En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>遠程辦公安全/VPN安全> 零信任身份治理保障遠程辦公安全

零信任身份治理保障遠程辦公安全

文章

2021-04-22瀏覽次數(shù):484

隨著業(yè)務(wù)全球化趨勢擴展,越來越多企業(yè)的業(yè)務(wù)架構(gòu)開始呈現(xiàn)分散的狀態(tài),遠程辦公成為當下的主旋律。但在遠程辦公過程中,辦公設(shè)備、網(wǎng)絡(luò)環(huán)境等都發(fā)生了改變,因此,如何更好的保障企業(yè)內(nèi)部應(yīng)用數(shù)據(jù)安全,成為各個企業(yè)所關(guān)注的熱點。

 

 

遠程辦公嚴峻形勢與挑戰(zhàn)

 

根據(jù)相關(guān)數(shù)據(jù),遠程辦公需求在2020年初迎來爆發(fā)式增長,超兩億職場人士在線協(xié)同辦公。同時,隨著企業(yè)的全球化、以及互聯(lián)網(wǎng)等新技術(shù)的發(fā)展,越來越多的企業(yè)在全球各地開展業(yè)務(wù),開設(shè)分支辦事處,員工分散在全球各地、頻繁外出、出差,需要訪問企業(yè)的系統(tǒng)進行遠程辦公,而遠程辦公模式的常態(tài)化,也給企業(yè)的數(shù)據(jù)安全帶來了一定的挑戰(zhàn)。

 

01

圖片

接入人員和設(shè)備的多樣性增加

 

員工、外包人員、合作伙伴等各類人員,使用家用PC、個人移動終端、企業(yè)管理設(shè)備等,從任何時間、任何地點遠程訪問業(yè)務(wù)。各種接入人員的身份和權(quán)限管理混亂,弱密碼屢禁不止;接入設(shè)備的安全性參差不齊,接入程序漏洞無法避免等,帶來極大的風險。

 

02

圖片

企業(yè)資源暴露程度大幅度增加

 

企業(yè)資源可能位于企業(yè)內(nèi)網(wǎng)服務(wù)器,也可能被企業(yè)托管在公有云上的數(shù)據(jù)中心;企業(yè)服務(wù)通常需要在不同的服務(wù)器之間交互,包括部署在內(nèi)網(wǎng)、公有云、私有云中的服務(wù)器。一個典型的場景,公有云上的網(wǎng)站服務(wù)器與內(nèi)網(wǎng)應(yīng)用程序服務(wù)器通信后,應(yīng)用程序服務(wù)器檢索獲得內(nèi)網(wǎng)數(shù)據(jù),返回給網(wǎng)站服務(wù)器。資源信息基礎(chǔ)設(shè)施與應(yīng)用服務(wù)之間的關(guān)系越復雜,引入的系統(tǒng)風險越高。

 

03

圖片

數(shù)據(jù)泄露和濫用風險大幅增加

 

在遠程辦公過程中,企業(yè)的業(yè)務(wù)數(shù)據(jù)會在不同的人員、設(shè)備、系統(tǒng)之間頻繁流動,原本只能存放于企業(yè)數(shù)據(jù)中心的數(shù)據(jù)也不得不面臨在員工個人終端留存的問題。同時,數(shù)據(jù)移動增加了數(shù)據(jù)“意外”泄露的風險,安全措施相對較弱的智能手機頻繁訪問企業(yè)數(shù)據(jù)也將對企業(yè)數(shù)據(jù)的機密性造成威脅。

 

 

零信任遠程辦公場景分析

 

近年來外部攻擊的規(guī)模、手段、目標等都在演化,有組織的、武器化的、以數(shù)據(jù)及業(yè)務(wù)為攻擊目標的高級持續(xù)攻擊屢見不鮮。利用遠程辦公找到漏洞,突破企業(yè)邊界后進行橫向移動訪問,成為最常見和最有效的攻擊手段之一。

 

常見遠程接入的方式主要有兩種,一種是通過端口映射將業(yè)務(wù)系統(tǒng)直接在公網(wǎng)上開放;另一種是使用VPN打通遠程網(wǎng)絡(luò)通道。各組織都在對自己的安全邊界進行“加固”,盡量使用VPN遠程接入而非直接開放業(yè)務(wù)端口,增強威脅檢測的能力等等。然而,這些手段基本上可以視作是傳統(tǒng)的邊界安全方案上的單點增強,難以系統(tǒng)性緩解遠程移動辦公帶來的安全威脅。攻擊者可以輕易利用弱密碼破解或撞庫,通過VPN進入內(nèi)網(wǎng),甚至可以利用VPN漏洞、業(yè)務(wù)系統(tǒng)漏洞直接進行滲透,突破企業(yè)邊界,最終竊取有價值的數(shù)據(jù)資產(chǎn)。

 

零信任安全架構(gòu)針對遠程辦公應(yīng)用場景,不再采用持續(xù)強化邊界的思維,不區(qū)分內(nèi)外網(wǎng),針對核心業(yè)務(wù)和數(shù)據(jù)資產(chǎn),梳理訪問這些資產(chǎn)的各種訪問路徑和場景,在人員、設(shè)備和業(yè)務(wù)之間構(gòu)建一張?zhí)摂M的、 基于身份的邏輯邊界,針對各種場景構(gòu)建一體化的零信任動態(tài)訪問控制體系.

