零信任安全接入

随着云计算、移动互联网等技术的快速发展,企业数字化转型进程的不断推进,传统的内外网边界模糊,企业已经无法基于传统的物理边界进行安全建设。传统的安全建设思路已经很难去适应企业的快速成长和业务的快速变化,例如在移动办公场景下,员工需要从全球各个位置安全地接入企业内网进行访问。此外,应用的移动化、数据中心的云化也不断地带来更多的安全问题。面对日益复杂的安全威胁,企业需要构筑全新的网络安全架构。在此背景下,基于零信任的远程安全接入模式应运而生。

零信任安全模式是将单一的边界保护转移到公司内的每个端点和用户。其核心思想是企业不应自动信任内部或外部的任何人、事、物,且必须在授权前对任何试图接入企业系统的人、事、物进行验证。在国内,受疫情影响,边界模糊化在各大行业开始加剧,会加速零信任体系的建设热潮,企业将结合数字化转型进度,逐步开始尝试零信任体系在远程安全接入的落地,从而辐射到整个企业网络环境。

    一、传统远程接入方案的风险和问题

    传统的解决方案在提供便捷远程接入访问的同时,也带来如下风险问题:

    1、VPN资源有限

    VPN资源有限,远程访问资源不够用。

    2、业务远程访问问题

    业务在内网,远程接入无法访问。

    3、内网暴露风险

    VPN设备与内网系统直接连通,如VPN设备被攻击控制,则内网直接暴露在攻击者面前,攻击者可直接通过VPN设备进入企业内网,进行安全攻击破坏。

    4、VPN设备自身安全风险

    SSL VPN设备被攻击者或同业大量研究,在HW期间及疫情期间某厂商SSL VPN设备均爆出0Day漏洞,传统VPN设备自身存在较大安全风险,后续一旦再次出现不可预知且未能及时修复0Day漏洞风险,攻击者可轻松控制VPN设备,从而进一步实现对企业内网环境的渗透。

    5、VPN接入客户端安全风险

    VPN接入终端环境的系统安全及浏览器安全,应用软件安全无法保证,无法确定终端是否存在恶意软件、非法进程连接VPN系统,远程接入客户端安全风险无法评估。

    6、VPN接入用户体验

    VPN访问客户体验依赖于互联网带宽质量,若网络质量不佳,则会出现VPN用户频繁掉线、访问卡顿等问题,影响用户使用体验。低带宽或高铁等高速运动场景下,运维工作极易掉线重连,导致掉线之前的命令行或程序脚本的在线编辑工作不能保存,影响工作效率。

    7、勒索软件风险

    传统的VPN,堡垒机,SDP等接入解决方案,均需开启TCP数据通道,用户身份验证后,即可建立数据通道,用户可任意上传/下载文件,剪贴板复制粘贴,黑客可利用已经获取的终端权限,以终端为跳板,利用已经建立的数据通道,入侵数据中心的重要资产,勒索加密系统文件。传统的NGAV,EDR,XDR等终端防护软件,或因黑客已经取得管理员权限而被强行关闭,导致防护失效。

    8、数据泄露风险

    传统的VPN,堡垒机,SDP等接入方案,均需建立数据传输通道,终端用户一旦认证成功,即可直接访问数据中心的核心资产或应用系统数据,黑客一旦获取到终端权限,即可无感知入侵数据中心应用系统,窃取机密数据。

    二、睿甲零信任架构

    睿甲科技创新使用应用虚拟化技术,设计了基于零信任客户端的特权访问管理系统,端到端提供了访问主体(人,设备,应用,账号口令)的安全风险控制到访问客体(目标机,应用系统)的安全保护。

    以数据安全和身份安全为基础,采用集中管理,增强验证,集中授权,隔离分段技术,可以缩小攻击面,防止横向移动,降低数据泄露风险,兼具集中化管理,可视化配置,自动化执行和智能化分析的特性。

    DS客户端

    DS客户端为远程接入客户端,部署于用户终端,负责对用户、设备、应用进行认证和状态校验授权,终端本地不保存任何登录凭据及账号口令。采用国密算法加密的私有协议与特权账号管理系统进行通信。消除了传统的VPN,堡垒机远程接入需要防火墙开启HTTPS,RDP,SSH,ODBC端口的安全风险。

ABUIABACGAAgoPbEkwYo-cuK1AcwuAg44AQ-(1).gif

    统一安全运维网关

    统一安全运维网关是身份认证,资源管理,权限管理,访问控制,用户管理,应用发布,特权管理和操作审计中心,由安全运维网关进行用户访问的资源分配,应用发布,特权账号管理和运维审计,并提供与外部的MFA,IAM统一身份认证平台、安全态势感知等第三方平台集成对接的能力。


    三、方案优势:

    1、公网业务系统隐身,安全可靠

企业服务在互联网隐身,内网设备和系统在公网不暴露,规避恶意扫描,数据泄露,蓄意攻击,外界非法访问“看不到,进不来,拿不走”。

    2、简单交付,开箱即用

    通过低代码或零代码的简单交付,可轻易将任何企业内网服务转换为外网可访问的应用服务。实现单点登录,对外仅需开放私有协议端口,缩小攻击面。

    3、最小权限授权,细粒度访问控制

    兼容各类身份管理系统,结合多因子认证技术,对用户身份,访问行为,应用授权,账号口令,登录IP,访问时长等进行精细化授权,实现细粒度访问控制。

    4、减少业务暴露面

    无需暴露任何内网IP和端口,无需对业务系统进行改造,即可实现业务系统完全隐藏,黑客的恶意扫描、账号暴破等手段无法触达到业务服务器,从而实现业务系统“隐身”及安全加固。

    5、数据围栏技术实现敏感防泄露

对于访问敏感数据的应用系统时,通过视频流与操作流分段隔离技术,建立数据围栏,实现敏感数据不落本地终端,从而实现数据隔离,确保数据不泄露。

    四、应用场景:

    1、移动办公的员工,需要安全、稳定地接入本地数据中心开展业务

    仅需在移动办公PC上安装零信任客户端,即可实现由“PC终端-统一运维网关(私有协议加密)“和”统一运维网关-本地数据中心(标准协议连接)”的视频流与操作流分段隔离会话通道,实现业务安全接入和数据传输安全。

    2、本地业务上云后,需保障员工、合作伙伴等不同身份用户安全访问云端业务

    无论企业业务是在本地数据中心,还是在托管云或者公有云,都可以通过安装在办公PC上的零信任客户端,在内网应用和用户终端之间建立分段隔离的会话通道,视频流与操作流分段隔离,实现安全稳定访问 远程接入终端与运维网关之间仅传输键盘鼠标图形信息,无数据交换通道,很好地限制了勒索软件横向移动,实现了业务系统“隐身”和安全加固。

电话咨询
在线留言