根據(jù)相關(guān)調(diào)查顯示,不少企業(yè)客戶的傳統(tǒng)邊界防護在應(yīng)對新技術(shù)新業(yè)務(wù)場景時面臨安全困局,為了有效應(yīng)對新業(yè)務(wù)模式下的網(wǎng)絡(luò)安全挑戰(zhàn),白山云深耕亟需零信任解決應(yīng)用場景,力求創(chuàng)新零信任解決方案,為客戶重塑安全邊界。
基于云原生架構(gòu)的優(yōu)勢,我們建議客戶分批次將應(yīng)用接入零信任訪問架構(gòu),首批選取業(yè)務(wù)影響面較小,且日常使用頻率相對較高的自研應(yīng)用,以此檢驗已有IT架構(gòu)與零信任的適配性及契合度,并盡可能暴露出暗藏的實施挑戰(zhàn)。
客戶提出了三個亟需零信任解決的應(yīng)用場景:
應(yīng)用場景A:遠程安全訪問內(nèi)網(wǎng)應(yīng)用
原先情況:內(nèi)網(wǎng)中的應(yīng)用,只允許在公司內(nèi)部網(wǎng)絡(luò)中訪問,其他網(wǎng)絡(luò)不允許訪問,難以快速應(yīng)對遠程辦公場景。
期望效果:希望通過零信任方案實現(xiàn)全網(wǎng)安全訪問內(nèi)部應(yīng)用。
應(yīng)用場景B:公網(wǎng)應(yīng)用收斂至內(nèi)網(wǎng)
原先情況:為方便開展業(yè)務(wù),將部分應(yīng)用置于公網(wǎng)中提供訪問,容易成為網(wǎng)絡(luò)攻擊的目標。
期望效果:希望通過零信任將應(yīng)用收斂到內(nèi)網(wǎng),縮小暴露面,同時需支持互聯(lián)網(wǎng)訪問。
應(yīng)用場景C:加強“孤島應(yīng)用”的身份安全性與管理效率
原先情況:部分應(yīng)用未對接SSO,僅依賴賬密認證,安全系數(shù)不高,且無法與其他應(yīng)用統(tǒng)一身份體系,形成賬戶信息孤島現(xiàn)象。
期望效果:希望通過零信任進行統(tǒng)一的身份管理,消除賬戶信息孤島,疊加多因素認證,提升訪問安全性。
同時,在與客戶IT管理者的交流中,我們了解到客戶傾向使用零信任方案的主觀原因:
SSL VPN經(jīng)常爆出漏洞,感覺不安心。
基于VPN的訪問穩(wěn)定性較差,時常會出現(xiàn)卡頓、延時。
員工增減頻繁,VPN的擴展性較差。
基于云實現(xiàn)的零信任方案存在諸多好處,云能夠提供加速、彈性擴容、自動容災(zāi)等特性,優(yōu)化了硬件VPN性能瓶頸的問題;而零信任能實現(xiàn)應(yīng)用隱身,將暴露面縮小至零,相比VPN方案又增強了安全性。
我們?yōu)榭蛻羰着鷳?yīng)用制定的接入方案為:
壞人的攻擊流程:
0. 難以獲取IP/端口信息,丟失攻擊目標。
合法用戶訪問流程:
1.客戶員工無感知,仍然訪問原應(yīng)用的URL地址;
2. 白山云CDN接收到訪問請求,校驗是否存在身份信息,若無,則重定向至白山云零信任IAM進行統(tǒng)一身份認證;
2.1. 白山云零信任IAM 提交驗證信息至 客戶自有SSO身份認證系統(tǒng) 進行校驗,確??蛻羯矸菡J證憑證無需外泄【實現(xiàn)場景C需求】;
3. 身份驗證通過后,白山云CDN將合法訪問請求轉(zhuǎn)發(fā)至白山云零信任邊緣;
3.1. 白山云連接器主動發(fā)起并保持與白山云零信任邊緣的訪問隧道(內(nèi)向外),防火墻側(cè)可配置“deny all”策略,實現(xiàn)應(yīng)用“零”暴露面【實現(xiàn)場景B需求】;
4. 白山云連接器將合法訪問請求轉(zhuǎn)發(fā)至目標應(yīng)用A/B/C【實現(xiàn)場景A需求】。
面對企業(yè)客戶的全新需求,白山云深耕零信任領(lǐng)域帶來了全新的解決方案。白山云提升應(yīng)對數(shù)字化時代安全挑戰(zhàn)的能力,為更多企業(yè)客戶的數(shù)字化轉(zhuǎn)型更好地保駕護航。
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )