01
現(xiàn)狀問(wèn)題
業(yè)務(wù)系統(tǒng)直接發(fā)布至外網(wǎng),存在極高安全風(fēng)險(xiǎn)
隨著越來(lái)越多的業(yè)務(wù)系統(tǒng)發(fā)布到公網(wǎng)上,網(wǎng)站的安全性也越來(lái)越受重視,部分業(yè)務(wù)系統(tǒng)可能長(zhǎng)期沒(méi)有人維護(hù)更新,最新發(fā)現(xiàn)的漏洞也沒(méi)有被及時(shí)修復(fù),容易被不法人士利用,造成不良影響。如wannacry勒索病毒,就需要及時(shí)關(guān)閉不必要的端口防止病毒的進(jìn)一步傳播。發(fā)布在公網(wǎng)的業(yè)務(wù)系統(tǒng)若沒(méi)有及時(shí)關(guān)閉端口,則極易遭受攻擊。
傳統(tǒng)VPN賬號(hào)及權(quán)限管理不精細(xì),難以防范違規(guī)行為
傳統(tǒng)VPN權(quán)限管理不精細(xì),容易發(fā)生權(quán)限濫用、權(quán)限蔓延、賬號(hào)密碼泄露等情況。終端獲得內(nèi)網(wǎng)IP后,就可在外網(wǎng)訪問(wèn)所有內(nèi)網(wǎng)業(yè)務(wù),管理人員很難發(fā)現(xiàn)終端操作過(guò)程中的違規(guī)行為,難以防范下載機(jī)密文件、重要數(shù)據(jù)這些濫用權(quán)限的情況。
傳統(tǒng)VPN缺少完整日志記錄,發(fā)生故障難溯源、難恢復(fù)
傳統(tǒng)VPN缺少完整的日志記錄,當(dāng)系統(tǒng)發(fā)生安全故障時(shí),內(nèi)網(wǎng)訪問(wèn)操作無(wú)日志記錄,外網(wǎng)過(guò)VPN只記錄登錄認(rèn)證日志,難溯源且無(wú)法復(fù)現(xiàn)問(wèn)題場(chǎng)景。
02
零信任安全訪問(wèn)解決方案
針對(duì)上述問(wèn)題,我司提出一套能夠增強(qiáng)業(yè)務(wù)系統(tǒng)訪問(wèn)安全性的解決方案。所有業(yè)務(wù)通過(guò)資源發(fā)布系統(tǒng)進(jìn)行發(fā)布,由資源發(fā)布系統(tǒng)進(jìn)行安全等級(jí)的判斷,用戶訪問(wèn)對(duì)防護(hù)等級(jí)要求高的業(yè)務(wù)系統(tǒng)時(shí),需要先驗(yàn)證身份,認(rèn)證通過(guò)后經(jīng)由獨(dú)立的訪問(wèn)通道對(duì)業(yè)務(wù)進(jìn)行訪問(wèn),確保業(yè)務(wù)安全。
基于身份實(shí)現(xiàn)精細(xì)化權(quán)限管理,全程加密傳輸,保障信息安全符合國(guó)家政策要求
系統(tǒng)可基于身份及應(yīng)用的精細(xì)化權(quán)限控制,不同身份可訪問(wèn)的資源不同,授權(quán)粒度可細(xì)化到單個(gè)業(yè)務(wù)系統(tǒng)或網(wǎng)站;解決傳統(tǒng)模式下互聯(lián)網(wǎng)用戶獲取內(nèi)網(wǎng)IP地址后在網(wǎng)絡(luò)內(nèi)非法橫向移動(dòng)、越權(quán)訪問(wèn)的問(wèn)題,防止威脅擴(kuò)散。同時(shí)臨時(shí)身份功能可在保證安全的情況下滿足臨時(shí)操作場(chǎng)景需求,例如臨時(shí)財(cái)務(wù)報(bào)銷、臨時(shí)運(yùn)維訪問(wèn)等場(chǎng)景,限制臨時(shí)身份可訪問(wèn)范圍以及可用時(shí)間段,避免賬號(hào)密碼泄露的安全風(fēng)險(xiǎn)。
可配置靈活的WEB資源發(fā)布策略
