深信服科技集团全面零信任安全实践
  • 2021.12.01
  • 5550
  • 深信服科技股份有限公司

一、案例背景:

深信服科技股份有限公司是专注于企业级网络安全、云计算、IT基础设施及物联网的产品和服务供应商,拥有深信服智安全、信服云和深信服新IT三大业务品牌,致力于让每个用户的数字化更简单、更安全。自2000年成立以来,公司先后被评为国家级高新技术企业、下一代互联网信息安全技术国家地方联合工程实验室、广东省智能云计算工程技术研究中心等。目前在全球有50余个分支机构,员工规模近万人。
 

作为一家数字化领域的产品和服务供应商,深信服自身也一直在践行数字化建设,发展至今一家形成拥有长沙、深圳两地三个核心数据中心,已经上线使用各种业务系统上百个,覆盖全国50余个办事处/分公司和5大研发中心。
 

过去公司内部一直采用分区分域+纵深防御的理念进行安全建设,将网络区域分为研发、办公、DMZ、外联、远程接入等区域,针对外联和远程接入区域,采用VPN实现办事处/分公司接入、远程办公接入和合作伙伴的接入。在公司快速发展中,数字化建设也面临了不少安全挑战:

1. 边界要求灵活可控

快速变化的业务,要求网络边界快速调整,同时又要求安全可控;网络边界往往涉及物理拓扑,物理拓扑调整本身又会影响业务;安全边界建设面临两难选择:动得快了 – 影响现网业务, 动得慢了,拖业务后腿。

2. 主机资产快速变化

快速变化的业务,导致主机的数量和功能发生快速变化,主机和应用的安全基线落地不全。

主机服务器的分配,业务系统的部署,存在脱节现象,导致服务器管理员不了解托管了哪些应用,应用管理员不熟悉主机网络拓扑。

3. 数据资产复杂多样

业务发展的同时造成数据井喷式增长,使用范围逐步扩大,导致数据治理和安全管控难以落地,业务数据持续增加,使用范围不断扩大,IT和安全部门深入理解业务和业务数据滞后,数据的分级分类不能及时落实。

4. 数据管控和流转矛盾

业务数据如代码和设计文档,多数场景要求在开发安全域内使用,少量场景要求在安全域外使用。业务系统上的数据,多数时候不需要落地,少量场景要求导出数据人工分析,彻底封闭不现实,随意放开有挑战。安全域间数据流转无法及时发现违规行为。

5. 未知安全威胁难应对

外部攻击复杂化,采用的攻击手段多样,攻击者更可能掌握0Day漏洞,不能假设可以防御和发现所有的攻击,要料敌从宽,假设存在未知攻击。

 

6. 业务变化快于应用系统

业务跟随市场需求,快速变化,而系统功能,主要是角色、权限,不能跟上业务的变化,导致实际的岗位职责和系统内角色权限脱节,导致数据泄漏风险。

 

二、案例概述:

随着深信服公司业务发展、人员规模、产品线丰富化以及新技术的研发,安全建设的发展以核心数据保护为基础,兼顾用户体验,积极应用安全技术,建立利益反馈机制的思路来推进。
 

  • 坚持信息安全底线:

坚持最小授权、分权制衡、安全隔离原则,平衡用户体验;核心数据的安全是底线,优先级大于用户体验。

 

  • 积极使用安全技术:

积极探索、整合自有产品、外部产品和自研安全系统,支持安全技术和管理目标,提升安全性和用户体验。

 

  • 建设利益反馈机制:

安全建设是长期利益和短期利益、全局利益和局部利益的平衡,业务主管是信息安全第一责任人,通过业务主管安全责任和考核,适当的利益牵引和补偿机制,保障安全资源的落地。
 

基于上述原则,深信服在数字化转型中安全建设,基于零信任理念,结合多种安全技术,在内部应用系统统一身份认证改造完成、零信任一期替换VPN实现远程接入使用的基础上,分多个阶段,逐步实现了全面零信任:

1、服务器资产及访问关系梳理

对研发和非研发数据中心资产及访问关系进行梳理,作为南北向流量隔离的输入,实现对资源访问的白名单管理,从过去的基于网络地址的ACL控制改造为基于用户身份的零信任访问控制。
 

2、零信任部署方案调整

在研发网部署零信任网关,启用研发网零信任,实现研发网内资源纳入零信任访问体系保护,同时以分布式部署解决长沙研发中心绕道深圳访问的情况,扩大长沙数据中心本地资源在零信任中的覆盖。
 

