一、案例概述:
1. 安全边界的模糊化
网络边界不再等于安全边界,过去相对独立、分散的网络已经融合为深度关联、相互依赖的整体。传统安全防护体系强调边界防御,Firewall/NGFW、IDS、IPS、UTM、Anti-DDoS等无一例外都强调网络边界的防御。但随着云计算、WiFi、移动互联网、远程办公等网络场景、应用场景的出现,网络访问与接入对移动性提出了前所未有的要求与挑战:云计算、移动互联网,远程办公将网络的安全边界延伸到了企业网络之外,WiFi的出现将传统企业的物理网络边界扩展到了 WiFi 信号可覆盖的任何一个位置。
2. 企业数据泄露风险
疫情期间员工使用BYOD(自带设备办公)设备远程办公,造成大量的企业数据和敏感信息留存于设备之上。移动设备的易失性会让丢失的设备沦为竞争对手或不法分子攻击企业的重要工具,对企业造成的危害不是简简 单单的损失了一个设备,是整个企业核心机密面临遭受窃取的严重威胁。
3. 国家政策对信息安全要求标准的提高
国家政策持续加码,对数据信息安全要求也越来越高,当前已出台《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》《国家电子政务标准化指南》等相关政策标准。企业为满足国家对于信息数据安全建设的要求,需要以业务为中心,规范建设企业数据信息安全保障体系,以满足相关部门对于信息安全的监管要求。
二、安全技术应用情况:
面对以上安全边界风险、数据泄漏风险以及国家政策合规,基于上述安全背景,指掌易率先提出一种建设思路:在终端数据防护层面,面对业务数据在BYOD(自带设备办公)设备上留存使用,不管控不行、强管控则与个人信息保护要求相违背的现状。推出基于零信任模型灵犀SDP安全网关解决方案,实现数据保护与用户体验兼顾的的目的。
1、以身份为核心
零信任的本质是以身份为核心进行动态访问控制,零信任身份服务系统实现对所有人、接入设备的数字身份真实性的验证以及对访问行为的动态授权和控制。
指掌易灵犀SDP安全网关控制中心对包括用户、设备、网络、时间、位置等多因素的身份信息进行验证,确认身份的可信度和可靠性。在默认不可信的前提下,只有全部身份信息符合安全要求,才能够认证通过,客户端才能够与安全网关建立加密的隧道连接,由安全网关代理可访问的服务。针对异地登录、新设备登录的等风险行为,系统将追加二次验证,防止账号信息泄露而导致的内网入侵。
2、动态信任评估能力
指掌易灵犀SDP安全网关通过强大的身份服务来确保每个用户的访问,一旦身份验证通过,并能证明自己设备的完整性,赋予对应权限访问资源。SDP进行持续的自适应风险与信任评估,信任度和风险级别会随着时间和空间发生变化,根据安全等级的要求、网络环境等因素,达到信任和风险的平衡。
指掌易灵犀SDP安全网关架构中,所有用户的请求都必须通过组织信任的设备发起,用户的身份需要鉴定确认是否合法,并且通过遵循控制端下发的安全策略才能访问隐藏在安全网关后面的特定的内部资源。
3、最小化授权
当用户行为或环境发生变化时,指掌易SDP网关会持续监视上下文,基于位置、时间、安全状态和一些自定义属性实施访问控制管理。通过用户身份、终端类型、设备属性、接入方式、接入位置、接入时间来感知用户的访问上下文行为,并动态调整用户信任级别。
对用户需要设定其最小业务集及最大业务集,对于每次访问,基于用户属性、职务、业务组、操作系统安全等进行安全等级评估,按照其安全等级,动态调整开放对应的业务系统访问权限。
4、服务隐藏
指掌易灵犀SDP安全网关认证使用基于UDP协议的SPA单包授权认证机制,默认“拒绝一切”请求,仅在接收到合法的认证数据包的情况下,对用户身份进行认证。认证通过后,接入终端和网关之间建立基于UDP协议的加密隧道。SPA协议和加密隧道协议技术实现对外关闭所有的TCP端口,保证了潜在的网络攻击者嗅探不到灵犀SDP安全网关的端口,无法对网关进行扫描,预防网络攻击行为,有效地减少互联网暴露面。
提供私有 DNS服务,有效地隐藏保护业务系统的 DNS、IP 信息,减少内网IP的暴露。通过在指掌易SDP网关控制中心设置业务系统的域名与IP的对应关系。用户在登录SDP客户端后,通过私有域名访问内网业务系统将从私有DNS中获取业务系统的IP,进而实现业务系统的访问。
5、隧道通讯安全
高强度的密钥安全:通信隧道密钥加密采用高安全的加密算法,采用临时密钥机制,周期性更新认证/隧道临时密钥,保证通信密钥的安全性。
防中间人攻击:报文使用临时秘钥签名,无法在中间层篡改,数据校验失败后,SDP网关将静默丢弃异常的数据包。
防重放攻击:在请求包中,带有防重放因子,即使黑客拿到了之前的正确请求消息并向隧道重放请求,隧道将静默丢弃。
通过轻量级安全架构的实施部署,在符合国家政策信息安全要求的同时,更加有效的保障且提搞了企业的生产力、创新能力。通过对端、管、云安全数据的全面采集和智能分析,为上汽乘用车信息安全数字化转型助力。
三、客户反馈效果:
基于指掌易SDP零信任解决方案,在不改变原有工作方式的基础上,为我司在不可信的网络环境中构建新的安全边界,提供新一代的安全接入服务,收缩了互联网暴露面,基于可信访问控制和数据链路保障等核心诉求,实现了我司数字资产安全。具体使用效果如下:
1,部署更简单:无需部署硬件,无需做任何网络配置,自动弹性扩展。
2,连接更安全:网络隐身不暴露任何端口,防止黑客扫描与攻击。
3,授权更可控:细粒度按需授权,可有效防止账号被劫持后的横向攻击。
4,体验更顺畅:速度更快。