亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        疫情背景下遠(yuǎn)程辦公安全解決方案設(shè)計

        2023-03-09 03:16:06程曉海嚴(yán)曉華黎彥玲
        廣東通信技術(shù) 2023年1期
        關(guān)鍵詞:網(wǎng)關(guān)辦公信任

        [程曉海 嚴(yán)曉華 黎彥玲]

        1 引言

        隨著業(yè)務(wù)系統(tǒng)的集約化建設(shè)、云化部署,業(yè)務(wù)應(yīng)用的數(shù)字化、移動化,大量企業(yè)開始開放遠(yuǎn)程辦公,尤其是近年來全球受新冠疫情疫情影響,居家、隔離等防疫措施,迫使大規(guī)模/全員遠(yuǎn)程辦公成為新常態(tài)。在網(wǎng)絡(luò)安全形勢日益嚴(yán)峻的大環(huán)境下,遠(yuǎn)程辦公帶來的安全風(fēng)險也逐漸升級,因此,如何安全、便捷地支撐企業(yè)遠(yuǎn)程辦公,成為當(dāng)前亟待重點解決的問題。

        2 遠(yuǎn)程辦公主要現(xiàn)狀及痛點

        2.1 當(dāng)前現(xiàn)狀分析

        隨著信息化建設(shè)不斷深入,企業(yè)的業(yè)務(wù)更加開放,訪問用戶更加多元化;集團型企業(yè)對業(yè)務(wù)系統(tǒng)采取集約化建設(shè),訪問呈現(xiàn)多分支;云技術(shù)發(fā)展,使業(yè)務(wù)部署更分散;移動化,近50%的業(yè)務(wù)通過移動化方式發(fā)布。技術(shù)、應(yīng)用的演進,尤其是全球新冠疫情爆發(fā)后,遠(yuǎn)程辦公模式迅猛發(fā)展。據(jù)DCMS 稱,將近32%的英國企業(yè)正在使用VPN 來方便遠(yuǎn)程訪問。

        隨著業(yè)務(wù)縱深發(fā)展,企業(yè)辦公網(wǎng)絡(luò)所處的環(huán)境也越來越復(fù)雜。端類型,從內(nèi)網(wǎng)PC 為主,演變?yōu)樵谱烂?、筆記本、手機端等移動終端;業(yè)務(wù)訪問角色,從內(nèi)部員工為主,演變?yōu)閮?nèi)外多重角色;業(yè)務(wù)系統(tǒng)類型,從C/S 業(yè)務(wù)為主,演變?yōu)锽/S、APP、H5 等多形式業(yè)務(wù)占絕對主導(dǎo)地位。

        2.2 問題與痛點分析

        2.2.1 業(yè)務(wù)暴露面大,被攻擊風(fēng)險高

        隨著企業(yè)網(wǎng)絡(luò)的物理安全邊界越來越模糊,訪問需求的復(fù)雜性越來越高,企業(yè)內(nèi)部資源的暴露面呈現(xiàn)不斷擴大趨勢,這非常容易因業(yè)務(wù)系統(tǒng)本身的脆弱性(如漏洞、弱密碼等),遭受黑客攻擊。

        2.2.2 接入終端缺乏管理,安全不可控

        遠(yuǎn)程辦公場景下,存在大量公網(wǎng)終端,因無法加入域控環(huán)境,企業(yè)難以集中管理,安全狀況良莠不齊。當(dāng)終端同時訪問內(nèi)網(wǎng)與互聯(lián)網(wǎng)時,容易作為跳板對業(yè)務(wù)造成威脅。

        2.2.3 多重認(rèn)證,安全性弱、用戶體驗差

        由于缺乏有效的管理和技術(shù)手段,賬號密碼被冒用、泄露風(fēng)險高,爆破成本低,容易造成業(yè)務(wù)被入侵。

        傳統(tǒng)遠(yuǎn)程接入與業(yè)務(wù)系統(tǒng)認(rèn)證相互獨立、割裂,用戶需多次認(rèn)證才能使用業(yè)務(wù),用戶認(rèn)證體驗差。

        2.2.4 數(shù)據(jù)易泄露,后果嚴(yán)重

        企業(yè)信息化和大數(shù)據(jù)的快速發(fā)展,越來越多重要核心數(shù)據(jù)在業(yè)務(wù)系統(tǒng)集中存放,因此成為攻擊目標(biāo)。在遠(yuǎn)程辦公場景下,這些數(shù)據(jù)更容易被攻破、泄露,給企業(yè)或社會造成損失。

        2.2.5 安全監(jiān)管要求越來越高

        隨著安全形勢日趨嚴(yán)峻,國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管力度逐步加強,如公安部每年的攻防演練、工信部的安全漏洞掃描,推動企業(yè)主動做好防護和加固。

        3 零信任及其主要技術(shù)

        傳統(tǒng)企業(yè)網(wǎng)絡(luò)在構(gòu)建安全體系時,主要是基于邊界安全的理念,即:在企業(yè)網(wǎng)絡(luò)的邊界部署IPS、防火墻、WAF、等安全設(shè)備,用來防范來自企業(yè)網(wǎng)絡(luò)邊界之外的攻擊。近年來,隨著移動化、上云和軟件即服務(wù)(SaaS)三大趨勢,尤其疫情爆發(fā)后,遠(yuǎn)程辦公規(guī)?;⒊B(tài)化,傳統(tǒng)網(wǎng)絡(luò)邊界模型已無法滿足當(dāng)前新要求,零信任安全策略逐漸被采納。

        3.1 零信任相關(guān)概念

        零信任既不是技術(shù)也不是產(chǎn)品,而是一種安全理念。零信任理念強調(diào):“Never Trust、Always Verify”。根據(jù)NIST《零信任架構(gòu)標(biāo)準(zhǔn)》[1]中的定義:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下,當(dāng)執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問請求時,降低其決策準(zhǔn)確度的不確定性。

        3.2 軟件定義邊界(SDP)

        軟件定義邊界SDP 是實踐零信任安全理念的技術(shù)架構(gòu)與方案。企業(yè)可以通過部署SDP 產(chǎn)品或者解決方案來實現(xiàn)零信任安全理念中的原則。SDP 的網(wǎng)絡(luò)隱身技術(shù)可以很好實現(xiàn)Never Trust 原則。與傳統(tǒng)TCP/IP 網(wǎng)絡(luò)默認(rèn)允許連接不同,在沒有經(jīng)過身份驗證和授權(quán)之前,服務(wù)器對于終端用戶是完全不可見的,從By Default Trust 變成Never Trust。SDP 是一種快速高效的零信任安全實踐技術(shù)架構(gòu)。[2]

        3.3 SPA 單包授權(quán)

        SPA 單包授權(quán)是SDP(軟件定義邊界)的核心功能,在允許訪問控制器、網(wǎng)關(guān)等相關(guān)系統(tǒng)組件所在的網(wǎng)絡(luò)之前先檢查設(shè)備或用戶身份,實現(xiàn)零信任“先認(rèn)證再連接”的安全模型。SPA 單包授權(quán)的目的是允許服務(wù)被防火墻隱藏起來,防火墻默認(rèn)丟棄所有未經(jīng)驗證的TCP 和UDP 數(shù)據(jù)包,不響應(yīng)那些連接請求,不為潛在的攻擊者提供任何關(guān)于該端口是否正被監(jiān)聽的信息,進而實現(xiàn)“網(wǎng)絡(luò)隱身”。在認(rèn)證和授權(quán)后,用戶被允許訪問該服務(wù)。[2]

        4 基于零信任的遠(yuǎn)程辦公安全解決方案

        4.1 方案主要目標(biāo)

        基于零信任安全理念,組合網(wǎng)絡(luò)安全、終端安全、數(shù)據(jù)安全、身份識別等多種技術(shù),構(gòu)建新型零信任安全架構(gòu)。即:將設(shè)備信任和用戶信任作為架構(gòu)的基礎(chǔ),通過對訪問過程的持續(xù)評估,確認(rèn)訪問行為的可信度,并對訪問行為進行自適應(yīng)的訪問控制。該架構(gòu)用于取代逐漸不適應(yīng)當(dāng)前安全要求的傳統(tǒng)安全架構(gòu)。

        4.2 典型安全方案設(shè)計

        本設(shè)計方案以零信任為原則,重點解決遠(yuǎn)程辦公的“三項安全痛點”:訪問控制安全、鏈路安全和終端安全。將企業(yè)網(wǎng)絡(luò)內(nèi)部和外部的任何設(shè)備、訪問者、和業(yè)務(wù)系統(tǒng)均視為不信任,體系化的設(shè)計新型的訪問控制,構(gòu)建新的信任基礎(chǔ)。[3]

        首先對現(xiàn)網(wǎng)業(yè)務(wù)系統(tǒng)進行綜合評估,根據(jù)業(yè)務(wù)模型和場景,確定方案的主要功能需求;根據(jù)交互量和并發(fā)數(shù)確定建設(shè)規(guī)模和能力。本文的場景確定為:企業(yè)有一個總部(構(gòu)建私有云服務(wù))和一個物理上分開的分支機構(gòu),并擁有企業(yè)自己的內(nèi)網(wǎng)。主要功能確定為:網(wǎng)絡(luò)隱身、最小授權(quán)和高效訪問共三項,系統(tǒng)性能滿足4000 用戶并發(fā)的需求。企業(yè)實際運用中,具體設(shè)備選型可結(jié)合解決方案廠家的產(chǎn)品實際,選擇具有集群功能、可平滑升級迭代的產(chǎn)品,并考慮架構(gòu)能夠適配安全技術(shù)與措施不斷演進發(fā)展。

        4.2.1 方案架構(gòu)設(shè)計

        方案整體架構(gòu)基于零信任理念的SDP 架構(gòu)實現(xiàn)(如圖1 所示),核心零信任產(chǎn)品組件由控制中心、代理網(wǎng)關(guān)、客戶端、分析中心四大部分組成。[4]

        圖1 架構(gòu)設(shè)計圖

        控制中心:它是調(diào)度與管理的中心,負(fù)責(zé)認(rèn)證、授權(quán)、策略下發(fā)與管理。通過給網(wǎng)關(guān)發(fā)送控制指命,控制建立連接和切斷用戶與應(yīng)用之間的通信連接。[3]

        代理網(wǎng)關(guān):它位于客戶端和應(yīng)用資源之間,負(fù)責(zé)建立、監(jiān)視終端用戶與應(yīng)用資源間的連接,并負(fù)責(zé)在必要時切斷這種連接。上述功能的實現(xiàn),是通過它與控制中心之間的信息通信,接收控制中心所發(fā)出的指令和策略來實現(xiàn)的[3][4]。

        客戶端:系統(tǒng)在客戶端應(yīng)具備在PC 和移動端兩類,并且移動端APP 和PC 客戶端均可支持SSL 隧道的訪問。開啟SPA 服務(wù)隱身后,只有授權(quán)過的客戶端才能連接控制中心和代理網(wǎng)關(guān),才能進行認(rèn)證、授權(quán)、和代理訪問。[5]

        分析中心:負(fù)責(zé)日志采集、存儲及分析。日志接收存儲引擎和安全分析引擎,通過分析,識別系統(tǒng)安全風(fēng)險,以風(fēng)險告警形式提示管理員,支持可視化處理。

        4.2.2 部署方案設(shè)計

        購置2 臺零信任網(wǎng)關(guān),分別部署在企業(yè)所屬網(wǎng)絡(luò)的出口節(jié)點和私有云節(jié)點,實現(xiàn)內(nèi)外部網(wǎng)絡(luò)隔離,并實現(xiàn)對所有訪問請求的記錄,如:訪問資源的URL 路徑、源IP 地址和目標(biāo)IP 地址,同時還可以實現(xiàn)對日志審計的支持。[5]

        購置1 臺零信任控制中心,部署在零信任網(wǎng)關(guān)前,實現(xiàn)對系統(tǒng)的管理、控制和日常維護。如圖2 所示。

        圖2 部署方案設(shè)計示意圖

        主要功能效果:

        (1)網(wǎng)絡(luò)和業(yè)務(wù)隱身:SPA 單包授權(quán)技術(shù)與應(yīng)用訪問代理配合,實現(xiàn)網(wǎng)關(guān)自身和應(yīng)用資源的雙重隱藏,讓企業(yè)“網(wǎng)絡(luò)隱身”。

        (2)可信終端管理:①終端身份認(rèn)證,用戶和設(shè)備雙重認(rèn)證;② 可信環(huán)境感知,終端安全基線檢測;③動態(tài)授權(quán)控制,終端威脅異常,禁止訪問。

        (3)統(tǒng)一入口,集中導(dǎo)航,高效訪問。支持

        靜態(tài)密碼、動態(tài)口令、生物識別等多維身份認(rèn)證方式,實現(xiàn)單點登錄,提升用戶認(rèn)證的安全性和體驗性。

        表1 性能指標(biāo)需求表

        4.3 主要功能設(shè)計

        4.3.1 網(wǎng)關(guān)和業(yè)務(wù)隱身功能

        支持基于SPA 單包授權(quán)技術(shù)的隱身功能,服務(wù)器僅允許授權(quán)用戶使用可信客戶端訪問被保護業(yè)務(wù),否則,不可見,也不能連接(如圖3 所示)。避免攻擊者對服務(wù)器進行漏洞掃描、爆破等惡意攻擊。

