深信服:筑牢安全基石 护航数字经济

南方产业智库
+订阅

很多人都有这样的亲身体验:入职第一天需要找多名管理员开通各系统的访问权限,岗位变更后要重新申请新权限,效率低下,更让人身心俱疲。

仅仅是深信服内部,借助零信任安全解决方案,帮助超过12000名内部员工、供应商和合作伙伴,在200多个业务系统上实现了统一安全登录。用户再也不需要去记录各个系统的账号密码,规避了弱密码带来的安全脆弱性风险,大幅提升了访问效率和办公体验。此外,深信服零信任安全解决方案也实现了同岗同权,即根据岗位和角色对用户赋予业务系统的访问权限,员工岗位变更,权限随之自动改变,大大提升运维管理效率。

南方日报版面

南方日报版面

这是零信任技术给网络安全带来的变革。办公数字化是数字化转型的重要环节,需要通过零信任技术打造坚实的“安全底座”。这一在深信服自身实践并被充分验证的技术,已经广泛使用到更多企业的数字化系统中来。对企业来说,网络安全不再是可选项,而是一道必答题。

▶▷烦恼

远程访问激增,如何避免全网失陷

随着数字化转型的深入以及疫情的持续影响,网络安全问题更加凸显。今年3月,深圳全市小区暂行封闭式管理,远程办公场景下,缺乏配套的网络安全防护措施,可能给网络攻击留下很好的突破口。

然而,远程访问已是大势所趋。以制造业为例,进入工业互联网时代,大规模分布式制造成为可能,不同厂区之间的通信需求在增加,内部业务数据传输会越来越频繁。

“未加密的业务数据在传输过程中可能容易成为不法分子攻击的目标。”深信服桌面云业务副总经理蔡系海说。

在此之前深信服就对自己发出过“灵魂拷问”:

假设深信服发展到1万多个员工、2万—3万个终端接入节点,如何做好如此大体量的安全访问管理?

又或者,假设每个员工都能访问到内网核心业务系统,一旦有一个端点被入侵,如何避免全网失陷?

尽管作为国内领先的企业级安全解决方案供应商,深信服自身数字化转型也会面临诸多办公安全问题。深信服甚至也设想过,作为一家科技企业,内部技术人员很多,难免提出超越安全基线的访问要求,比如在深圳搭建的业务系统要给北京的团队访问,区域之间的互访打破了原本的分区域隔离,如何平衡业务需求与安全底线?

推己及人,深信服意识到,这也是很多企业在安全建设与运营中遇到的本质难题:

首先,业务、用户、资源都在持续变化,且用户行为多样、资源漏洞难以避免,同时用户与资源、资源与资源之间的访问关系持续变化,而区域边界是离散的、相对静态的;

其次,在少数固定的网络边界上,以粗粒度、相对静态的安全策略,识别多种多样的用户行为、防护层出不穷的技术漏洞、维护快速变化的访问关系,不可避免遇到“问题规模大而资源投入小”的矛盾。

对企业来说,该如何直面这场安全攻防战?

▶▷对策

分步落地零信任,精细访问控制,权限随需而动

深信服深刻意识到,在企业内部,业务系统众多,权限管理混乱,埋下了很多安全隐患;权限变更日常维护工作量大,也给运维人员带来巨大负担。

深信服安全业务副总裁、零信任业务负责人周智坚表示:“零信任通过持续增强事前防护效果,助力安全团队从不断救火向风险监管和安全治理转型,让企业安全团队去做更有价值的事。”

为了使零信任技术平滑落地,深信服首先聚焦在统一身份认证和权限控制上,解决什么身份有访问内网权限的问题。

此前,用户只要进入内网环境,使用任何终端都可以直接访问业务系统,存在的风险可想而知;而现在,通过部署零信任访问控制系统aTrust,即使身在职场环境,也需要通过多维度的身份认证后,才能访问相关业务系统。

此外,深信服还加强对终端进行安全基线核查,不合规的终端则无法访问系统,整改合规后才能继续访问。

如今,在深信服内部,只需要在HR系统上为新员工录入相关信息,员工即可自动获得岗位对应的系统访问权限,员工转岗或离职时,系统访问权限也会自动进行更新或回收。

第二步,收敛业务暴露面,解决分支机构远程访问总部系统的问题。

在部署零信任安全解决方案后,无论是总部还是区域员工,要访问业务系统都必须通过零信任方案指定的统一入口,原有业务系统的暴露面被有效收敛,系统的IP、端口等信息都被隐藏。

通过收缩业务暴露面,从根本上提升了安全防护能力,黑客无法获得内网的任何信息,对业务系统的攻击也就无从下手,攻击成本大幅提升。

第三步,细化访问控制策略,实现安全远程开发。

还有一些企业有这样的体验,研发网虽然是隔离的,但有很多风险因素,如内部有很多安全人员做攻防、做病毒样本分析,需要从外部传输数据,管控难度极大。特别是随着业务不断发展壮大,还需要考虑离岸研发(ODC)的权限管控。

对此,深信服通过零信任aTrust+桌面云VDI的方式,实现了以数据不落地为前提的远程开发,相当于把用户的开发环境搬到了世界上的任何一个角落。其中,“研发数据不出网”与“零信任”的理念冲突,是最难以平衡的。但深信服探索出了一条新的道路——基于零信任动态策略检测计算机的环境、位置等属性,来决策员工是否拥有资源访问权限,权限开放还是限制,一切尽在掌握之中。

▶▷展望

疫情倒逼企业重视安全防护

正如疫情推动了中国企业的数字化进程,疫情也加速了零信任理念的推广。在企业数字化转型过程中,原本封闭环境逐步走向与外部联网的开放环境,安全方面的漏洞也随之增大。

例如,疫情催生的远程办公需求,但也暴露了企业网络的脆弱性,致使网络安全与数据安全得到了前所未有的重视。

同时,集团级的管控以及业务运营管理等方面的协同也在不断提高,不论从数据和信息的承载量,还是业务的复杂多变来看,也都要求企业提高对整体网络安全的保障性。

网络安全更是迎来政策利好。近日,工业和信息化部印发《优质中小企业梯度培育管理暂行办法》,针对专精特新“小巨人”企业的参评,要求近三年未发生重大安全(含网络安全、数据安全)事故,否则,至少三年内不得再次申报。

安全,也构成了制造业数字化转型的基石。数据显示,今年一季度,我国工业互联网规模超万亿元,经过4年多的实践,我国工业互联网从无到有,建成网络、平台、安全三大体系,体系化发展位居全球前列。

也有一些企业担忧,零信任难以落地,网络安全难以落地。在专业人士看来,这实际上,步子迈得有些大,迫切想要一步到位。

对此,结合当前国内疫情远程办公的现实需求,以及深信服的实践经验,组织单位可以优先从远程办公场景切入,逐步切换到内网、数据中心等场景的零信任建设。

零信任理念可以通过多种技术路径落地,深信服根据自身改造难度,选择从SSL VPN切换SDP技术,经过实践在远程办公、混合办公场景已具备非常成熟的经验,组织单位可以根据自身需求,选择最适配的技术路线。


■知多点

什么是零信任

零信任,是一种新型网络安全防护理念,用一句通俗的话来概括:“持续验证,永不信任”。零信任默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。

简单来说,零信任的核心就是最小化数据访问模型,让“正确的人”通过“正确的方式”访问到“正确的业务和数据”。

撰文:郜小平

编辑 欧旭江
+1
您已点过

订阅后可查看全文(剩余80%)

更多精彩内容请进入频道查看

还没看够?打开南方+看看吧
立即打开