根据相关调查显示,不少企业客户的传统边界防护在应对新技术新业务场景时面临安全困局,为了有效应对新业务模式下的网络安全挑战,白山云深耕亟需零信任解决应用场景,力求创新零信任解决方案,为客户重塑安全边界。
基于云原生架构的优势,我们建议客户分批次将应用接入零信任访问架构,首批选取业务影响面较小,且日常使用频率相对较高的自研应用,以此检验已有IT架构与零信任的适配性及契合度,并尽可能暴露出暗藏的实施挑战。
客户提出了三个亟需零信任解决的应用场景:
应用场景A:远程安全访问内网应用
原先情况:内网中的应用,只允许在公司内部网络中访问,其他网络不允许访问,难以快速应对远程办公场景。
期望效果:希望通过零信任方案实现全网安全访问内部应用。
应用场景B:公网应用收敛至内网
原先情况:为方便开展业务,将部分应用置于公网中提供访问,容易成为网络攻击的目标。
期望效果:希望通过零信任将应用收敛到内网,缩小暴露面,同时需支持互联网访问。
应用场景C:加强“孤岛应用”的身份安全性与管理效率
原先情况:部分应用未对接SSO,仅依赖账密认证,安全系数不高,且无法与其他应用统一身份体系,形成账户信息孤岛现象。
期望效果:希望通过零信任进行统一的身份管理,消除账户信息孤岛,叠加多因素认证,提升访问安全性。
同时,在与客户IT管理者的交流中,我们了解到客户倾向使用零信任方案的主观原因:
SSL VPN经常爆出漏洞,感觉不安心。
基于VPN的访问稳定性较差,时常会出现卡顿、延时。
员工增减频繁,VPN的扩展性较差。
基于云实现的零信任方案存在诸多好处,云能够提供加速、弹性扩容、自动容灾等特性,优化了硬件VPN性能瓶颈的问题;而零信任能实现应用隐身,将暴露面缩小至零,相比VPN方案又增强了安全性。
我们为客户首批应用制定的接入方案为:
坏人的攻击流程:
0. 难以获取IP/端口信息,丢失攻击目标。
合法用户访问流程:
1.客户员工无感知,仍然访问原应用的URL地址;
2. 白山云CDN接收到访问请求,校验是否存在身份信息,若无,则重定向至白山云零信任IAM进行统一身份认证;
2.1. 白山云零信任IAM 提交验证信息至 客户自有SSO身份认证系统 进行校验,确保客户身份认证凭证无需外泄【实现场景C需求】;
3. 身份验证通过后,白山云CDN将合法访问请求转发至白山云零信任边缘;
3.1. 白山云连接器主动发起并保持与白山云零信任边缘的访问隧道(内向外),防火墙侧可配置“deny all”策略,实现应用“零”暴露面【实现场景B需求】;
4. 白山云连接器将合法访问请求转发至目标应用A/B/C【实现场景A需求】。
面对企业客户的全新需求,白山云深耕零信任领域带来了全新的解决方案。白山云提升应对数字化时代安全挑战的能力,为更多企业客户的数字化转型更好地保驾护航。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )