近日�,指掌易副總裁龐南受邀為城市商業(yè)銀行網(wǎng)絡(luò)攻防實(shí)戰(zhàn)培訓(xùn)會(huì)議做《企業(yè)數(shù)據(jù)可信訪問解決方案提升應(yīng)用服務(wù)和數(shù)據(jù)安全保障》的主題培訓(xùn)����,培訓(xùn)緊緊圍繞金融行業(yè)客戶面臨的信息安全建設(shè)需求,提出前瞻性���、針對(duì)性的解決方案����。并與來自全國各城商行的安全專家圍繞“網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練”背景下的遠(yuǎn)程訪問相關(guān)的數(shù)據(jù)安全建設(shè)���,進(jìn)行廣泛的交流和深度探討��。
(指掌易副總裁 龐南)
應(yīng)用場(chǎng)景變化和風(fēng)險(xiǎn)管控局限
讓傳統(tǒng)IT場(chǎng)景安全方案迎來重大安全挑戰(zhàn)
在金融�����、運(yùn)營(yíng)商�����、政府以及企業(yè)這些重要的行業(yè)客戶�����,具備較高水平的信息化建設(shè)能力����。這些機(jī)構(gòu)已有的安全保障機(jī)制,面對(duì)當(dāng)前云計(jì)算和移動(dòng)化發(fā)展趨勢(shì)���,存在著管控方面的局限性�����。傳統(tǒng)企業(yè)IT架構(gòu)中�����,終端多是企業(yè)資產(chǎn)的桌面終端��,分布在內(nèi)/外網(wǎng)中����,關(guān)鍵業(yè)務(wù)應(yīng)用服務(wù)和數(shù)據(jù),則分布在企業(yè)的數(shù)據(jù)中心里�����。為控制外部安全風(fēng)險(xiǎn)向數(shù)據(jù)中心內(nèi)部滲透�����,在信息安全建設(shè)過程中��,互聯(lián)網(wǎng)邊界被視為整個(gè)安全防御的重中之重���,有大量的安全控制措施也是應(yīng)用到這里進(jìn)行防御。
隨著信息化和辦公模式的發(fā)展與變化�,導(dǎo)致了傳統(tǒng)IT架構(gòu)發(fā)生很大變化。變化體現(xiàn)在兩點(diǎn)上:一方面�,應(yīng)用服務(wù)和數(shù)據(jù)的分布有了較大變化。隨著云計(jì)算的發(fā)展�,私有云和公有云上會(huì)存在大量的關(guān)鍵應(yīng)用服務(wù)和數(shù)據(jù)的分布,這一點(diǎn)和傳統(tǒng)方式相比���,涉及到外部的公有云上面的服務(wù)跟數(shù)據(jù)脫離了傳統(tǒng)的安全邊界管控的范疇;另一方面��,訪問關(guān)鍵應(yīng)用服務(wù)和數(shù)據(jù)的終端發(fā)生了較大變化�����,這其中既有終端類型的多樣化(不同類型��、型號(hào)���、操作系統(tǒng)�����、品牌的移動(dòng)終端)���,也有終端所有權(quán)變化(BYOD場(chǎng)景下的設(shè)備歸屬和管控問題)。
訪問模式的巨大變化���,讓企業(yè)原有IT場(chǎng)景安全方案面臨重大挑戰(zhàn)���,尤其是通過互聯(lián)網(wǎng)邊界開放的大量服務(wù)端口,以及存在0day漏洞的VPN系統(tǒng)���,都成為惡意攻擊的主要對(duì)象�����。這種背景下����,能否經(jīng)受住“網(wǎng)絡(luò)安全實(shí)戰(zhàn)化攻防”的檢驗(yàn),或許是個(gè)問題����。
針對(duì)政企客戶核心訴求
指掌易提出針對(duì)性建設(shè)思路
當(dāng)前企業(yè)辦公場(chǎng)景下,訪問模式的復(fù)雜性會(huì)帶來眾多安全問題����。BYOD化帶來的不屬于企業(yè)資產(chǎn)的終端怎么管理?如何保障在終端上面留存使用的企業(yè)數(shù)據(jù)安全?互聯(lián)網(wǎng)邊界開放的服務(wù)端口越來越多�,被惡意攻擊的幾率大大提升怎么辦......將這些問題歸類后,指掌易貼合金融機(jī)構(gòu)的實(shí)際業(yè)務(wù)場(chǎng)景����,總結(jié)出三個(gè)核心訴求 :
