您的位置:首頁(yè) >城市 >

指掌易龐南:EDTA企業(yè)數(shù)據(jù)可信訪問(wèn)解決方案 為企業(yè)應(yīng)用服務(wù)和數(shù)據(jù)安全提供堅(jiān)實(shí)保障

2021-04-02 13:49:42 來(lái)源:財(cái)訊網(wǎng)

日,指掌易副總裁龐南受邀為城市商業(yè)銀行網(wǎng)絡(luò)攻防實(shí)戰(zhàn)培訓(xùn)會(huì)議做《企業(yè)數(shù)據(jù)可信訪問(wèn)解決方案提升應(yīng)用服務(wù)和數(shù)據(jù)安全保障》的主題培訓(xùn),培訓(xùn)緊緊圍繞金融行業(yè)客戶面臨的信息安全建設(shè)需求,提出前瞻、針對(duì)的解決方案。并與來(lái)自全國(guó)各城商行的安全專家圍繞“網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練”背景下的遠(yuǎn)程訪問(wèn)相關(guān)的數(shù)據(jù)安全建設(shè),進(jìn)行廣泛的交流和深度探討。

(指掌易副總裁 龐南)

應(yīng)用場(chǎng)景變化和風(fēng)險(xiǎn)管控局限讓傳統(tǒng)IT場(chǎng)景安全方案迎來(lái)重大安全挑戰(zhàn)

金融、運(yùn)營(yíng)商、政府以及企業(yè)這些重要的行業(yè)客戶,具備較高水的信息化建設(shè)能力。這些機(jī)構(gòu)已有的安全保障機(jī)制,面對(duì)當(dāng)前云計(jì)算和移動(dòng)化發(fā)展趨勢(shì),存在著管控方面的局限。傳統(tǒng)企業(yè)IT架構(gòu)中,終端多是企業(yè)資產(chǎn)的桌面終端,分布在內(nèi)/外網(wǎng)中,關(guān)鍵業(yè)務(wù)應(yīng)用服務(wù)和數(shù)據(jù),則分布在企業(yè)的數(shù)據(jù)中心里。為控制外部安全風(fēng)險(xiǎn)向數(shù)據(jù)中心內(nèi)部滲透,在信息安全建設(shè)過(guò)程中,互聯(lián)網(wǎng)邊界被視為整個(gè)安全防御的重中之重,有大量的安全控制措施也是應(yīng)用到這里進(jìn)行防御。

隨著信息化和辦公模式的發(fā)展與變化,導(dǎo)致了傳統(tǒng)IT架構(gòu)發(fā)生很大變化。變化體現(xiàn)在兩點(diǎn)上:一方面,應(yīng)用服務(wù)和數(shù)據(jù)的分布有了較大變化。隨著云計(jì)算的發(fā)展,私有云和公有云上會(huì)存在大量的關(guān)鍵應(yīng)用服務(wù)和數(shù)據(jù)的分布,這一點(diǎn)和傳統(tǒng)方式相比,涉及到外部的公有云上面的服務(wù)跟數(shù)據(jù)脫離了傳統(tǒng)的安全邊界管控的范疇;另一方面,訪問(wèn)關(guān)鍵應(yīng)用服務(wù)和數(shù)據(jù)的終端發(fā)生了較大變化,這其中既有終端類型的多樣化(不同類型、型號(hào)、操作系統(tǒng)、品牌的移動(dòng)終端),也有終端所有權(quán)變化(BYOD場(chǎng)景下的設(shè)備歸屬和管控問(wèn)題)。

訪問(wèn)模式的巨大變化,讓企業(yè)原有IT場(chǎng)景安全方案面臨重大挑戰(zhàn),尤其是通過(guò)互聯(lián)網(wǎng)邊界開(kāi)放的大量服務(wù)端口,以及存在0day漏洞的VPN系統(tǒng),都成為惡意攻擊的主要對(duì)象。這種背景下,能否經(jīng)受住“網(wǎng)絡(luò)安全實(shí)戰(zhàn)化攻防”的檢驗(yàn),或許是個(gè)問(wèn)題。