        圖3 網(wǎng)絡(luò)/業(yè)務(wù)隱身示意圖

        用戶通過在安全的網(wǎng)絡(luò)環(huán)境登錄獲取TOTP 種子,或者通過管理員分發(fā)“SPA企業(yè)專屬客戶端”獲取TOTP種子。當(dāng)用戶需在不安全網(wǎng)絡(luò)環(huán)境登錄系統(tǒng)時,就可以通過種子計算出動態(tài)令牌加入https請求中,服務(wù)器校驗令牌合法性,如不合法,就不響應(yīng)該請求。

        網(wǎng)關(guān)隱身:采用控制面和業(yè)務(wù)面分離,先驗證才連接。默認(rèn)不開放任何TCP 端口,SPA 敲門驗證通過后,才開放端口,實現(xiàn)網(wǎng)絡(luò)隱身。

        應(yīng)用隱身:只允許驗證通過的設(shè)備和用戶連接,否則應(yīng)用不可見,不可連接,實現(xiàn)應(yīng)用隱身。

        4.3.2 最小授權(quán)訪問

        動態(tài)按需最小授權(quán),基于可信的用戶身份、訪問終端、上下文信息、流量內(nèi)容等多維信息,按照更精細(xì)的顆粒度實施風(fēng)險度量,并根據(jù)度量結(jié)果進行授權(quán),以此達到進行動態(tài)訪問控制的效果,確保只有可信的用戶、終端設(shè)備,才能實現(xiàn)對應(yīng)用的可見、可連接和可訪問[6]。

        在用戶和資源之間,綜合身份、設(shè)備、行為等維度的風(fēng)險信息,通過智能分析和動態(tài)訪問控制,進行持續(xù)風(fēng)險和信任等級評估[7],在業(yè)務(wù)系統(tǒng)全場景實現(xiàn)放行、阻斷、自適應(yīng)認(rèn)證、權(quán)限收斂等自適應(yīng)處置。人機綁定,確保用戶和設(shè)備雙重可信,防止賬號竊取/仿冒攻擊。

        4.3.3 高效訪問

        統(tǒng)一入口:與已有4A 快速對接,一個賬號打通所有應(yīng)用,統(tǒng)一賬號登錄。與4A 實現(xiàn)單點登錄,4A 與應(yīng)用實現(xiàn)單點登錄。登出一鍵注銷,用戶應(yīng)用會話統(tǒng)一管理,無感登出,統(tǒng)一注銷。

        集中導(dǎo)航:應(yīng)用集中展示,根據(jù)用戶權(quán)限,自動展現(xiàn)用戶應(yīng)用列表,隱藏?zé)o權(quán)限的應(yīng)用,可與現(xiàn)有門戶快速集成、復(fù)用。

        智能自動選路:多數(shù)據(jù)中心場景,控制器告知終端應(yīng)用對應(yīng)網(wǎng)關(guān)地址,實現(xiàn)自動選路;網(wǎng)關(guān)集群場景,負(fù)載均衡自動選路[8,9]。

        圖4 高效訪問

        4.3.4 數(shù)據(jù)更安全

        通過基于SPA 單包授權(quán)技術(shù),實現(xiàn)網(wǎng)關(guān)、業(yè)務(wù)隱身,并通過最小授權(quán)實現(xiàn)終端可信,大大降低了資源的可見性,實現(xiàn)對業(yè)務(wù)和服務(wù)的有效防護,防止被攻擊或成為攻擊目標(biāo)。保障數(shù)據(jù)更安全的存儲、傳輸和使用。

        4.3.5 契合安全監(jiān)管要求

        基于零信任的遠(yuǎn)程辦公安全解決方案,相較于傳統(tǒng)案,符合當(dāng)前的技術(shù)演進方向,并顯現(xiàn)了更強的安全效果,契合國家和行業(yè)管理部門對企業(yè)安全的監(jiān)管的要求。不僅可以在公安部的攻防演練、工信部的安全漏洞掃描中取得良好效果,更可以在實際應(yīng)用中實現(xiàn)有效的防護。

        4.4 方案成效

        4.4.1 有效支撐疫情下企業(yè)遠(yuǎn)程辦公

        零信任作為備受認(rèn)可的技術(shù)趨勢,其在遠(yuǎn)程辦公場景下的安全防護效果有目共睹。隨著全球疫情爆發(fā)并長期持續(xù),遠(yuǎn)程辦公成為企業(yè)運轉(zhuǎn)的常態(tài),在此背景下,越來越多的政府、企業(yè)在落地應(yīng)用該技術(shù),據(jù)中國信通院調(diào)查顯示,政府機關(guān)、信息技術(shù)服務(wù)業(yè)、金融業(yè)、制造業(yè)作為排頭兵,零信任應(yīng)用占比靠前,總占比達53%。