01 收縮暴露面
關(guān)鍵應(yīng)用服務(wù)從互聯(lián)網(wǎng)隱身�,最大限度收斂互聯(lián)網(wǎng)資產(chǎn)暴露面,從而縮減攻擊面�����,降低惡意攻擊和入侵風(fēng)險(xiǎn)。
02 可信訪問控制
以身份驗(yàn)證為中心���,消除隱形信任���,全面實(shí)現(xiàn)各類主體對(duì)應(yīng)用服務(wù)/數(shù)據(jù)資源的細(xì)粒度可信訪問控制。
03 數(shù)據(jù)鏈路保障
對(duì)應(yīng)用數(shù)據(jù)流轉(zhuǎn)的全鏈路進(jìn)行有效管控�����,降低敏感應(yīng)用數(shù)據(jù)在通信傳輸�����、終端展示和存儲(chǔ)環(huán)節(jié)發(fā)生泄露的風(fēng)險(xiǎn)
面對(duì)以上客戶痛點(diǎn)需求�����,指掌易聚焦問題根源����,提出了針對(duì)性的解決思路�。傳統(tǒng)IT安全架構(gòu)帶來沖擊的原因是訪問模式的變化����,而無論訪問模式如何變化��,終端都是需要通過網(wǎng)絡(luò)的管道來訪問云端的的關(guān)鍵服務(wù)和數(shù)據(jù)資源,因此解決方案應(yīng)著手在終端數(shù)據(jù)安全保護(hù)和可信接入層面��������;诖耍刚埔茁氏忍岢鲆环N建設(shè)思路:
01 在終端數(shù)據(jù)防護(hù)層面
面對(duì)業(yè)務(wù)數(shù)據(jù)在BYOD(自帶設(shè)備辦公)設(shè)備上留存使用——不管控不行����、強(qiáng)管控則與個(gè)人信息保護(hù)要求相違背的現(xiàn)狀����。企業(yè)需要一款輕量化的產(chǎn)品在終端(包括桌面終端和移動(dòng)終端)實(shí)現(xiàn)數(shù)據(jù)保護(hù)與用戶體驗(yàn)兼顧的的目的����。此產(chǎn)品在終端上提供移動(dòng)沙箱技術(shù),隔離出安全工作空間�����,作為業(yè)務(wù)數(shù)據(jù)在終端上的安全保護(hù)邊界����,以期實(shí)現(xiàn)控制數(shù)據(jù)泄露、同時(shí)兼顧終端設(shè)備上的個(gè)人信息保護(hù)等目的�����。
02 在可信接入訪問層面
可使用SDP(軟件定義邊界)技術(shù)�,該技術(shù)基于零信任理念,為企業(yè)建立安全接入網(wǎng)關(guān)�,對(duì)訪問主體的身份可信度進(jìn)行持續(xù)評(píng)估和動(dòng)態(tài)訪問控制,同時(shí)實(shí)現(xiàn)業(yè)務(wù)應(yīng)用服務(wù)隱藏和數(shù)據(jù)安全傳輸����。
再和終端數(shù)據(jù)安全方案集合起來形成一個(gè)完整的閉環(huán)保護(hù)方案,可滿足收斂暴露面�����、可信訪問控制以及數(shù)據(jù)鏈路安全保障等核心訴求。
指掌易EDTA
企業(yè)數(shù)據(jù)可信訪問解決方案
指掌易EDTA(企業(yè)數(shù)據(jù)可信訪問)解決方案可滿足客戶的主要核心需求���,其中主要包含EDP(端點(diǎn)數(shù)據(jù)邊界)和SDP(軟件定義邊界)兩個(gè)組成部分。