針對(duì)政企客戶核心訴求指掌易提出針對(duì)建設(shè)思路

當(dāng)前企業(yè)辦公場(chǎng)景下,訪問(wèn)模式的復(fù)雜會(huì)帶來(lái)眾多安全問(wèn)題。BYOD化帶來(lái)的不屬于企業(yè)資產(chǎn)的終端怎么管理?如何保障在終端上面留存使用的企業(yè)數(shù)據(jù)安全?互聯(lián)網(wǎng)邊界開(kāi)放的服務(wù)端口越來(lái)越多,被惡意攻擊的幾率大大提升怎么辦......將這些問(wèn)題歸類后,指掌易貼合金融機(jī)構(gòu)的實(shí)際業(yè)務(wù)場(chǎng)景,總結(jié)出三個(gè)核心訴求:

01 收縮暴露面

關(guān)鍵應(yīng)用服務(wù)從互聯(lián)網(wǎng)隱身,最大限度收斂互聯(lián)網(wǎng)資產(chǎn)暴露面,從而縮減攻擊面,降低惡意攻擊和入侵風(fēng)險(xiǎn)。

02 可信訪問(wèn)控制

以身份驗(yàn)證為中心,消除隱形信任,全面實(shí)現(xiàn)各類主體對(duì)應(yīng)用服務(wù)/數(shù)據(jù)資源的細(xì)粒度可信訪問(wèn)控制。

03 數(shù)據(jù)鏈路保障

對(duì)應(yīng)用數(shù)據(jù)流轉(zhuǎn)的全鏈路進(jìn)行有效管控,降低敏感應(yīng)用數(shù)據(jù)在通信傳輸、終端展示和存儲(chǔ)環(huán)節(jié)發(fā)生泄露的風(fēng)險(xiǎn)

面對(duì)以上客戶痛點(diǎn)需求,指掌易聚焦問(wèn)題根源,提出了針對(duì)的解決思路。傳統(tǒng)IT安全架構(gòu)帶來(lái)沖擊的原因是訪問(wèn)模式的變化,而無(wú)論訪問(wèn)模式如何變化,終端都是需要通過(guò)網(wǎng)絡(luò)的管道來(lái)訪問(wèn)云端的的關(guān)鍵服務(wù)和數(shù)據(jù)資源,因此解決方案應(yīng)著手在終端數(shù)據(jù)安全保護(hù)和可信接入層面。基于此,指掌易率先提出一種建設(shè)思路:

01 在終端數(shù)據(jù)防護(hù)層面

面對(duì)業(yè)務(wù)數(shù)據(jù)在BYOD(自帶設(shè)備辦公)設(shè)備上留存使用——不管控不行、強(qiáng)管控則與個(gè)人信息保護(hù)要求相違背的現(xiàn)狀。企業(yè)需要一款輕量化的產(chǎn)品在終端(包括桌面終端和移動(dòng)終端)實(shí)現(xiàn)數(shù)據(jù)保護(hù)與用戶體驗(yàn)兼顧的的目的。此產(chǎn)品在終端上提供移動(dòng)沙箱技術(shù),隔離出安全工作空間,作為業(yè)務(wù)數(shù)據(jù)在終端上的安全保護(hù)邊界,以期實(shí)現(xiàn)控制數(shù)據(jù)泄露、同時(shí)兼顧終端設(shè)備上的個(gè)人信息保護(hù)等目的。

02 在可信接入訪問(wèn)層面

可使用SDP(軟件定義邊界)技術(shù),該技術(shù)基于零信任理念,為企業(yè)建立安全接入網(wǎng)關(guān),對(duì)訪問(wèn)主體的身份可信度進(jìn)行持續(xù)評(píng)估和動(dòng)態(tài)訪問(wèn)控制,同時(shí)實(shí)現(xiàn)業(yè)務(wù)應(yīng)用服務(wù)隱藏和數(shù)據(jù)安全傳輸。

再和終端數(shù)據(jù)安全方案集合起來(lái)形成一個(gè)完整的閉環(huán)保護(hù)方案,可滿足收斂暴露面、可信訪問(wèn)控制以及數(shù)據(jù)鏈路安全保障等核心訴求。

指掌易EDTA企業(yè)數(shù)據(jù)可信訪問(wèn)解決方案

指掌易EDTA(企業(yè)數(shù)據(jù)可信訪問(wèn))解決方案可滿足客戶的主要核心需求,其中主要包含EDP(端點(diǎn)數(shù)據(jù)邊界)和SDP(軟件定義邊界)兩個(gè)組成部分。

