白山云基于零信任安全架构搭建了一套零信任解决方案,该项目不仅能解决业务系统多样、可信用户位置不确定、工作效率低下等问题,还能兼顾高可用访问和安全可信访问,全面强化企业的网络安全。
有效解决下列场景与挑战:
八个分支分布在全球不同区域,客户遍布全球各地,基于业务发展需求,员工随时随地可能通过VPN方式远程开展工作,受限于接入方式和接入环境,在接入工作前需要执行终端安全检查,避免处于风险的网络环境,工作效率受到很大的影响;
员工远程访问企业内部服务,存在一定安全隐患,一是可能受账密脆弱性影响,导致被窃取或撞库风险,二是BYOD可能被监听或劫持,导致内部数据存在泄露风险;
不同员工职能不同,具有不同的业务环境访问需求,业务系统繁多,既有云上SaaS服务,又有企业内部自建服务,以粗粒度方式管理员工应用访问授权,每个应用都有一个独立访问路径和账户体系,给管理员带来极大挑战。
白山云零信任远程访问实践项目完成了白山云内部应用的ZTNA改造,涉及到白山云内部自建系统及SaaS服务,同时还有Linux、Windows服务的SSH、RDP、VPN等协议应用。兼顾高可用访问和安全可信访问,提供统一管控平台,实现业务按需隐藏,帮助白山云建立身份认证体系、高效便捷的接入方式、标准化资源控制、降低IT复杂度,全面强化安全。
一方面针对全员近千人,几十种职能角色,实现由单一本地化办公模式,拓展至支持依托ZTNA的远程访问方式,大大提升远程办公体验、效率和安全性;另一方面针对用户、访问链路、应用、数据等各个环节进行全局统一管控,构筑可管控、可审计的零信任安全访问闭环。
项目部署基于零信任架构和理念,构建“访问端、身份、应用端”三元合一的可信访问实体,实现在非特权网络中对业务资源和数据的安全、稳定、高效的访问。采用SaaS模式,无需复杂的部署和安装,所要求的功能可以在产品上自主通过可视化界面配置,平台使用B/S设计架构,不需要安装任何软件和代理,可以通过浏览器远程使用。
边缘网关充当业务应用的访问入口,最大化地降低了业务应用被暴露在互联网中遭受各类攻击的风险,无法被外部扫描渗透,不再被动地修复漏洞,实现了对源站应用的隐身保护;
访问可信检测:基于每个访问连接施行动态授权,辅以用户行为分析,更好地透视与管控企业应用安全,按需限制或拒绝存在安全性风险的访问请求;
访问控制引擎:根据特定用户/用户组的身份、职能、需求授予访问权限,实行最小权限原则,更好地保护敏感生产环境的访问安全;
身份信任管理:提供身份生命周期管理,包括OTP动态口令、企业微信、OIDC、SAML等多种身份验证方式;
应用可信接入:提供上千种SaaS应用接入模板,集中SaaS应用访问入口;提供SSH、RDP、VNC等协议应用远程安全接入;提供内网仅出站连接的单向隧道,实现内网应用 SaaS化。
项目实践具体效果如下:
整体工作接入效率提升3-5倍,具有更强的安全体系和更便捷的管理工作;
建立集中身份信任服务,形成统一的身份认证中心、SSO和多因子认证,辅助建立多层次防御,加强身份验证的安全性;
可通过统一门户接入,提升用户体验,内网应用快速SaaS化,集中管控云上SaaS应用,保障所有终端同时在线的情况下稳定、高效、安全的办公,提高员工生产力;
标准化资源控制、隐藏资产攻击面,无法被外部扫描渗透,不再被动地修复漏洞,摆脱对防火墙、设备的依赖,降低IT维护成本;
细粒度访问控制手段,可视化的策略管理能力,云原生安全平台防护能力,多维度的强化网络安全。
作为创新的边缘云服务提供商,白山云用创新的技术和雄厚的实力保障了企业的安全。白山云持续推进技术创新,基于零信任安全架构理念将继续输出更完善、更专业的解决方案,为业内安全防护和管理提供有力支撑。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )
