2021-04-02 16:43:36
來源:指掌易
(指掌易副總裁 龐南)
應用場景變化和風險管控局限
讓傳統IT場景安全方案迎來重大安全挑戰
在金融、運營商、政府以及企業這些重要的行業客戶,具備較高水平的信息化建設能力。這些機構已有的安全保障機制,面對當前云計算和移動化發展趨勢,存在著管控方面的局限性。傳統企業IT架構中,終端多是企業資產的桌面終端,分布在內/外網中,關鍵業務應用服務和數據,則分布在企業的數據中心里。為控制外部安全風險向數據中心內部滲透,在信息安全建設過程中,互聯網邊界被視為整個安全防御的重中之重,有大量的安全控制措施也是應用到這里進行防御。
隨著信息化和辦公模式的發展與變化,導致了傳統IT架構發生很大變化。變化體現在兩點上:一方面,應用服務和數據的分布有了較大變化。隨著云計算的發展,私有云和公有云上會存在大量的關鍵應用服務和數據的分布,這一點和傳統方式相比,涉及到外部的公有云上面的服務跟數據脫離了傳統的安全邊界管控的范疇;另一方面,訪問關鍵應用服務和數據的終端發生了較大變化,這其中既有終端類型的多樣化(不同類型、型號、操作系統、品牌的移動終端),也有終端所有權變化(BYOD場景下的設備歸屬和管控問題)。
訪問模式的巨大變化,讓企業原有IT場景安全方案面臨重大挑戰,尤其是通過互聯網邊界開放的大量服務端口,以及存在0day漏洞的VPN系統,都成為惡意攻擊的主要對象。這種背景下,能否經受住“網絡安全實戰化攻防”的檢驗,或許是個問題。
針對政企客戶核心訴求
指掌易提出針對性建設思路
當前企業辦公場景下,訪問模式的復雜性會帶來眾多安全問題。BYOD化帶來的不屬于企業資產的終端怎么管理?如何保障在終端上面留存使用的企業數據安全?互聯網邊界開放的服務端口越來越多,被惡意攻擊的幾率大大提升怎么辦......將這些問題歸類后,指掌易貼合金融機構的實際業務場景,總結出三個核心訴求:
01 收縮暴露面
關鍵應用服務從互聯網隱身,最大限度收斂互聯網資產暴露面,從而縮減攻擊面,降低惡意攻擊和入侵風險。
02 可信訪問控制
以身份驗證為中心,消除隱形信任,全面實現各類主體對應用服務/數據資源的細粒度可信訪問控制。
03 數據鏈路保障
對應用數據流轉的全鏈路進行有效管控,降低敏感應用數據在通信傳輸、終端展示和存儲環節發生泄露的風險
面對以上客戶痛點需求,指掌易聚焦問題根源,提出了針對性的解決思路。傳統IT安全架構帶來沖擊的原因是訪問模式的變化,而無論訪問模式如何變化,終端都是需要通過網絡的管道來訪問云端的的關鍵服務和數據資源,因此解決方案應著手在終端數據安全保護和可信接入層面。基于此,指掌易率先提出一種建設思路:
01 在終端數據防護層面
面對業務數據在BYOD(自帶設備辦公)設備上留存使用——不管控不行、強管控則與個人信息保護要求相違背的現狀。企業需要一款輕量化的產品在終端(包括桌面終端和移動終端)實現數據保護與用戶體驗兼顧的的目的。此產品在終端上提供移動沙箱技術,隔離出安全工作空間,作為業務數據在終端上的安全保護邊界,以期實現控制數據泄露、同時兼顧終端設備上的個人信息保護等目的。
02 在可信接入訪問層面
可使用SDP(軟件定義邊界)技術,該技術基于零信任理念,為企業建立安全接入網關,對訪問主體的身份可信度進行持續評估和動態訪問控制,同時實現業務應用服務隱藏和數據安全傳輸。
再和終端數據安全方案集合起來形成一個完整的閉環保護方案,可滿足收斂暴露面、可信訪問控制以及數據鏈路安全保障等核心訴求。
指掌易EDTA
企業數據可信訪問解決方案
指掌易EDTA(企業數據可信訪問)解決方案可滿足客戶的主要核心需求,其中主要包含EDP(端點數據邊界)和SDP(軟件定義邊界)兩個組成部分。
