案例|这家公司想解开零信任落地难题,拿自己做了1个“实验”

最新推荐文章于 2024-07-19 17:35:15 发布
最新推荐文章于 2024-07-19 17:35:15 发布
阅读量603 收藏 1
点赞数 1
分类专栏: 网络安全 企业IT运维 远程办公 文章标签: 网络 安全 云安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sangfor_Access/article/details/124181101
版权

难道做零信任,只是为了纵享丝滑办公体验?

好比练习武术,所谓“外练筋骨皮,内练一口气”,别人看到的是你体格健硕,只有你自己能感受到,体质变好了,抵抗力提高了,身体倍儿棒。

归根到底,零信任“关注安全,兼顾体验”,通过打出更简单有效的“组合拳”,帮助企业“强身健体”的同时,满足“安全”的终极需求。

如何证明?多说无益,深信服拿自己作为0号样板点,落地零信任,用行动做最好的注解。

说干就干,从设计到实施耗时不到1个月

故事要从一环扣一环的假设讲起。

1、假设深信服发展到1万多个员工、2-3万个终端接入节点,如何做好如此大体量的实时安全管控?

2、假设每个员工都能访问到内网核心服务器,一旦有一个端点被入侵,如何避免全网失陷?

  • 假设采用区域隔离管控的传统方案,作为一家科技企业,内部技术人员很多,难免提出超过安全基线的要求,比如在深圳搭建的服务器要给北京的团队访问,区域之间的互访打破了原本的分区域隔离,如何平衡业务需求与安全底线?

除了这些假设,当时我们还看到,随着业务发展与人员增长,组织架构在不断优化调整,针对角色的权限频繁更换,访问策略难以管控,ACL逐渐“腐化”。这个过程,也不断考验着安全运维管理的效率

推己及人,深信服意识到,这也是很多组织单位在安全建设与运营中遇到的本质难题:

1、业务、用户、资源都在持续变化,且用户行为多样、资源漏洞难以避免,同时用户与资源、资源与资源之间的访问关系持续变化,而区域边界是离散、相对静态的;

2、在少数固定的隔离边界上,以粗颗粒度的、相对静态的安全策略,识别多种多样的用户行为、防护层出不穷的技术漏洞、维护快速变化的访问关系,不可避免遇到“问题规模大而资源投入小”的矛盾。