        4.4.2 最小化暴露面,保障業(yè)務(wù)安全

        暴露面全面收縮,通過“先認(rèn)證,再接入”將業(yè)務(wù)收縮到內(nèi)網(wǎng),實現(xiàn)客戶端準(zhǔn)入前,端口暴露數(shù)量為0。網(wǎng)絡(luò)、應(yīng)用資源的雙重隱身[10],可以有效阻止攻擊者/黑客對企業(yè)的網(wǎng)絡(luò)、業(yè)務(wù)資源的掃描、探測和攻擊。

        4.4.3 身份可信,終端持續(xù)安全

        對終端實現(xiàn)集中管控,保證訪問業(yè)務(wù)的終端符合一定的安全基線;通過對終端環(huán)境及用戶行為持續(xù)安全監(jiān)測,通過中斷訪問或進行增強認(rèn)證,有效保障終端安全。通過以身份為基礎(chǔ)的動態(tài)訪問控制和最小授權(quán)原則,構(gòu)建端到端的邏輯邊界,解決了傳統(tǒng)邊界防護內(nèi)網(wǎng)被橫向擊穿隱患。

        4.4.4 集中導(dǎo)航,認(rèn)證體驗好

        實現(xiàn)零信任與業(yè)務(wù)的單點登錄;結(jié)合動態(tài)訪問控制策略,配置雙因素認(rèn)證方式,滿足等保合規(guī)、安全接入要求。減少密碼被竊取、爆破等安全風(fēng)險,支持用戶內(nèi)外網(wǎng)一致訪問體驗。系統(tǒng)試點應(yīng)用6 個月,用戶滿意度提升5.6 個百分點。

        5 結(jié)論

        本文主要研究設(shè)計零信任解決方案,解決當(dāng)前疫情下多數(shù)企業(yè)開放遠(yuǎn)程辦公的安全問題。通過部署零信任安全網(wǎng)關(guān)和控制中心,實現(xiàn)網(wǎng)絡(luò)隱身、最小授權(quán)、高效訪問,通過實際網(wǎng)絡(luò)應(yīng)用,方案達到了保障遠(yuǎn)程辦公安全的目標(biāo)。本方案高效、便捷,可適用于中等規(guī)模企業(yè)開放遠(yuǎn)程辦公場景的安全保障需求,具有借鑒和推廣意義。

        猜你喜歡
        網(wǎng)關(guān)辦公信任
        X辦公總部
        Base4Work共享辦公空間
        基于改進RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計
        X-workingspace辦公空間
        表示信任
        嚶嚶嚶,人與人的信任在哪里……
        桃之夭夭B(2017年2期)2017-02-24 17:32:43
        從生到死有多遠(yuǎn)
        LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
        移動通信(2015年18期)2015-08-24 07:45:08
        應(yīng)對氣候變化需要打通“網(wǎng)關(guān)”
        太陽能(2015年7期)2015-04-12 06:49:50
        信任
        亚洲一区二区三区一区| 久久日本三级韩国三级| 一国产区在线观看| 亚洲视频在线播放免费视频| 尤物国产一区二区三区在线观看| 狠狠躁18三区二区一区| av片在线观看免费| 久久久久久久久国内精品影视| 中文字幕专区一区二区| 亚洲人成人无码www| 18禁黄网站禁片免费观看| 国产va精品免费观看| 国产精品一区二区三区成人| 欧美老妇牲交videos| 又粗又硬又黄又爽的免费视频| 日韩精品网| 国产在线视频一区二区三区不卡| 伊人久久大香线蕉av波多野结衣 | 人妻少妇久久中中文字幕| 国产三级久久久精品麻豆三级| 日韩一级特黄毛片在线看| 男女性搞视频网站免费| 成人免费在线亚洲视频| 免费中文熟妇在线影片| 亚洲AV无码精品一区二区三区l| 久久亚洲黄色| 一本久道久久综合狠狠操| 在线日本看片免费人成视久网| 亚洲成人色区| 妺妺窝人体色www聚色窝韩国| 国产一区二区三区在线观看黄| 青青草原亚洲| 精品高潮呻吟99av无码视频| 亚洲av精品一区二区三| 精品久久av一区二区| 桃花色综合影院| 无码区a∨视频体验区30秒| 可以直接在线看国产在线片网址| 免费a级毛片18以上观看精品| 夜夜春精品视频| 青青视频在线播放免费的|