在全球疫情驱动下,美的集团数字化工作空间,需要满足内部员工分布式接入、合作伙伴、客户等各类人员,使用各类设备,从任何时间任何地点访问企业服务资源及硬件资源,日常数据传输量大,网络环境不一致,业务资源复杂且分散,集中管控难度变大,对于企业办公网络的稳定性、安全性、可控性提出了更高要求,传统的边界网络(例如VPN等)解决方案越来越难以满足现在的需求。
业权一体化(BPI),让权限回归业务本质,让IT聚焦数字智能!基于美云智数自主研发的业权一体化产品,为每个应用系统和企业资源建立起一道权限安全边界,通过策略授权、自动回收,动态鉴权,实现所有业务动作皆有权限控制的安全屏障,根据用户业务需要自动开通,自助申请与审批,可见即有权,不需要时权限自动取消回收,这些过程都由业务驱动自动完成。
Midea-BPI-SDP项目,基于美云智数零信任网络平台构建一个全网互联的全新身份化网络,该组件采用了软件定义边界(Software Defined Perimeter, SDP)的安全框架,在用户中通过构建叠加虚拟网络(Overlay Network)的方式重建以身份为中心的零信任安全体系,满足了企业当前无边界网络的安全需求,为客户提供按需、动态的可信访问。即将分布于各地域环境下的数万个终端,以及部署在各种云平台和数据中心的各类应用都接入到统一的安全网络,并采用端到端加密方式跨越互联网进行业务访问,快速解决超大规模远程安全协同办公问题。
一// 方案概述和应用场景
1. 方案概述
Midea-BPI-SDP由许多组件相互协作组成,确保只有通过严格认证的设备和用户才能访问被授权的企业应用服务器和应用。“图1:总体架构”是Midea-BPI-SDP的解决方案总体架构示意图。
图 1 总体架构
该方案通过基于传统的物理网络,构建基于SDP技术构建零信任安全叠加网络TM-Cloud,该叠加网络(Overlay)是由“信域客户端-TMA、信域网关-TMG、信域控制台-TMG”组成。TM-Cloud是一种在物理网络(Underlay)架构上叠加的虚拟化网络的技术,具有独立的控制平面和数据平面,使终端资源、云资源、数据中心资源摆脱了物理网络限制,更适合用在多云混合、云网互联网络环境中进行统一集中的身份认证、授权与访问控制。只有通过叠加虚拟云网的认证的用户和终端,才能访问到起上的应用服务(公有云,私有云,本地应用服务),在细粒度权限管理层,通过BPI(业权一体化)的支撑架构实现权限的弹性开放与回收,以达到动态授权的目的。
图 2 SDP架构
“图2:SDP架构”是Midea-BPI-SDP的解决方案中的SDP(软件定义边界)实现技术架构图。该架构方案解决了如下问题:
1)更强大的隐身能力
增强的SDP架构,客户无需任何公网IP,所有业务系统和信域组件都隐藏在私有的安全云网络中,最大限度减少互联网暴露面。
2)以身份为中心的访问控制
执行以身份为中心的访问控制策略,通过预认证、预授权的方式,仅允许已认证和授权的访问源接入叠加网络,并只允许访问已授权的业务。
3)超大规模访问控制策略
基于身份属性的细粒度访问控制策略,安全关口前移,支持超大规模访问控制策略,同时保持高性能流量转发能力。
4)无隧道,无限制
不建立网络隧道,而是搭建完整的IPv4网络,端到端加密传输,可大范围部署,比VPN更安全、更快、更稳定,用户体验更好。
图 3 BPI架构
“图3:BPI架构”是Midea-BPI-SDP的解决方案中的BPI(业权一体化)实现技术架构图。该架构方案解决了如下问题:
1)大规模运维减负
通过驱动程序进行远程连接与控制,实现大规模服务器端的去插件化。支持运维用户自助化的权限申请。提升权限开通效率,同时,实现了用户入转调离的权限自动化赋予与回收。
2)多样化、碎片化、动态化权限管理能力
以零信任网络安全为基础,强调从不信任,即动态身份认证与动态授权。BPI(业权一体化)是从权限管理基础设施上带来的企业级业务变革,满足企业多样化、碎片化、动态化的场景需求而生的权限管理体系,支撑企业落地有限元的极细粒度授权单元管理与业务场景的动态匹配。
3)远程办公、轻松运维
支持任何环境下开展用户和终端和远程接入,从不信任,始终认证,细粒度授权和弹性控制。
2. 痛点场景
二// 优势特点和应用价值I架构办公问题
1. 优势特点
本研究成果主要目标市场为全国中大型企业资源安全访问控制,解决传统模式下的资源统一管理难、分级管控难、安全能力不足、效率低下等问题,提供了一套满足企业多业务场景的业权一体与零信任安全运维的解决总体方案(即“既要守前门,也要守后门”的双重安全加固),是保障企业数字化转型下的基础设施安全的必要部分,具有巨大的市场空间和广阔的市场前景。
2. 应用价值
随着企业数字化转型步入深水区,以及国家在信息安全监管方面的力度加强,安全边界越来越模糊,基于业权一体化的零信任安全应用方案(即“既要守前门,也要守后门”的双重安全加固),将在各大企业中具有非常广的应用前景。
三// 经验总结
1. 经验总结
经过本项目的实践,总结出如下的经验:
创新点一:业权一体化产品的高效实践方法论
创新点二:远程办公、轻松运维
创新点三:无边界的端到端加密私有安全网络
2. 效果反馈
经过本项目的实施,真正做到网络层可控、授权层可管的细粒度高效运维。效果截图如下:
图 4
以上案例由CSA大中华区理事单位美云智数提供