零信任远程访问实践案例
案例背景
作为一家致力于为政府及企业客户提供综合解决方案的领先边缘云平台服务商,借助数字化转型的力量,优化服务流程,提升用户体验,加速业务发展,为客户提供更多创新的产品和优质的服务。白山云因其分支机构较多、业务系统多样、组织职能细分 等特性,欲落地零信任远程访问解决下列问题:
1、 八个分支分布在全球不同区域,客户遍布全球各地,基于业务发展需求,员工随时随地可能通过VPN 方式远程开展工作,受限于接入方式和接入环境,在接入工作前需要 做一系列的准备工作,工作效率受到很大的影响;
2、 员工远程访问企业内部服务,存在一定安全隐患,一是建立远程连接时可能导致业 务受到外界非法攻击,二是内部数据存在泄露风险;
3、 不同员工职能不同,具有不同的业务环境访问需求,业务系统繁多,既有云上SaaS 服务 ,又有企业内部自建服务,以粗粒度方式管理员工应用访问授权,每个应用都有一 个独立访问路径和账户体系,给管理员带来极大挑战。 员工不局限于内网环境办公、业务系统不仅位于内网环境,办公设备不止PC 设备,基 于网络边界作为安全边界的传统架构体系已经无法满足白山云业务发展的需求,亟需以 一种安全有效、便捷稳定的方式来助力员工开展远程办公。
案例 概述
为应对业务发展过程中出现的安全隐患、用户体验差和资源难管控的三大挑战,助力企业数字化转型,白山云开展实施基于零信任理念的Access远程访问解决方案。
首先 ,建立统一身份管理体系确保合法访问请求身份可信,将企业应用隐藏在后端,不 对外进行暴露,屏蔽外界的非法攻击;
其次,构建统一SSO(单点登录)访问系统和统一应用访问入口门户,将分散于云上云下的服务汇聚于统一访问页面,借助1000+边缘节点的能力,为员工提供就近访问,提 升员工访问体验,将员工更聚焦于业务上;
最后,针对用户、访问链路、应用、数据等各个环节进行全局统一管控,实现可管控、 可审计。
此次业务开展涉及到白山云内部近百个自建系统及SaaS服务 ,同时还有Linux、Windows 服务的SSH、RDP、VPN 等协议应用。针对全员近千人,几十种职能角色,统一由旧的办 公方式,改善为新的访问方式,大大提升远程办公体验和效率。
安全技术应用情况
Access是基于零信任架构和理念,构建“访问端、身份、应用端“ 三元合一的可信访 问实体,实现在非特权网络中对业务资源和数据的安全、稳定 、高效的访问。具体如下: 1、 Access的边缘网关充当了业务应用的访问入口,最大化的降低了业务应用被暴露在 互联网中各类攻击风险,无法被外部扫描渗透,不再被动的修复漏洞,实现了对源站应 用的隐身保护; 2、访问可信检测:通过对企业网络流量的接管,持续检查网络应用现状和用户行为, 更好地透视与管控企业网络环境,限制任何不符合安全要求的访问; 3、 访问控制引擎:根据特定用户/用户组的身份、职能 、需求授予访问权限,实行最小 权限原则,更好地保护敏感生产环境的访问安全; 4、 身份信任管理:提供身份生命周期管理,包括OTP 动态口令、企业微信、OIDC、SAML 等多种身份验证方式; 5、 应用可信接入:提供上千种SaaS应用接入模板;提供SSH、RDP、VNC 等协议应用远 程安全接入;提供内网仅出站连接的单向隧道,实现内网应用 SaaS化。
案例实践成果:
Access帮助白山云建立身份认证体系、高效便捷的接入方式、标准化资源控制、降低 IT 复杂度,全面强化安全。
案例实践具体效果如下: 1、 整体工作接入效率提升3-5 倍,具有更强的安全体系和更便捷的管理工作; 2、 建立集中身份信任服务,形成统一的身份认证中心、SSO 和多因子认证,辅助建立多 层次防御,加强身份验证的安全性; 3、 可通过统一门户接入,提升用户体验,内网应用快速SaaS化,保障所有终端同时在 线的情况下稳定、高效、安全的办公,提供员工生产力; 4、 标准化资源控制、隐藏资产攻击面,无法被外部扫描渗透,不再被动的修复漏洞, 摆脱对防火墙、设备的依赖,降低IT 维护成本; 5、 细粒度访问控制手段,可视化的策略管理能力,云原生安全平台防护能力,多维度 的强化网络安全。
零信任安全与企业数字化转型是相互促进与协同发展,Access作为白山云数字化转型的 最佳安全访问接入方案,因为它不仅仅是一个简单的远程访问工具,而是一个全新的网 络安全架构模式。
Access是 零信任安全架构实践的开始,白山云会持续探索零信任安全架构,逐步 实现真正的“永不信任,持续验证”的网络安全架构。
232
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