EDP主要針對(duì)BYOD場(chǎng)景下的設(shè)備管理��。采用沙箱技術(shù)作為核心技術(shù)的EDP���,可通過虛擬化的方式來隔離設(shè)備上面的個(gè)人數(shù)據(jù)與工作數(shù)據(jù)�����,在專屬的工作空間內(nèi)�,保護(hù)內(nèi)部企業(yè)應(yīng)用和數(shù)據(jù)資源�����,并在數(shù)據(jù)隔離的基礎(chǔ)上�����,提供一系列DLP數(shù)據(jù)防泄露的控制能力(包括數(shù)據(jù)的透明加解密���、防復(fù)制粘貼截屏、以及數(shù)據(jù)進(jìn)程水印等一系列的控制特性),以上安全策略可通過統(tǒng)一的平臺(tái)去管控下發(fā)����,實(shí)現(xiàn)安全、高效����、靈活的管理。除此之外��,EDP產(chǎn)品還可與SDP組件無縫集成�����,形成完整閉環(huán)的數(shù)據(jù)保護(hù)機(jī)制����。
SDP(軟件定義邊界)產(chǎn)品是基于零信任安全架構(gòu)而來,該產(chǎn)品包含了控制器�、網(wǎng)關(guān)和客戶端。工作原理是將控制層面和數(shù)據(jù)層面進(jìn)行分離�����,用控制層面來建立信任關(guān)系����,在信任關(guān)系通過的情況下再用數(shù)據(jù)層面來處理數(shù)據(jù)的通信��。另外��,SDP在可信用戶使用過程中��,通過持續(xù)信任評(píng)估及時(shí)應(yīng)對(duì)風(fēng)險(xiǎn)因素的變化做出響應(yīng)動(dòng)作����,實(shí)現(xiàn)動(dòng)態(tài)的訪問策略控制���。
指掌易
EDTA解決方案優(yōu)勢(shì)及特點(diǎn)
01 可信的運(yùn)行環(huán)境
基于移動(dòng)端EDP�����、桌面端EDP構(gòu)建一個(gè)可信的企業(yè)應(yīng)用和數(shù)據(jù)運(yùn)行使用環(huán)境��,保證企業(yè)數(shù)據(jù)在終端設(shè)備上的安全可控的使用�。
02 綜合的身份認(rèn)證
從“零”開始�,基于可信設(shè)備、可信身份�、可信時(shí)間、可信網(wǎng)絡(luò)���、可信位置等綜合因素判斷登錄身份的合法性��,建立初始信任���,并進(jìn)行最小化授權(quán),控制通道與數(shù)據(jù)通道分離����,實(shí)現(xiàn)先認(rèn)證后連接。
03 安全的傳輸通道
數(shù)據(jù)傳輸采用高強(qiáng)度加密算法和安全密鑰交換更新機(jī)制�����,確保通信數(shù)據(jù)安全����。
04 隱身的網(wǎng)絡(luò)資源
使用SPA單包授權(quán)機(jī)制,將安全接入系統(tǒng)服務(wù)和所有業(yè)務(wù)應(yīng)用服務(wù)在互聯(lián)網(wǎng)上“隱身”�,不開放任何TCP端口,不為黑客提供任何端口掃描和攻擊的機(jī)會(huì)����。
05 持續(xù)的訪問控制
使用過程中,持續(xù)對(duì)設(shè)備狀態(tài)�、網(wǎng)絡(luò)環(huán)境��、使用行為的合法性進(jìn)行綜合評(píng)分���,基于評(píng)分和應(yīng)用安全等級(jí)動(dòng)態(tài)調(diào)整用戶的訪問權(quán)限。
值得一提的是����,針對(duì)當(dāng)前“網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練”背景下的客戶收縮暴露面的需求,SDP系統(tǒng)具備非常有效的適用性�。企業(yè)的關(guān)鍵應(yīng)用服務(wù),如果直接對(duì)外提供可能會(huì)把服務(wù)端口暴露到公網(wǎng)上�����,但如果部署了SDP系統(tǒng)�����,這些應(yīng)用服務(wù)首先會(huì)退回內(nèi)網(wǎng)�。然后SDP控制器的SPA單包授權(quán)機(jī)制,會(huì)接收來自客戶端的登錄認(rèn)證請(qǐng)求����,并通過加解密機(jī)制對(duì)SPA請(qǐng)求中的多源認(rèn)證信息進(jìn)行檢查和校驗(yàn),一旦判斷請(qǐng)求包非法則默認(rèn)進(jìn)行靜默丟棄處理���,不予以任何響應(yīng)���。只有通過了登錄認(rèn)證后��,控制器才會(huì)認(rèn)為是一個(gè)合法用戶的請(qǐng)求��,向客戶端和網(wǎng)關(guān)下發(fā)訪問策略。這使得攻擊者不知道SDP網(wǎng)關(guān)的服務(wù)地址端口��,系統(tǒng)自身實(shí)現(xiàn)了更好的服務(wù)隱身自我保護(hù)���。
