零信任/SDP安全在电信运营商行业的实践案例
  • 2020.05.26
  • 1995
  • 云深互联(北京)科技有限公司

1.1.1 需求场景分析

 

 电信运营商营业厅的业务支撑系统的安全访问一直以来都存在诸多挑战。由于营业厅地理位置分散、人员结构复杂等因素,运营商通常把某些支撑系统开放在公网上直接访问,某些系统通过VPN来拨网访问。然而,这样给安全运维部门带来很大的困扰。以国内某大型省级运营商为例,该运营商将营业厅常用的10多个业务系统(包括:2G/3G/4G移动客户端体验管理平台、综合外呼平台、渠道销售实况监控、BSS3.0等)开放在公网上。如图1所示。 

 

 图1:客户现状问题
 
这种方式面临如下的安全挑战:
 
1) 攻击面暴露:暴露公网上业务服务器、VPN服务器经常受到来自全球各地黑客的网络爬虫以及黑客的7x24小时的扫描和攻击。这些核心业务支撑系统一旦被黑客扫描和攻破,则将会给运营商企业带来巨大的损失和造成不良的社会影响。
 
2) 运维复杂:访问业务支撑系统的的人员结构比较复杂,包括员工、装维人员、渠道代理商、外呼人员、施工监理单位等“四方”人员。由于每个人的电脑水平参差不齐,VPN经常性的掉线给运维部门带来很大的负担,而且VPN也可能会把设备上的恶意软件引入内网。此外,VPN对于权限的分配和管理难度极大,很难进行精细化授权管理,导致可能访问权限被滥用,造成数据泄露。
 
3) 设备安全风险高:由于人员结构复杂,办公电脑上的软件环境无法严格管控。加上业务人员的电脑水平普遍较低,极有可能中了病毒也未必及时发现。终端电脑上的病毒木马不断会窃取终端的数据,而且会通过VPN通道渗透进内网,进而造成严重的安全风险。
 
4) 弱口令导致账号劫持:代理商、上下游供应商的员工安全意识薄弱,登录验证的方式较为单一,容易发生被黑客撞库攻击。
 
1.1.2 深云SDP解决方案
 
深云 SDP 解决方案是一个基于零信任网络安全理念和软件定义边界(SDP)网络安全模型构建的业务系统安全访问解决方案。方案基于互联网或各类专网分别建立以授权终端为边界的针对特定应用的虚拟网络安全边界,基于用户身份提供特定应用的最小访问权限;对于特定应用对虚拟边界以外的用户屏蔽网络连接,同时在传统网络安全设备上最大化设置严谨的安全策略以减少隐患、最小化开放网络端口以减少因为网络协议自身漏洞造成的攻击,可有效缩小网络攻击面,提高全域网络安全。
 
深云SDP包含三个组件----深云SDP客户端、深云SDP安全大脑、深云隐盾网关(如图2所示):
 
图2:深云SDP三大组件
 

 

1) 深云SDP客户端:深云SDP客户端主要面向企业办公场景,为保护数据安全、提升工作效率而设计,全面支持企业当前C/S及B/S 应用。在深云SDP中,深云SDP客户端用来做各种的身份验证,包括硬件身份,软件身份,生物身份等。
 
2) 深云SDP安全大脑:深云SDP安全大脑是一个管理控制台,用来对所有的深云SDP客户端进行管理,制定安全策略。深云SDP安全大脑还可以与企业已有的身份管理系统对接。
 
3) 深云隐盾网关:所有对业务系统的访问都要经过 SDP网关的验证和过滤,实现业务系统的“网络隐身”效果。
 
深云SDP可以有效解决应用上云带来的安全隐患,减少业务系统在互联网上的暴露面,让业务系统只对授权的深云SDP客户端可见,对其他工具完全不可见,以避免企业的核心应用和数据成为黑客的攻击目标,保护企业的核心数据资产(如图3所示)。
 
图3:深云SDP解决方案
 
1.1.3 部署架构图
 
深云SDP部署在DMZ和云资源池,业务系统分别部署在内网和云资源池,外网用户通过隐盾网关访问业务系统。部署架构如图4所示
 
图4:部署架构图
 
1.1.4 项目实施效果
 
1) 网络隐身、最小化攻击面:深云隐盾网关实现了将10多个业务系统从互联网上彻底“隐身”。另外在内部及外部开展的威胁监测处置工作中,持续对深云 SDP 进行安全监测,目前为止未发现任何安全风险的出现。
 
2) 按需授权,细粒度授权控制:深云 SDP 安全大脑对业务人员进行细粒度的访问控制,具体到哪些人员可以访问哪些业务系统,只有拥有相对应业务系统授权的用户才能够访问相对应的业务系统,其余无授权的业务系统,无法进行访问。此外,通过深云 SDP 企业浏览器还可以控制用户是否可以进行复制、下载等操作。 
 
3) 身份安全增强:深云 SDP客户端通过短信验证、硬件设备绑定等功能,使原来业务系统的身份验证更加安全。
 
4) 提升效率,降低运维成本:深云SDP摈弃了传统VPN长连接的模式,因此不会掉线,上手简单,同时还有 SDP 安全大脑进行远程管理升级,提升了工作效率的同时又降低了运维成本。
 
5) 高并发,稳定运行:深云SDP 自上线实施后,每天支撑营业厅超过一万以上的业务人员同时办公,保障每天数千万元的业务操作的安全。