1方案背景
电信运营商营业厅的业务支撑系统的安全访问一直以来都存在诸多挑战。
由于营业厅地理位置分散、人员结构复杂等因素,运营商通常把某些支撑系统 开放在公网上直接访问,某些系统通过VPN来拨网访问。然而,这样给安全运 维部门带来很大的困扰。以国内某大型省级运营商为例,该运营商将营业厅常 用的10多个业务系统(包括:2G/3G/4G移动客户端体验管理平台、综合外呼平 台、渠道销售实况监控、BSS3. 0等)开放在公网上。如图1所示。
这种方式面临如下的安全挑战:
1. 攻击面暴露 暴露公网上业务服务器、VPN服务器经常受到来自全球各地黑客的网络爬虫 以及黑客的7x24小时的扫描和攻击。这些核心业务支撑系统一旦被黑客扫描和 攻破,则将会给运营商企业带来巨大的损失和造成不良的社会影响。
2. 运维复杂 访问业务支撑系统的的人员结构比较复杂,包括员工、装维人员、渠道代理 商、外呼人员、施工监理单位等“四方"人员。由于每个人的电脑水平参差不齐, VPN经常性的掉线给运维部门带来很大的负担,而且VPN也可能会把设备上的恶 意软件引入内网。此外,VPN对于权限的分配和管理难度极大,很难进行精细化 授权管理,导致可能访问权限被滥用,造成数据泄露。
3. 设备安全风险高 由于人员结构复杂,办公电脑上的软件环境无法严格管控。加上业务人员的 电脑水平普遍较低,极有可能中了病毒也未必及时发现。终端电脑上的病毒木马 不断会窃取终端的数据,而且会通过VPN通道渗透进内网,进而造成严重的安全 风险。
4. 弱口令导致账号劫持 代理商、上下游供应商的员工安全意识薄弱,登录验证的方式较为单一,容 易发生被黑客撞库攻击。
2方案概述
深云SDP解决方案是一个基于零信任网络安全理念和软件定义边界(SDP) 网络安全模型构建的业务系统安全访问解决方案。方案基于互联网或各类专网分 别建立以授权终端为边界的针对特定应用的虚拟网络安全边界,基于用户身份提 供特定应用的最小访问权限;对于特定应用对虚拟边界以外的用户屏蔽网络连接, 同时在传统网络安全设备上最大化设置严谨的安全策略以减少隐患、最小化开放 网络端口以减少因为网络协议自身漏洞造成的攻击,可有效缩小网络攻击面,提高全域网络安全。
深云SDP包含三个组件——深云SDP客户端、深云SDP安全大脑、深云隐盾 网关(如图2所示):
1. 深云SDP客户端
深云SDP客户端主要面向企业办公场景,为保护数据安全、提升工作效率而 设计,全面支持企业当前C/S及B/S应用。在深云SDP中,深云SDP客户端用 来做各种的身份验证,包括硬件身份,软件身份,生物身份等。
2. 深云SDP安全大脑
深云SDP安全大脑是一个管理控制台,用来对所有的深云SDP客户端进行管 理,制定安全策略。深云SDP安全大脑还可以与企业已有的身份管理系统对接。
3. 深云隐盾网关
所有对业务系统的访问都要经过SDP网关的验证和过滤,实现业务系统的 “网络隐身"效果。
深云SDP可以有效解决应用上云带来的安全隐患,减少业务系统在互联网上 的暴露面,让业务系统只对授权的深云SDP客户端可见,对其他工具完全不可见, 以避免企业的核心应用和数据成为黑客的攻击目标,保护企业的核心数据资产 (如图3所示)。
深云SDP部署在DMZ和云资源池,业务系统分别部署在内网和云资源池,外网用户通过隐盾网关访问业务系统。部署架构如图4所示
3优势特点
1. 网络隐身、最小化攻击面
深云隐盾网关实现了将10多个业务系统从互联网上彻底“隐身"。另外在 内部及外部开展的威胁监测处置工作中,持续对深云SDP进行安全监测,目前 为止未发现任何安全风险的出现。
2. 按需授权,细粒度授权控制
深云SDP安全大脑对业务人员进行细粒度的访问控制,具体到哪些人员可 以访问哪些业务系统,只有拥有相对应业务系统授权的用户才能够访问相对应的 业务系统,其余无授权的业务系统,无法进行访问。此外,通过深云SDP企业 浏览器还可以控制用户是否可以进行复制、下载等操作。
3. 身份安全增强
深云SDP客户端通过短信验证、硬件设备绑定等功能,使原来业务系统的 身份验证更加安全。
4. 提升效率,降低运维成本
深云SDP摈弃了传统VPN长连接的模式,因此不会掉线,上手简单,同时还 有SDP安全大脑进行远程管理升级,提升了工作效率的同时又降低了运维成本。
5. 高并发,稳定运行
深云SDP自上线实施后,每天支撑营业厅超过一万以上的业务人员同时办 公,保障每天数千万元的业务操作的安全。
注:本案例为2020年案例
最近考CZTP的人越来越多,看到相关问题下面大家都在求加群,自己建了个交流群,顺便分享下自己考过的相关课程资料。大家可以互相督促,交流经验和进度。想进群的私信我。
文章转自CSA GCR - 2021零信任落地案例集 终稿(无水印版)
657
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