廣泛而強(qiáng)大的兼容性
豐富的落地案例
在用戶關(guān)心的兼容性方面����,指掌易做了大量兼容性適配工作���,已能為辦公�、開發(fā)��、運(yùn)維等典型使用場(chǎng)景中主流應(yīng)用軟件提供良好的兼容性支撐�。另外指掌易作為信創(chuàng)工委會(huì)的會(huì)員單位,已經(jīng)積累了自身產(chǎn)品方案針對(duì)主流國產(chǎn)化操作系統(tǒng)和數(shù)據(jù)庫軟件的兼容適配能力�����,并獲取了產(chǎn)品互認(rèn)證證書,能夠直接適應(yīng)信創(chuàng)使用場(chǎng)景的需要����。
最后談到了現(xiàn)場(chǎng)嘉賓關(guān)心的行業(yè)實(shí)踐案例上,龐南列舉了兩個(gè)典型應(yīng)用案例�。
01 某省級(jí)運(yùn)營(yíng)商案例
從該運(yùn)營(yíng)商集團(tuán)層面來講,無論是風(fēng)險(xiǎn)控制的要求還是參與“網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練”行動(dòng)的需要���,集團(tuán)層面一開始就下發(fā)過相關(guān)的文件����,明確的提到非面向外部用戶的應(yīng)用服務(wù)是不允許直接向互聯(lián)網(wǎng)開放的�,需要退回內(nèi)網(wǎng),并通過安全接入的機(jī)制來保證該服務(wù)本身不受影響�����。
該運(yùn)營(yíng)商客戶��,通過部署指掌易安全工作空間���,通過對(duì)安卓應(yīng)用和iOS應(yīng)用進(jìn)行容器化處理���,對(duì)全省一萬多用戶和2萬多臺(tái)設(shè)備進(jìn)行數(shù)據(jù)防泄露的有效控制����。另外還建設(shè)了SDP安全網(wǎng)關(guān)����,把原來互聯(lián)網(wǎng)上對(duì)員工開放的移動(dòng)應(yīng)用的服務(wù)全部退回內(nèi)網(wǎng),并通過SDP網(wǎng)關(guān)為十多個(gè)移動(dòng)業(yè)務(wù)應(yīng)用的服務(wù)來提供安全的代理訪問接入��,從而大幅的收斂了服務(wù)的暴露面���,有效的支撐了省內(nèi)的“網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練”活動(dòng)。
02 某城商行客戶
該客戶在遠(yuǎn)程運(yùn)維的場(chǎng)景中采用了指掌易SDP安全網(wǎng)關(guān)方案�。遠(yuǎn)程運(yùn)維所使用的運(yùn)維賬號(hào)要訪問的相關(guān)服務(wù),敏感性很高��,對(duì)安全性的要求也會(huì)更高�����。通過部署SDP安全網(wǎng)關(guān)方案�,讓運(yùn)維人員在個(gè)人終端上面先登錄SDP系統(tǒng),然后在SDP系統(tǒng)保護(hù)下登錄運(yùn)維堡壘機(jī)�����,再去做相應(yīng)的運(yùn)維操作。指掌易SDP安全網(wǎng)關(guān)方案既保證了客戶運(yùn)維支撐的效率�,同時(shí)也因?yàn)橛蠸DP系統(tǒng)的保護(hù),保障了使用敏感特權(quán)賬號(hào)對(duì)重要IT資源的遠(yuǎn)程維護(hù)操作的安全性����。
(新媒體責(zé)編:syhz0808)
京公網(wǎng)安備 11010602130064號(hào)
