En 400-6655-581
5
返回列表
> 資源中心 > 安全解讀 | 零信任身份治理保障遠程辦公安全

安全解讀 | 零信任身份治理保障遠程辦公安全

2020-02-25瀏覽次數:1270

往年此時,你一天的節(jié)奏應該是這樣的:起床,坐車到公司,處理郵件,協調工作,不定時微信交流溝通,會議室開會,連線遠程同事......再和同事約個午餐,和朋友下班小聚,忙中有序。


今年此時,我們的生活和工作被一場突如其來的疫情所打亂。為了確保員工安全,不給戰(zhàn)“疫”添亂,很多企業(yè)積極響應國家和政府的號召,安排員工在家辦公。頓時,遠程辦公成為新的生產力。視頻會議、文檔協同、遠程接入等各種遠程辦公工具成為“網紅”,為遠程辦公提供效率和便捷性。這種“宅家”模式的遠程辦公,會不會產生新的問題呢?


答案是肯定的。大量的遠程辦公需求,對訪問安全、數據安全、終端安全、個人隱私保護等都帶來的挑戰(zhàn)。


從訪問安全的角度來看,遠程辦公打破了傳統網絡安全的防護邊界,無邊界的業(yè)務訪問越來越多,企業(yè)經營數據、辦公流程、網絡資源都面臨身份識別、認證鑒權、合規(guī)審計各方面的安全風險和隱患,需要實現高級別的安全可信。


由此,基于“零信任”架構的安全機制和解決方案,將為企業(yè)的遠程辦公加強防護,保護企業(yè)信息安全。



遠程辦公場景下
“零信任”架構的防護機制

隨著遠程辦公的開展,企業(yè)信息安全將面臨安全邊界的模糊化、訪問設備的可信度缺失、大量的第三方外部訪問、海量的運維量,而企業(yè)的基礎架構卻無法瞬時改變,運維人員數量也無法馬上提升,現有的傳統安全架構無法滿足當下的業(yè)務及系統需求,基于“零信任”架構的安全方案,能很好的滿足遠程辦公對信息安全的需求。




什么是零信任安全?


零信任是一個安全概念,中心思想是企業(yè)不應自動信任內部或外部的任何人/事/物,應在授權前對任何試圖接入企業(yè)系統的人/事/物進行驗證。


“零信任”安全的本質就是以身份為中心的訪問控制,擺脫原有企業(yè)以網絡為中心的安全防護體系,建立基于身份安全的企業(yè)身份邊界,并基于用戶-設備的認證突破企業(yè)安全網絡邊界的限制,重建企業(yè)信息化信任體系。




基于“零信任”架構的身份安全


企業(yè)在進行“零信任”架構的建設時,身份安全則是其最核心的部分?;凇傲阈湃巍奔軜嫷纳矸莅踩?,能滿足以下遠程辦公場景:


1. 企業(yè)移動平臺辦公:企業(yè)員工通過移動接入、遠程接入應用系統,確保訪問安全和應用安全。


2. 企業(yè)遠程管理應用和服務:企業(yè)運維人員的賬號,通常屬于特權賬號,一旦泄露,信息安全風險極大,企業(yè)需要加強對特權賬號遠程訪問行為的管理,保障這些賬號的訪問安全和行為追溯。


3. 企業(yè)云平臺辦公:現在,基于SaaS平臺的應用越來越多,為遠程辦公帶來可極大的便捷性。同時,這些應用都部署在外網上,部署一套基于IDaaS的云身份管理平臺,將成為保障SaaS登錄安全和應用訪問安全的有效途徑。



企業(yè)移動平臺辦公的身份安全


遠程辦公中,企業(yè)員工通過互聯網訪問OA進行協同辦公,登錄財務系統進行財務管理,登錄報銷平臺進行費用報銷等等。
這時候,“ 賬戶認證強度弱,是否容易被攻破?采用明文傳輸賬戶密碼,是否容易被竊???大量遺留賬號,是否容易被滲透?”
這些安全問題,可能是您在遠程辦公時不曾留意到的。

在企業(yè)基于邊界網絡下,風險還處在可控范圍,一旦企業(yè)應用系統開放至互聯網,這些問題帶來的安全風險將會以指數級增加。


派拉身份安全平臺可以從以下幾點為企業(yè)解決這些風險:



1. 賬戶全生命周期自動管理:身份安全平臺圍繞企業(yè)用戶的人事管理場景,通過接口和人力系統、應用系統實現對接,實現企業(yè)應用系統用戶賬戶與人事管理場景自動同步,實現用戶賬戶全生命周期管理和應用賬戶自動化管理,避免企業(yè)系統出現離職未禁用、使用完畢未回收的賬戶安全風險。


