǎn),支持用戶內(nèi)外網(wǎng)一致訪問體驗(yàn)。系統(tǒng)試點(diǎn)應(yīng)用6 個(gè)月,用戶滿意度提升5.6 個(gè)百分點(diǎn)。

5 結(jié)論

本文主要研究設(shè)計(jì)零信任解決方案,解決當(dāng)前疫情下多數(shù)企業(yè)開放遠(yuǎn)程辦公的安全問題。通過部署零信任安全網(wǎng)關(guān)和控制中心,實(shí)現(xiàn)網(wǎng)絡(luò)隱身、最小授權(quán)、高效訪問,通過實(shí)際網(wǎng)絡(luò)應(yīng)用,方案達(dá)到了保障遠(yuǎn)程辦公安全的目標(biāo)。本方案高效、便捷,可適用于中等規(guī)模企業(yè)開放遠(yuǎn)程辦公場景的安全保障需求,具有借鑒和推廣意義。

猜你喜歡
網(wǎng)關(guān)辦公信任
X辦公總部
Base4Work共享辦公空間
基于改進(jìn)RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計(jì)
X-workingspace辦公空間
表示信任
嚶嚶嚶,人與人的信任在哪里……
桃之夭夭B(2017年2期)2017-02-24 17:32:43
從生到死有多遠(yuǎn)
LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
應(yīng)對氣候變化需要打通“網(wǎng)關(guān)”
太陽能(2015年7期)2015-04-12 06:49:50
信任
哈巴河县| 东丽区| 铜川市| 吉隆县| 元谋县| 卫辉市| 巴彦县| 固阳县| 恩施市| 湟源县| 博罗县| 伊吾县| 陈巴尔虎旗| 华亭县| 和林格尔县| 涡阳县| 井冈山市| 卫辉市| 鹤壁市| 余庆县| 蕉岭县| 临邑县| 明光市| 张家口市| 崇义县| 五寨县| 改则县| 舞阳县| 澳门| 济南市| 桃源县| 满洲里市| 蓬溪县| 闽侯县| 富民县| 曲沃县| 天台县| 慈溪市| 公主岭市| 本溪市| 萨嘎县|