EDP主要針對BYOD場景下的設備管理。采用沙箱技術作為核心技術的EDP,可通過虛擬化的方式來隔離設備上面的個人數據與工作數據,在專屬的工作空間內,保護內部企業應用和數據資源,并在數據隔離的基礎上,提供一系列DLP數據防泄露的控制能力(包括數據的透明加解密、防復制粘貼截屏、以及數據進程水印等一系列的控制特性),以上安全策略可通過統一的平臺去管控下發,實現安全、高效、靈活的管理。除此之外,EDP產品還可與SDP組件無縫集成,形成完整閉環的數據保護機制。
SDP(軟件定義邊界)產品是基于零信任安全架構而來,該產品包含了控制器、網關和客戶端。工作原理是將控制層面和數據層面進行分離,用控制層面來建立信任關系,在信任關系通過的情況下再用數據層面來處理數據的通信。另外,SDP在可信用戶使用過程中,通過持續信任評估及時應對風險因素的變化做出
指掌易
EDTA解決方案優勢及特點
01 可信的運行環境
基于移動端EDP、桌面端EDP構建一個可信的企業應用和數據運行使用環境,保證企業數據在終端設備上的安全可控的使用。
02 綜合的身份認證
從“零”開始,基于可信設備、可信身份、可信時間、可信網絡、可信位置等綜合因素判斷登錄身份的合法性,建立初始信任,并進行最小化授權,控制通道與數據通道分離,實現先認證后連接。
03 安全的傳輸通道
數據傳輸采用高強度加密算法和安全密鑰交換更新機制,確保通信數據安全。
04 隱身的網絡資源
使用SPA單包授權機制,將安全接入系統服務和所有業務應用服務在互聯網上“隱身”,不開放任何TCP端口,不為黑客提供任何端口掃描和攻擊的機會。
05 持續的訪問控制
使用過程中,持續對設備狀態、網絡環境、使用行為的合法性進行綜合評分,基于評分和應用安全等級動態調整用戶的訪問權限。
值得一提的是,針對當前“網絡安全實戰攻防演練”背景下的客戶收縮暴露面的需求,SDP系統具備非常有效的適用性。企業的關鍵應用服務,如果直接對外提供可能會把服務端口暴露到公網上,但如果部署了SDP系統,這些應用服務首先會退回內網。然后SDP控制器的SPA單包授權機制,會接收來自客戶端的登錄認證請求,并通過加解密機制對SPA請求中的多源認證信息進行檢查和校驗,一旦判斷請求包非法則默認進行靜默丟棄處理,不予以任何響應。只有通過了登錄認證后,控制器才會認為是一個合法用戶的請求,向客戶端和網關下發訪問策略。這使得攻擊者不知道SDP網關的服務地址端口,系統自身實現了更好的服務隱身自我保護。
廣泛而強大的兼容性
豐富的落地案例
在用戶關心的兼容性方面,指掌易做了大量兼容性適配工作,已能為辦公、開發、運維等典型使用場景中主流應用軟件提供良好的兼容性支撐。另外指掌易作為信創工委會的會員單位,已經積累了自身產品方案針對主流國產化操作系統和數據庫軟件的兼容適配能力,并獲取了產品互認證證書,能夠直接適應信創使用場景的需要。
最后談到了現場嘉賓關心的行業實踐案例上,龐南列舉了兩個典型應用案例。
01 某省級運營商案例
從該運營商集團層面來講,無論是風險控制的要求還是參與“網絡安全實戰攻防演練”行動的需要,集團層面一開始就下發過相關的文件,明確
該運營商客戶,通過部署指掌易安全工作空間,通過對安卓應用和iOS應用進行容器化處理,對全省一萬多用戶和2萬多臺設備進行數據防泄露的有效控制。另外還建設了SDP安全網關,把原來互聯網上對員工開放的移動應用的服務全部退回內網,并通過SDP網關為十多個移動業務應用的服務來提供安全的代理訪問接入,從而大幅
02 某城商行客戶
該客戶在遠程運維的場景中采用了指掌易SDP安全網關方案。遠程運維所使用的運維賬號要訪問的相關服務,敏感性很高,對安全性的要求也會更高。通過部署SDP安全網關方案,讓運維人員在個人終端上面先登錄SDP系統,然后在SDP系統保護下登錄運維堡壘機,再去做相應的運維操作。指掌易SDP安全網關方案既保證了客戶運維支撐的效率,同時也因為有SDP系統的保護,保障了使用敏感特權賬號對重要IT資源的遠程維護操作的安全性。