圖片

 

 

零信任遠程辦公解決方案

 

派拉零信任身份安全系統(tǒng)是基于“零信任”架構(gòu),集成賬戶管理、統(tǒng)一認證、訪問授權(quán)、集中審計、特權(quán)管理、應(yīng)用安全等,實現(xiàn)遠程辦公安全管理功能和服務(wù)。

 

01

圖片

SDP實現(xiàn)遠程服務(wù)隱私與減少攻擊

 

SDP旨在通過軟件的方式,在移動+云的時代背景下,為企業(yè)構(gòu)建起一個虛擬邊界,利用基于身份的訪問控制機制,通過完備的權(quán)限認證機制,為企業(yè)應(yīng)用和服務(wù)提供隱身保護,使網(wǎng)絡(luò)黑客因看不到目標而無法對企業(yè)的資源發(fā)動攻擊,有效保護企業(yè)的數(shù)據(jù)安全,核心功能包括SPA單包認證、MTLS雙向加密、網(wǎng)絡(luò)代理、風險控制、資源隱藏等。

 

圖片

02

圖片

SDP取代傳統(tǒng)VPN方式遠程接入

 

圖片

 

階段一:對設(shè)備、賬號、應(yīng)用的信任鏈進行鑒權(quán),通過后建立SSL雙向加密會話;

 

階段二:每一次對資源的請求,需要重走鑒權(quán)階段進行重新鑒權(quán),如果過程中發(fā)現(xiàn)變化會禁止對資源的訪問,資源訪問方式由web網(wǎng)關(guān)進行轉(zhuǎn)發(fā)。

 

SDP方式實現(xiàn)取代傳統(tǒng)VPN方式遠程接入模式不再僅基于網(wǎng)絡(luò)邊界進行信任訪問,而以用戶為中心進行賬號、設(shè)備、應(yīng)用的權(quán)限關(guān)系進行安全考量,其SDP優(yōu)勢主要體現(xiàn)在以下方面:

 

 

對比項

 

傳統(tǒng)模式VPN

SDP

 

架構(gòu)

 

網(wǎng)絡(luò)為中心

 以用戶為   中心

 

可配置性

 

單獨配置

 可統(tǒng)一配   置

 

可訪問性

 

一經(jīng)接入,對網(wǎng)絡(luò)有全部許可,完全基于權(quán)限訪問資源

 

僅限于可訪問的應(yīng)用,其它資源不可見

 

 

可擴展性

 

需采購大量設(shè)備和許可

無需昂貴設(shè)備

 

可管理性

 

復雜,需要處理不同的防火墻和VPN接入策略

 

簡單,集中統(tǒng)一管理接入策略

 

 

成本

 

 

03

圖片

SDP實現(xiàn)移動設(shè)備及應(yīng)用遠程接入

 

圖片

 

移動設(shè)備及應(yīng)用通過SPD網(wǎng)關(guān)實現(xiàn)認證接入,主要由API網(wǎng)關(guān)進行設(shè)備信息的認證、被訪問移動應(yīng)用的權(quán)限鑒別和風險分析;

 

被訪問移動應(yīng)用主要針對統(tǒng)一移動門戶、獨立APP、H5頁面進行業(yè)務(wù)邏輯關(guān)系的微隔離分組,確保東西流量的安全保障機制。

 

04

圖片

SDP實現(xiàn)運維管理應(yīng)用遠程接入

 

 

使用SDP,運維管理人員可以由運維網(wǎng)關(guān)安全的向經(jīng)過認證和授權(quán)的選定業(yè)務(wù)用戶開放服務(wù)器端口(如22、23、3389等端口),對于其它用戶,服務(wù)器則保持不可見;

 

使用SDP,可減少維護VDI基礎(chǔ)架構(gòu)的成本,為運維管理人員節(jié)省日常遠程登錄桌面的步驟, IT基礎(chǔ)設(shè)施的預算也隨之減少。

 

05

圖片

遠程辦公用戶身份管理與訪問控制

 