3、用户接入网络改造

1)对无线接入网络进行改造,实现接入网络后仅允许互联网访问和零信任平台;

2)对有线上网和VDI上网用户进行改造,实现仅允许访问互联网和零信任平台;

3)对各办事处/分公司接入网络进行改造,切断原IPSec VPN线路,实现分支单位零信任接入访问。
 

4、实现南北向+东西向的零信任隔离保护

1)在各数据中心边界增加下一代防火墙,增强数据中心隔离防护,同时对原进出站策略进行调整,切断原本的内外网访问路径,全面启用零信任,对南北向进行整体防护;

2)在数据中心内采用CWPP加强主机防御,比较彻底的做了进与出的白名单微隔离,对东西向进行了防护,减少数据中心暴露面、防止主机被反向代理及主机间横向移动。

 

三、安全技术应用情况:

1、针对边界灵活可控的需求,采用桌面云+超融合实现基础架构的虚拟化,免布线调整逻辑拓扑,局部边界调整仅需一个周末就可以完成;针对访问边界,采用SDP产品aTrust,汇聚全网业务流量,以用户身份和业务资源为策略对象,以逻辑边界和资源隔离代替物理边界。

2、针对主机资产快速变化,在全部部署态势感知+下一代防火墙,基于网络流量发现未知主机资产,对不在资产清单中的主机、端口,逐步收集、通告、管控、阻断,关联主机管理员和应用管理员;在数据中心内联动部署CWPP,更深入的管控主机安全策略:资产识别、基于攻击链的全威胁检测、灵活的基线配置检查。

3、针对数据资产猛增、数据复杂多样,采用数据安全大脑支撑分级分类,自动分析和推荐数据类别、密级。数据安全大脑内置业务角色,落实业务部门的数据治理责任。

4、针对数据管控和流转矛盾,在安全域之间使用云桌面双桌面隔离,开通数传通道,接入留痕和审计能力。业务系统上的数据尽量不落地,需要落地的,在受控云桌面上先作处理。

5、针对难以应对的未知安全威胁,基于零信任的多源信任评估架构,通过多层面流量汇集(AF/WAF/CWPP/DAS/aTrust等),接入下一代全流量高级威胁检测系统,对检测到的可疑事件,接入MSS由高级专家人工处置。

6、针对业务变化快于应用系统的挑战,以零信任平台,配合安全大数据,实现统一的业务日志分析,不改动业务系统的前提下,实现细颗粒度的业务系统用户行为日志,通过自定义规则,发现异常行为。借助安全大数据平台批流画布,建立深度运营能力,实现用户异常行为的自动处置。

 

四、客户反馈效果:

  • 安全收益:

极大的收缩了业务暴露面,将过去暴露在指定网络区域甚至是跨网络区域的业务统一进行权限收缩,彻底隔离访问,以白名单进行微隔离,极大的减少了业务遭受恶意攻击的概率;针对内外部访问,通过零信任构建的动态访问策略,将业务根据不同敏感度分类,结合终端安全产品、桌面云等实现针对不同敏感度应用的不同安全控制,并通过扫码、动态口令业务准入时的增强认证等方式减少身份仿冒、钓鱼威胁。

 

  • 运维收益:

仅边界ACL运维节省5倍以上的人力投入。过去内网权限管控完全依赖各网络区域边界的ACL来实现,由于公司发展快、人员和业务变化频繁,仅策略管理维护都要投入5-6人,内网全面零信任后,所有策略集中在零信任平台完成,而且完全是基于用户身份的可视化权限,日常运维1个人绰绰有余,不仅释放了运维压力,也避免了过去因为ACL权限不可视导致的权限管理复杂、权限腐化等问题。

 

  • 业务收益:

整体上实现了内部员工的免密码办公、全渠道、全业务的员工/合作伙伴的统一的办公体验。

对内部员工来说,通过全面零信任安全架构的应用,使得局限于传统的职场网络建设和管理模式得到全面提升,工作效率大幅提高,包括流程、程序响应速度等,连接内网的时间从平均10s缩短至平均5s,效率提高了1倍;当前日均并发终端16000+,保障了业务的不间断运行;

对合作伙伴来说,接入合作伙伴3000+,全部具备随时随地接入企业网的能力;

对客户服务来说,远程接入效率提高了100%,可以让一线人员更方便的借助业务系统为客户提供服务,提高响应速度,用户满意度提高了30%,客户问题的运维响应时间提高了20%。

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