2. 集中安全認證:身份安全平臺為用戶訪問應用提供統一入口,并提供多種高強度安全認證手段、安全認證協議保障認證安全。同時,結合“大數據+AI”的方式構建起“用戶-設備-認證習慣”的認證風險體系,最大限度提升企業(yè)應用系統訪問安全性。


3. 統一權限體系:身份安全平臺對企業(yè)信息系統進行統一授權,通過一體化授權給企業(yè)信息系統進行權限統一供給,構建企業(yè)完善的權限體系。


4. 應用安全防護:結合我司安全網關平臺,可以實現對企業(yè)所有應用API接口進行安全防護,將來自外部不可信的訪問進行過濾為可信訪問,提升應用服務安全性。


5. 可視化審計:身份安全平臺對賬戶管理的情況、認證的情況、授權的情況、平臺工作的現狀、面臨的風險進行記錄,并進行可視化分析,更好的控制企業(yè)身份安全的風險,有效的幫助企業(yè)規(guī)避風險。


6. 標準和規(guī)范:身份安全平臺項目不僅僅給企業(yè)搭建起一套基于“零信任”的身份安全架構,還會給企業(yè)搭建起身份安全相關的標準和規(guī)范。


企業(yè)遠程管理應用和服務的身份安全


在移動辦公的時候,企業(yè)運維人員也需要訪問我們的基礎設施進行日常運維, 而作為企業(yè)信息建設的基礎設施,一旦開放至互聯網,隨之而來的黑客攻擊、滲透攻擊等都將威脅到這些基礎設施,進而影響整個企業(yè)的信息系統穩(wěn)定性。


派拉特權賬號管理平臺,可以從以下幾點為企業(yè)解決這些風險:




1. 運維人員管理:企業(yè)對于運維人員需要進行明確的職責和角色的劃分,并且通過特權賬號管理平臺可以對運維人員提供身份信息管理、身份信息同步,運維人員賬戶全生命周期管理。


2. 特權權限管理:特權賬號管理平臺可以對基礎設施、應用的特權賬戶進行集中管理和訪問控制,基于運維人員的職責和角色進行基于角色的臨時授權,能夠實現特權賬戶的申請、授權、改密等全場景。并支持對于運維過程中關鍵命令的集中控制,可以進行按需臨時授權,也可以進行二次驗證授權,最大限度保障特權使用安全。


3. 統一認證管理:特權賬號管理平臺為運維人員運維提供統一入口,并提供多種高強度安全認證手段、安全的認證協議保障認證安全,同時特權賬號管理平臺也支持基于策略的認證管理,最大限度提升企業(yè)基礎設施、應用運維安全性。


4. 安全審計管理:特權賬號管理平臺提供身份信息審計、管理行為審計、字符審計、視頻審計,同時支持定制化審計報表,保障企業(yè)運維過程可溯源,并支持使用過程中的實時審計,一旦發(fā)現運維人員的違規(guī)操作,可以通過郵件/短信等方式及時的通知管理人員,降低運維過程中的風險。


云平臺辦公的身份安全


當下,越來越多的企業(yè)選擇將應用部署在云端,或者直接選擇SaaS應用,比如我們常見騰訊企業(yè)郵件、釘釘、企業(yè)微信等等,我們如何統一管理這些云端應用賬號?如何實現單點登錄?如何解決云端數據與內網數據的互聯互通?如何確保云端應用接口的安全性?成為了很多企業(yè)在部署云端應用的安全痛點。


派拉SSO360云身份管理平臺可以從以下幾點為企業(yè)解決這些問題:



1. 云端賬戶管理:SSO360云身份管理平臺通過標準接口和SaaS應用系統實現對接,實現用戶賬戶全生命周期管理和應用賬戶自動化管理。

2. 云端安全認證:SSO360云身份管理平臺為用戶訪問SaaS應用提供統一入口,并提供多種高強度安全認證手段、安全的認證協議保障認證安全,實現云端應用的單點登錄。

3. 云端應用整合: 結合我司安全網關平臺,可以實現對云端應用API接口整合,實現企業(yè)內部應用和云端應用API接口的統一管理,統一對外提供服務。

4. 統一權限體系:SSO360云身份管理平臺對SaaS應用進行授權供給,實現統一授權,將云端應用納入企業(yè)統一權限管理體系。

5. 可視化審計:SSO360云身份管理平臺可對SaaS應用賬戶情況、認證情況、授權情況、平臺現狀、風險進行記錄,將云端應用納入審計,提升企業(yè)身份安全審計的全面性,有效規(guī)避風險。