EDP主要針對(duì)BYOD場(chǎng)景下的設(shè)備管理。采用沙箱技術(shù)作為核心技術(shù)的EDP,可通過(guò)虛擬化的方式來(lái)隔離設(shè)備上面的個(gè)人數(shù)據(jù)與工作數(shù)據(jù),在專屬的工作空間內(nèi),保護(hù)內(nèi)部企業(yè)應(yīng)用和數(shù)據(jù)資源,并在數(shù)據(jù)隔離的基礎(chǔ)上,提供一系列DLP數(shù)據(jù)防泄露的控制能力(包括數(shù)據(jù)的透明加解密、防復(fù)制粘貼截屏、以及數(shù)據(jù)進(jìn)程水印等一系列的控制特),以上安全策略可通過(guò)統(tǒng)一的臺(tái)去管控下發(fā),實(shí)現(xiàn)安全、高效、靈活的管理。除此之外,EDP產(chǎn)品還可與SDP組件無(wú)縫集成,形成完整閉環(huán)的數(shù)據(jù)保護(hù)機(jī)制。

SDP(軟件定義邊界)產(chǎn)品是基于零信任安全架構(gòu)而來(lái),該產(chǎn)品包含了控制器、網(wǎng)關(guān)和客戶端。工作原理是將控制層面和數(shù)據(jù)層面進(jìn)行分離,用控制層面來(lái)建立信任關(guān)系,在信任關(guān)系通過(guò)的情況下再用數(shù)據(jù)層面來(lái)處理數(shù)據(jù)的通信。另外,SDP在可信用戶使用過(guò)程中,通過(guò)持續(xù)信任評(píng)估及時(shí)應(yīng)對(duì)風(fēng)險(xiǎn)因素的變化做出響應(yīng)動(dòng)作,實(shí)現(xiàn)動(dòng)態(tài)的訪問(wèn)策略控制。

指掌易EDTA解決方案優(yōu)勢(shì)及特點(diǎn)

01 可信的運(yùn)行環(huán)境

基于移動(dòng)端EDP、桌面端EDP構(gòu)建一個(gè)可信的企業(yè)應(yīng)用和數(shù)據(jù)運(yùn)行使用環(huán)境,保證企業(yè)數(shù)據(jù)在終端設(shè)備上的安全可控的使用。

02 綜合的身份認(rèn)證

從“零”開(kāi)始,基于可信設(shè)備、可信身份、可信時(shí)間、可信網(wǎng)絡(luò)、可信位置等綜合因素判斷登錄身份的合法,建立初始信任,并進(jìn)行最小化授權(quán),控制通道與數(shù)據(jù)通道分離,實(shí)現(xiàn)先認(rèn)證后連接。

03 安全的傳輸通道

數(shù)據(jù)傳輸采用高強(qiáng)度加密算法和安全密鑰交換更新機(jī)制,確保通信數(shù)據(jù)安全。

04 隱身的網(wǎng)絡(luò)資源

使用SPA單包授權(quán)機(jī)制,將安全接入系統(tǒng)服務(wù)和所有業(yè)務(wù)應(yīng)用服務(wù)在互聯(lián)網(wǎng)上“隱身”,不開(kāi)放任何TCP端口,不為黑客提供任何端口掃描和攻擊的機(jī)會(huì)。

05 持續(xù)的訪問(wèn)控制

使用過(guò)程中,持續(xù)對(duì)設(shè)備狀態(tài)、網(wǎng)絡(luò)環(huán)境、使用行為的合法進(jìn)行綜合評(píng)分,基于評(píng)分和應(yīng)用安全等級(jí)動(dòng)態(tài)調(diào)整用戶的訪問(wèn)權(quán)限。

值得一提的是,針對(duì)當(dāng)前“網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練”背景下的客戶收縮暴露面的需求,SDP系統(tǒng)具備非常有效的適用。企業(yè)的關(guān)鍵應(yīng)用服務(wù),如果直接對(duì)外提供可能會(huì)把服務(wù)端口暴露到公網(wǎng)上,但如果部署了SDP系統(tǒng),這些應(yīng)用服務(wù)首先會(huì)退回內(nèi)網(wǎng)。然后SDP控制器的SPA單包授權(quán)機(jī)制,會(huì)接收來(lái)自客戶端的登錄認(rèn)證請(qǐng)求,并通過(guò)加解密機(jī)制對(duì)SPA請(qǐng)求中的多源認(rèn)證信息進(jìn)行檢查和校驗(yàn),一旦判斷請(qǐng)求包非法則默認(rèn)進(jìn)行靜默丟棄處理,不予以任何響應(yīng)。只有通過(guò)了登錄認(rèn)證后,控制器才會(huì)認(rèn)為是一個(gè)合法用戶的請(qǐng)求,向客戶端和網(wǎng)關(guān)下發(fā)訪問(wèn)策略。這使得攻擊者不知道SDP網(wǎng)關(guān)的服務(wù)地址端口,系統(tǒng)自身實(shí)現(xiàn)了更好的服務(wù)隱身自我保護(hù)。