通過(guò)平臺(tái)部署實(shí)現(xiàn)校內(nèi)業(yè)務(wù)的IPv6以及HTTPS協(xié)議的快速升級(jí)發(fā)布,同時(shí)提供多種直接訪問(wèn)、認(rèn)證訪問(wèn)、鏡像訪問(wèn)、禁止訪問(wèn)多種策略,可基于業(yè)務(wù)系統(tǒng)對(duì)象、時(shí)間段、IP組進(jìn)行任意策略組合,應(yīng)對(duì)校內(nèi)WEB資源發(fā)布全類型場(chǎng)景。
提供精準(zhǔn)高效的安全防護(hù)功能
系統(tǒng)可進(jìn)行限速防護(hù)、網(wǎng)頁(yè)防篡改、動(dòng)態(tài)黑名單、訪問(wèn)環(huán)境監(jiān)測(cè)等,采用WAF防護(hù)機(jī)制,有效檢測(cè)訪問(wèn)異常行為并攔截;支持微信遠(yuǎn)程控制WEB資源發(fā)布,異常時(shí)一鍵斷網(wǎng);實(shí)時(shí)監(jiān)控資源運(yùn)行狀態(tài),異常告警。
可與多維認(rèn)證系統(tǒng)進(jìn)行對(duì)接,支持多因子認(rèn)證,提高安全系數(shù)
系統(tǒng)可構(gòu)建身份認(rèn)證體系,避免因人員管理不規(guī)范帶來(lái)的安全風(fēng)險(xiǎn);減少因人員身份管理不規(guī)范帶來(lái)的信息安全風(fēng)險(xiǎn)、隱私風(fēng)險(xiǎn)及經(jīng)營(yíng)風(fēng)險(xiǎn);同時(shí)支持對(duì)接外部統(tǒng)一認(rèn)證系統(tǒng),包括LDAP、RADIUS、CAS、OAuth、企業(yè)微信、釘釘、飛書、中國(guó)科技云、個(gè)人微信等;支持對(duì)個(gè)人微信綁定本地賬號(hào)以提升認(rèn)證安全性;支持對(duì)接企業(yè)微信的用戶可以使用微信掃碼登錄;支持提供對(duì)第三方提供接口進(jìn)行認(rèn)證;支持對(duì)外部認(rèn)證系統(tǒng)內(nèi)賬號(hào)進(jìn)行自定義規(guī)則匹配。
提供全量日志精準(zhǔn)溯源,構(gòu)建貼合使用場(chǎng)景的行為審計(jì)模型,進(jìn)一步保障內(nèi)網(wǎng)系統(tǒng)安全
基于全量訪問(wèn)、操作日志數(shù)據(jù),可構(gòu)建完整用戶訪問(wèn)行為模型,可精準(zhǔn)溯源“誰(shuí)”、“什么時(shí)間”、“用什么終端”、“訪問(wèn)了什么業(yè)務(wù)”、“業(yè)務(wù)響應(yīng)結(jié)果”。同時(shí)可基于訪問(wèn)數(shù)據(jù)識(shí)別惡意攻擊并阻斷,防護(hù)業(yè)務(wù)安全?;谌罩緮?shù)據(jù)提供多維度統(tǒng)計(jì)報(bào)表,可大屏展示。
高性能高可靠
采用管理端與工作節(jié)點(diǎn)分離部署架構(gòu),多臺(tái)工作節(jié)點(diǎn)組建高可靠集群,同一集群通過(guò)浮動(dòng)公網(wǎng)IP對(duì)外提供統(tǒng)一服務(wù),集群內(nèi)統(tǒng)一調(diào)度,多節(jié)點(diǎn)Failover模式,支持靈活擴(kuò)展。支持負(fù)載均衡,多集群相互配合實(shí)現(xiàn)最優(yōu)負(fù)載方案。管理服務(wù)器存儲(chǔ)所有配置文件,支持一鍵恢復(fù)配置至新節(jié)點(diǎn)或集群,集群或節(jié)點(diǎn)均可快速擴(kuò)展,避免單點(diǎn)故障保證高可靠。
高性能服務(wù)器,占用內(nèi)存少、穩(wěn)定性高、并發(fā)能力強(qiáng),能夠承載高并發(fā)。同時(shí)采用基于應(yīng)用層的短連接技術(shù),即用即連,無(wú)需保持會(huì)話。