用戶信息的創(chuàng)建、刪除、禁用/恢復、信息修改、口令設(shè)置、信息查詢等功能;支持模糊查詢;支持用戶信息的導入、導出;可與內(nèi)部流程管理平臺集成。IAM平臺通過與上游人事系統(tǒng)的無縫對接定期同步人員變更(入職、變更、離職)的信息,并通過IAM平臺實現(xiàn)集中對外部用戶的管理,達到構(gòu)建權(quán)威人員身份數(shù)據(jù)源的目的。實現(xiàn)以人為中心對員工入職,崗位調(diào)整,離職,外部用戶的入場、離場等對應(yīng)的身份生命周期的統(tǒng)一管理。

 

通過統(tǒng)一訪問控制,各應(yīng)用系統(tǒng)實現(xiàn)用戶統(tǒng)一認證與控制,要能夠提供統(tǒng)一的認證方式和認證等級的管理;不同認證方式下的不同種類的認證憑證管理(靜態(tài)口令、動態(tài)口令、證書等),包括認證憑證的完整的生命周期管理和用戶使用認證憑證的管理流程;提供與認證相關(guān)的統(tǒng)一的認證策略,以滿足不同系統(tǒng)認證服務(wù)的業(yè)務(wù)規(guī)則的需要。

 

圖片

 

06

圖片

遠程辦公用戶身份一體化權(quán)限管理

 

提供完整的模型體系,支持RBAC、ACL、ABAC、TBAC等多種權(quán)限模型,實現(xiàn)訪問控制的主體、客體、環(huán)境、行為的相關(guān)屬性作為策略依據(jù),對系統(tǒng)內(nèi)部實體安全進行統(tǒng)一建模,通過屬性關(guān)系的定義來描述授權(quán)和訪問控制約束,進而支持細粒度和大規(guī)模的訪問控制。

 

圖片

 

07

圖片

遠程辦公用戶UEBA行為分析與審計

 

提供風險自適應(yīng)、數(shù)據(jù)存儲、風險引擎識別及數(shù)據(jù)聚合功能,實現(xiàn)針對遠程辦公過程中的已知和未知風險威脅、賬號失陷監(jiān)測、身份欺詐、滲透攻擊、賬號異常登錄、惡意行為攻擊、非可信設(shè)備檢查等場景應(yīng)用和分析。

 

圖片

 

08

圖片

遠程辦公運維用戶特權(quán)賬號管控

 

引入特權(quán)管理模式,通過“多人制衡”的方式對高權(quán)限登錄及高風險操作進行監(jiān)督和控制,針對不同業(yè)務(wù)場景,通過策略配置建立操作人員、運維場景、協(xié)同操作人員的綁定關(guān)系。

 

 

零信任遠程辦公業(yè)務(wù)價值

 

 

01

圖片

構(gòu)建更安全的遠程辦公網(wǎng)絡(luò)

 

通過實施“從不信任并始終驗證”,不同類型用戶只能按照預先確定的信任級別,訪問預先申請的企業(yè)資源,未預先申請的企業(yè)資源將無法被訪問,阻止企業(yè)內(nèi)部“漫游”情況。

 

02

圖片

增強對企業(yè)應(yīng)用和數(shù)據(jù)的保護

 

在實施“按需受控訪問”的基礎(chǔ)上,有效整合資源保護相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù),保護應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲,并優(yōu)先保護高價值資源。

 

03

圖片

大面積減少攻擊暴露面

 

用戶通過訪問認證之前,資源對用戶隱身;即便在用戶通過訪問認證和授權(quán),成功進入網(wǎng)絡(luò)以后,零信任架構(gòu)也將阻止用戶漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了外部(互聯(lián)網(wǎng)可發(fā)現(xiàn))和內(nèi)部(內(nèi)部威脅)攻擊面。

04

圖片

減少違規(guī)行為的影響

 

零信任架構(gòu)中,用戶只能按需獲得有限訪問權(quán)限,有助于限制違規(guī)操作、業(yè)務(wù)中斷、安全漏洞等的危害范圍和危害后果,降低了補救成本。

05

圖片

縮減安全管理成本和潛在建設(shè)成本

 

零信任架構(gòu)終結(jié)了安全防護手段各自為政的現(xiàn)狀,在零信任架構(gòu)實施時,可以通過與現(xiàn)有工具的集成,大幅度降低零信任潛在建設(shè)成本;零信任的“無邊界信任”思想減少了VPN的使用,簡化了運營模式,縮減了安全管理成本。

 

 

傳統(tǒng)保護網(wǎng)絡(luò)安全的方式是先訪問后認證,而零信任理念則是先認證后訪問,零信任的安全理念是建立在身份驗證、設(shè)備驗證、網(wǎng)絡(luò)隔離和訪問控制的基礎(chǔ)上,是保護應(yīng)用數(shù)據(jù)的關(guān)鍵。并且,零信任在解決遠程辦公的同時,避免了網(wǎng)絡(luò)攻擊對企業(yè)的應(yīng)用、數(shù)據(jù)資產(chǎn)造成威脅,是企業(yè)解決遠程辦公的極好選擇。