廣泛而強(qiáng)大的兼容豐富的落地案例

在用戶關(guān)心的兼容方面,指掌易做了大量兼容適配工作,已能為辦公、開(kāi)發(fā)、運(yùn)維等典型使用場(chǎng)景中主流應(yīng)用軟件提供良好的兼容支撐。另外指掌易作為信創(chuàng)工委會(huì)的會(huì)員單位,已經(jīng)積累了自身產(chǎn)品方案針對(duì)主流國(guó)產(chǎn)化操作系統(tǒng)和數(shù)據(jù)庫(kù)軟件的兼容適配能力,并獲取了產(chǎn)品互認(rèn)證證書(shū),能夠直接適應(yīng)信創(chuàng)使用場(chǎng)景的需要。

最后談到了現(xiàn)場(chǎng)嘉賓關(guān)心的行業(yè)實(shí)踐案例上,龐南列舉了兩個(gè)典型應(yīng)用案例。

01 某省級(jí)運(yùn)營(yíng)商案例

從該運(yùn)營(yíng)商集團(tuán)層面來(lái)講,無(wú)論是風(fēng)險(xiǎn)控制的要求還是參與“網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練”行動(dòng)的需要,集團(tuán)層面一開(kāi)始就下發(fā)過(guò)相關(guān)的文件,明確的提到非面向外部用戶的應(yīng)用服務(wù)是不允許直接向互聯(lián)網(wǎng)開(kāi)放的,需要退回內(nèi)網(wǎng),并通過(guò)安全接入的機(jī)制來(lái)保證該服務(wù)本身不受影響。

該運(yùn)營(yíng)商客戶,通過(guò)部署指掌易安全工作空間,通過(guò)對(duì)安卓應(yīng)用和iOS應(yīng)用進(jìn)行容器化處理,對(duì)全省一萬(wàn)多用戶和2萬(wàn)多臺(tái)設(shè)備進(jìn)行數(shù)據(jù)防泄露的有效控制。另外還建設(shè)了SDP安全網(wǎng)關(guān),把原來(lái)互聯(lián)網(wǎng)上對(duì)員工開(kāi)放的移動(dòng)應(yīng)用的服務(wù)全部退回內(nèi)網(wǎng),并通過(guò)SDP網(wǎng)關(guān)為十多個(gè)移動(dòng)業(yè)務(wù)應(yīng)用的服務(wù)來(lái)提供安全的代理訪問(wèn)接入,從而大幅的收斂了服務(wù)的暴露面,有效的支撐了省內(nèi)的“網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練”活動(dòng)。

02 某城商行客戶

該客戶在遠(yuǎn)程運(yùn)維的場(chǎng)景中采用了指掌易SDP安全網(wǎng)關(guān)方案。遠(yuǎn)程運(yùn)維所使用的運(yùn)維賬號(hào)要訪問(wèn)的相關(guān)服務(wù),敏感很高,對(duì)安全的要求也會(huì)更高。通過(guò)部署SDP安全網(wǎng)關(guān)方案,讓運(yùn)維人員在個(gè)人終端上面先登錄SDP系統(tǒng),然后在SDP系統(tǒng)保護(hù)下登錄運(yùn)維堡壘機(jī),再去做相應(yīng)的運(yùn)維操作。指掌易SDP安全網(wǎng)關(guān)方案既保證了客戶運(yùn)維支撐的效率,同時(shí)也因?yàn)橛蠸DP系統(tǒng)的保護(hù),保障了使用敏感特權(quán)賬號(hào)對(duì)重要IT資源的遠(yuǎn)程維護(hù)操作的安全

免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買(mǎi)賣(mài)依據(jù)。

關(guān)鍵詞: