新冠疫情防控常态化的当下,远程办公成为企业“新常态”。由于远程办公的地点具有分散性,使得网络边界扩大、接入终端复杂、内部资源暴露,增加了数据泄露的风险,网络攻击事件也大幅度增长。2021年5月,黑客组织DarkSide利用公司员工远程办公VPN存在的漏洞窃取账号信息,控制了某国输油管道厂商管道控制系统,使其感染了勒索病毒,窃取并劫持了近100GB的数据,导致其输油管道停运8天。该事件给远程办公安全敲响了警钟,全面考虑远程办公风险,提升安全防护能力刻不容缓。
远程办公安全需求分析
在传统办公模式下,企业基本采用VPN方式实现远程办公,员工通过VPN账号,接入公司内部网络,就可以访问所需的应用资源。在新的办公场景下,如果还延续传统基于网络位置的访问管理模式,无疑打开了一个更大的网络安全潘多拉魔盒,各路潜在攻击鱼贯而出,防不胜防。
当远程办公场景逐渐复杂化,传统远程办公存在的安全缺陷便暴露无遗,而传统边界安全理念无法满足新型安全需求,亟需新的安全能力提供全面保障。对此,零信任安全理念成为了解决上述问题的最佳方案之一。
关键词:北京安全运营解决方案公司、北京安全运营、北京安全运营厂商、北京安全运营公司、北京安全运营中心
网御星云远程办公零信任解决方案
零信任(ZeroTrust)是一组安全理念,其核心思想是默认不信任何人和设备,经过验证后才能获得信任,允许访问资源和应用。零信任的理念包含先认证再访问、最小权限、访问行为持续评估、多因素风险确认、根据风险动态调整访问控制策略等。
网御星云基于零信任安全理念,对企业远程办公场景进行全新设计,旨在帮助企业建立可信、可管、可控的动态安全保障体系,解决网络边界泛化的安全问题,收敛网络暴露面,实现业务和数据的安全访问,并满足网络安全合规监管要求。
整体方案采用零信任SDP技术实现员工访问办公资源过程中身份、设备、链路、权限、资源等每个要素的安全,加强办公场景的安全动态管控,收敛暴露面,构建动态主动安全防御体系。
远程办公场景安全设计如图所示:
图1远程办公场景安全设计图
在远程办公场景安全设计中,我们将暴露后端的邮件、OA、CRM、运维、开发测试等系统隐藏起来,通过“五个可信”(即可信身份、可信环境、可信链路、可信权限、可信应用)确保远程或本地办公人员访问资源的全过程安全。
关键词:北京安全运营解决方案公司、北京安全运营、北京安全运营厂商、北京安全运营公司、北京安全运营中心
方案涉及重要组件及作用如下:
可信接入客户端及环境感知:在用户办公设备上安装客户端软件,实现终端安全接入认证、SAP敲门协商、传输加密、安全基线扫描、环境感知数据上报等功能,保证接入终端的可靠性,数据传输的机密性和完整性。
可信接入代理:在对应办公访问资源前端部署代理网关,统一资源对外访问入口,收敛资源暴露面,实现对客户端到应用访问过程中的端口动态开放、传输加密、应用代理访问等功能,实现网络隐身极大降低网络的暴露面。
可信接入控制器:可信接入控制器联动身份、权限等基础设施实现对接入主体身份、设备身份、设备运行环境身份等多维一体的身份验证与权限鉴别;控制器可汇聚客户端采集上报的终端信息,并实时研判打分,进行信任评估;当接入主体信任度发生变化,控制器可依据事先定义的策略,动态生成访问控制规则,下发至可信接入代理,实现用户访问业务的动态授权。
零信任安全管控平台:集身份中心、认证中心、权限中心、审计中心、环境感知中心、威胁情报中心UEBA等于一身,是零信任安全的基础设施及安全控制“大脑”,动态建立用户与资源的信任链条,达到用户可信、可管、可控。
关键词:北京安全运营解决方案公司、北京安全运营、北京安全运营厂商、北京安全运营公司、北京安全运营中心
方案价值
△ 安全合规:满足等级保护及国家密码测评相关合规性要求。
△ 可信访问:基于零信任安全理念,先认证后连接,通过持续认证、动态授权、业务审计等技术手段,实现用户设备、网络、应用、数据的可信访问。
△ 应用隐身:基于SPA单包授权技术,可有效隐藏网络端口,实现应用隐身,大面积减少攻击暴露面。
随着新冠疫情防控成为常态化的趋势,如何做好“远程+现场”办公的双安全,是企业应考虑的重点问题之一。网御星云远程办公零信任解决方案聚焦远程办公场景下的多维因素,可为多种用户场景提供全方位安全防护,助力企业建立远程办公“新常态”下可信、可管、可控的动态安全保障体系。
关键词:北京安全运营解决方案公司、北京安全运营、北京安全运营厂商、北京安全运营公司、北京安全运营中心