急用户之所急,想用户之所想。我们想为数以万计的用户提供零信任安全解决方案,就要做第一个亲身实践者。

在国内还很少零信任落地实际案例的背景下,深信服拿自己做起了“实验”,从设计到实施耗时不到1个月,有说干就干的决心ÿ

最低0.47元/天 解锁文章
Sangfor_Access
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
零信任架构下身份管理系统的落地挑战
nidengxia的博客
08-19 726
在上篇文章中,我们介绍了零信任概念与身份管理之间的关系——身份管理是零信任安全体系构建不变的核心需求。本文继续聊聊在国内市场环境下,打造一个成熟的零信任身份管理模型面临着什么样的挑战,及其架构要点。 一、身份管理的落地挑战 由于国内企业的技术基础、业务形态、市场政策环境的特殊性,在零信任架构下,身份管理系统的落地面临着诸多挑战: 1. 身份数据连接 动态的身份控制需要有丰富的身份数据支撑。中国企业在管理身份数据方面存在不少痛点,比如无法对分散在各系统中的身份数据进行统一管理和分析,...
零信任技术进阶篇(关键技术及挑战)
m0_38103658的博客
05-12 967
零信任技术进阶篇(关键技术及挑战) 前言: 在上一篇文章中我们已经详细介绍过“零信任架构”的发展过程和逻辑组成。“零信任网络”模型自2010年被John Kindervag创建后,发展至今已有10年时间,随着零信任的支撑技术逐渐成为主流,随着防护企业系统及数据安全的压力越来越大,随着网络攻击演变得更加复杂高端,零信任模型也在CIO和CISO中间愈加流行了。那么有关“零信任网络”中的技术您是否有所了解呢?美创安全实验室将在本篇文章带大家了解一下“零信任网络”中的关键技术和技术难点零信任理论所需技术 在各种
零信任落地案例】吉大正元某大型集团公司零信任实践案例
weixin_70101757的博客
05-17 994
1方案背景 随着信息化技术不断发展,企业智慧化、数字化理念的不断深化已经深入各个领域, 云计算、大数据、物联网、移动互联、人工智能等新兴技术为客户的信息化发展及现代 化建设带来了新的生产力,但同时也给信息安全带来了新挑战。企业急需一套安全、可 信、合规的立体化纵深防御体系,确保访问全程可知、可控、可管、可查,变静态为动 态,变被动为主动,为信息化安全建设提供严密安全保障。 客户已经建立了自己的内部业务访问平台,通过部署边界安全等实现了一定程度的 安全访问。但是,随着业务访问场景的多样化和攻击手段的升级,当
初探零信任模型
weixin_30731287的博客
04-12 590
(一)边界模型 传统的基于边界的网络安全架构通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护。它的核心思是分区、分层(纵深防御)。边界模型专注防御边界,将坏人挡在外面,假定已经在边界内的任何事物都不会造成威胁,因而边界内部基本畅通无阻。 几乎所有网络安全事故的调查都指出,黑客在完成攻击之前,甚至之后,曾长期潜伏在企业内网,利用内部系统漏洞和管理缺陷逐步获得高...
零信任安全在攻防演练中的“防御”之道
yutao929的专栏
02-04 715
近年来国家不断加快5G、人工智能和云计算等新型基础设施的建设,企业的数据不再局限于内网,互联网迎来了高速的发展和更为广阔的发展空间;但与此同时,网络安全也成为国家发展中面临的新的威胁和挑战,正所谓是“没有网络安全就没有国家安全”,为了进一步保障网络安全,小到企业大到整个国家都开始重视网络安全并不断加强网络安全建设。 自从2016年国家颁布了《网络安全法》,“网络攻防演练专项行动”已成为一年一度的惯例。从最开始只有公安部、民航局和国家电网三个事业单位参加到现如今参加队伍在不断扩大,由此可以看出从国家到企业都在
2021零信任落地案例
03-01
2021零信任落地案例
CSA GCR2021零信任落地案例集.pdf
07-16
CSA GCR2021零信任落地案例集.pdf
2021.06零信任落地案例集.pdf
11-05
云安全联盟大中华区-版权所有 仅供参考学习
2021零信任落地案例集.pdf
09-11
2021零信任落地案例集.pdf
持安科技CEO何艺:零信任在实战攻防演练中的价值
chiansec_的博客
07-12 708
零信任在真实对抗环境中能发挥什么价值?零信任在攻防演练的场景中,与传统的安全方案有何不同?如何布置才能使零信任安全价值最大化?
虚拟私有网络即将消亡,软件定义边界(SDP)正在走来
yutao929的专栏
02-19 425
随着通信底层基础设施(软件无线电和无线宽带网络波形)的逐步完善,美国国防部和DARPA早已将目光转移到数据网络网络安全,传统的VPN已经无法满足全球分布式信息系统GIG的要求,美军于2007年正式发布软件定义(安全/数据)边界SDP项目。 然而,据笔者从美国国防部2007年的一份内部发布的GIG架构规划中发现,在此之前,美军已经对一个叫black core的技术研究了很多年,而SDP正是black core进化的产物。 以下三张图摘自上述报告,读者可自行关联。 GIG通信基础设施 核心企业级服务(CE
零信任组成及落地案例
sangfor_edu的博客
08-11 1647
SDP旨在通过软件的方式,在“移动+云”的时代背景下,为企业构建起一个虚拟边界,利用基于身份的访问控制机制,通过完备的权限认证机制,为企业应用和服务提供隐身保护,使网络黑客因看不到目标而无法对企业的资源发动攻击,有效保护企业的数据安全。换一个说法来描述,不论在何处何时访问业务系统,都要进行相关的控制,实现从零开始进行信任,并且可以针对客户端进行实时的检查和信息收集,在客户端安全基线未达标的时候,可以对客户端进行相关的提醒或者限制访问,零信任成为统一的业务系统的入口。同时实现了业务的安全性访问。...
零信任落地案例】指掌易某集团灵犀・SDP零信任解决方案
weixin_70101757的博客
05-27 1565
1方案背景 随着移动信息化的高速发展,以智能手机,智能平板为代表的移动智能设备 逐步深入到企业办公领域。基于当前移动办公的趋势,某集团也逐步将业务从 PC端向移动端进行迁移。一方面,移动技术的发展让移动办公成为常态,疫情 进一步加速了移动办公、线上协作的常态化进程。另一方面,为使线上协作、移 动办公更高效便捷,越来越多的应用和数据在互联网上发布,数据和应用访问面 临更高的风险。 随着数字化转型的不断深入,某集团将越来越多的核心应用迁移到云计算平 台和互联网,企业的服务范围已经远远超出了原有内部网络边界,
深信服智安全 SCSA---2
XY0918ZWQ的博客
12-06 5718
信息安全概述: 1.安全: 信息安全:让数据处于原理危险、免于威胁的状态或特征 网络安全:计算机网络环境下的信息安全 2.协议栈自身的脆弱性: (1)缺乏数据源验证机制 (2)缺乏完整性验证机制 (3)缺乏机密性保障机制 3.网络基本攻击模式: 被动威胁:截获 主动威胁:篡改、中断、伪造 4.操作系统自身的漏洞: 认为原因 客观原因 ...
CyberVadis评估!
zhong_bang的博客
07-17 579
这包括让供应商直接参与评估,与内部安全分析师团队一起验证结果,并向公司发布标准化的网络安全评级,他们可以与他人分享,以及详细的改进计划以提高他们的分数,以及与客户和供应商合作实施更好实践的能力。1、针对被评估公司网络环境、信息安全管理体系,以及风险控制和识别措施即使是以极为严苛的欧洲和北美标准来衡量,也是相当安全可靠的。我们的内部安全分析师审查您的调查问卷和所有共享文档,与外部来源交叉检查他们的结果,为您的公司打分。经过高级分析师的验证后,可以访问您的绩效以查看您独特的记分卡、优势和可行的改进计划。
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 403
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
【Socket 编程】基于UDP协议建立多人聊天室
稻草人敲代码的博客
07-19 390
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
docker build时的网络问题
最新发布
flynetcn的专栏
07-19 342
docker build网络问题
办公网零信任安全实践:从理念到实施
零信任理念源自于一个基本前提:默认不信任任何内部或外部的用户、设备和网络,这与传统的边界安全概念形成鲜明对比。这种理念强调动态的访问权限控制,对所有访问过程进行可追溯的审计,以及持续的信任评估和安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值