伴随着云计算、移动互联网、物联网、5G等新技术的崛起,业务上云、数据互联互通等变革,使得企业与政府处理业务的方式发生了颠覆性的转变。越来越多的企业用户不在企业内网进行工作,供应商、合作伙伴等也需要从世界各地接入到企业内网中办公。除此之外,数据中心云化,将系统与网络之间的连接打通,使得网络边界变得越来越模糊,业务场景越来越复杂。
互联网带来便利的同时,也带来了许多风险。在互联网下,任何漏洞都会被黑客捕获并无限放大,网络安全威胁态势愈演愈烈。各行各业的安全团队都面临着比以往更加严峻的挑战,大家意识到从前坚固的城堡,已经成“危房”了。
●项目介绍●
某证券股份有限公司是一家拥有证券市场业务全牌照的一流券商,在全国60个城市开设了90多家营业网点。由于营业部数量多,每个营业部间距离分散,网络连接复杂,想要查看公司内部消息,提交报销等只能通过VPN远程到公司本部。
●业务痛点与需求●
(1)VPN远程访问时如何分辨合规用户与可疑用户?
传统VPN验证模式基于用户账户,然而VPN仅仅通过账户信息并不能分辨网络另一端的用户真实身份。由于VPN的策略过于“粗犷”,一旦用户的账号泄露,黑客便可以通过三层隧道直接连接公司内网,如果内网一台服务器受到攻击,黑客可以对该区域内的其他数据库服务器发起横向攻击,并且不会受到防火墙的干扰或检测,这种攻击对公司造成的影响是不可预估的。
(2)VPN暴露固定端口,给攻击者留下“靶心”
攻击的第一步是侦查,攻击者通过侦查来确认目标位置。VPN对互联网暴露固定端口,岂不是给攻击者留下“靶心”?
(3)公网访问如何保障安全,抵抗攻击?
将企业系统放到互联网、云上,如何保障企业数据安全,抵御黑客扫描攻击?
(4)内网就是绝对安全的吗?
据Forrester Research Survey的研究报告显示,超过60%的安全问题是由内部引起;FortScale的调查报告则显示,85%的数据泄露是来于内部威胁。所以不能仅从防火墙侧严防死守,而忽略了内部本身的威胁。
(5)如何解决VPN操作复杂,体验性差问题?
1.配置复杂,每次变更需要大量的修改配置,通常要配置成百上千条规则,导致不敢做任何变更。
2.体验性差,频繁掉线、重连,严重影响工作效率。
3.可扩展性差,不支持横向扩展,价格昂贵。
●联软UniSDP助力安全加固●
2009年“极光行动”席卷全球,而正是由于APT攻击,使得Google意识到,传统的VPN技术无法解决未来万物上云,互联互通的问题,他们抛弃对本地内网的绝对信任,开启了全新的“零信任”概念,从而诞生了BeyondCorp项目。Google将BeyondCorp项目的目标设定为“让所有Google员工从不受信任的网络中不接入VPN就能顺利工作”。
联软UniSDP解决方案就是基于零信任网络安全理念和软件定义边界(SDP)安全模型,实现控制平面和数据平面分离。以零信任理念为基础、认证授权体系为基石、业务安全为核心,实现安全和业务的统一。联软UniSDP通过细粒度的安全访问控制手段、可视化的策略管理能力与轻量级安全沙箱技术,提供按需、动态的可信访问。在实现网络隐身、最小授权的基础上,保证企业数据安全可控。
通过联软UniSDP软件定义边界解决方案,可实现大中小型机构远程办公、远程运维、跨安全域办公、互联网随时随地办公等应用场景。能够帮助用户在多云环境下,建设统一的安全接入平台,统一管理,达到真正的安全、高效易用、高扩展。
(1)网络隐身
联软UniSDP从传统的先访问后认证模式,改为先认证后访问。身份验证未通过前,网关及网关后的服务对外隐身,不畏惧端口扫描等操作。
(2)按需授权
权限细粒度最小化,通过身份、设备、环境、应用进行身份验证,基于应用授权,访问所有资源必须要认证、授权、加密。
(3)数据不落地
联软UniSDP通过安全沙箱与水印追踪相结合,将个人数据与企业数据相分离,对企业数据采用高强度加密手段防护。
(4)快速稳定,体验感极佳
操作简单,无需用户手册,无需操作经验。
访问B/S、C/S应用流畅,不改变用户操作习惯,应用单点登录无需多次输入密码。
(5)支持用户行为审计
支持用户操作审计,审计用户每次认证与访问操作,做到一切可追溯。
联软UniSDP部署架构图如下:
●联软方案实现效果●
(1)安全视角
隐藏业务服务器,实现漏洞屏蔽,防扫描、防攻击入侵;
实现数据加密传输,防止数据在传输过程被非法监听;
实现数据传输双向证书校验,防止中间人攻击。
(2)管理视角
统一发布平台,将移动端与PC端应用快捷发布,无需改造客户系统;
统一安全接入,兼容安卓与IOS移动终端、兼容Windows终端;
兼容现有新版OA以及旧版OA,兼容H5以及原生应用,实现应用深度整合。
(3)用户视角
以SDK形式与现有应用深度整合,安全隐藏在业务背后,不改变用户使用习惯;
为保持良好的用户体验,不需要切换或安装多个软件,不需要多次登录,最终实现用户无感知。
●客户价值●
联软UniSDP基于零信任网络安全理念和软件定义边界(SDP)安全模型,实现控制平面和数据平面分类,能够帮助证券行业客户带来以下价值。
(1)统一入口
统一入口降低运维成本,对证券营业厅人员来说,可操作性强,一键访问应用,无需记住密码,解决了营业厅计算机支撑能力不足的问题。
(2)服务隐藏
将服务隐藏到SDP安全网关后,不在暴露IP、端口,减少攻击面,增强企业安全性、合规性。
(3)数据防泄密
数据防泄密,数据不落地,解决了移动办公人员文件泄密的问题。通过SDP安全沙箱,实现个人文件与企业资料相分离,沙箱内数据禁止被非法复制、打印、截屏、外传,防止各种数据被违规泄露使用;同时,O盘不改变业务流程、不改造应用系统,不影响内部员工间的数据交换。
(4)统一管理
联软UniSDP软件定义边界解决方案致力于在移动化大潮中,为企业提供统一的移动办公入口和灵活的应用发布平台,在 “端、管、云”三点构筑核心能力,通过对网络、设备、应用、数据的统一管控,为企业移动业务创新提供强劲的动力和坚实的保护。