工程案例

零信任网关 如何保障数据安全?零信任安全网关必不可少

小编 2024-11-24 工程案例 23 3

如何保障数据安全?零信任安全网关必不可少

2020年,疫情催生的远程办公需求让零信任之风再起,随着企业和个人越来越多地将数据资产存放在云端,网络安全威胁也变得更加棘手。

目前,许多安全厂商都已经推出零信任安全解决方案。美亚柏科全资子公司美亚网安结合在大数据行业深耕多年的行业经验,基于零信任的安全防护理念,推出“天盾”零信任产品,致力于为政企用户提供信息系统数据安全保护整体解决方案。

在所有的零信任架构中,最中心的部分都是“安全网关”。安全网关是零信任理念的执行者,通常部署在政企应用服务的前端。通过安全网关串联,能够隐藏政企服务内部资源,提供政企应用服务的对外统一入口及状态实时监测,避免内外网政企用户的不安全访问,保障数据安全。

基于零信任架构,美亚柏科目前已推出ZT-2000可信检控安全网关并部署试用,该产品通过建立统一的访问入口,对所有请求进行强制认证与鉴权,实现应用及数据的可信安全访问。

功能特点

01、统一入口:实现应用数据服务的接入统一,用户请求的访问入口统一,并提供统一的身份核查认证。

02、动态控制:结合零信任中心,实现应用API级的用户鉴权,支持按照动态策略对请求的流量限制、自动熔断、禁止访问。

03、流量检控:支持对SSL/TLS加密流量卸载能力,提供请求响应报文的检查与控制。

04、审计管理:支持可视化的状态监控,直观展示或操作各个服务,并提供详细的操作日志和访问日志的审计功能。

那么,零信任体系下的ZT-2000可信检控安全网关到底是如何发挥作用,保护用户网络安全的呢?

流程描述

APP应用、web应用以及远程应用等所有访问请求通过TLS加密通道接入可信检控安全网关。

可信检控安全网关与零信任体系“六中心”进行身份认证及权限鉴定,根据鉴权结果判断是否允许用户访问政企应用服务。

零信任“六中心”根据持续的身份鉴权及环境感知结果,动态生成安全策略并下发至可信检控安全网关。

可信检控安全网关作为访问政企应用服务的咽喉,确保用户访问安全可信。

总体来说,通过安全网关建设能够有效加强应用管控能力,但要实现零信任的最大化执行,还需从主机、网络、应用多个层面进行建设并有效串联。构建新一代网络空间应用安全的防护体系,走向新一代政企信息安全,美亚柏科将与您共同努力。

看!三大运营商和零信任的碰撞

网络安全形势日益严峻,作为基础电信业务经营单位的电信运营商面临着越来越大的压力。运营商依靠传统的访问控制、接入控制等系统构建了网络安全基础接入防护能力,但面对日益复杂的网络安全挑战,传统的解决方案已无法解决运营商面临的接入与防护挑战,如何保障业务安全也成了运营商长期思考的问题。

三大运营商其内部系统类型可大致分为办公类系统 (如OA、邮件等)、生产类系统 (如业务受理、CRM等)和运维类系统 (如工单系统、网元运维管理等)三大类;在系统的访问接入上,分为互联网接入和DCN网接入两种途径;访问用户涵盖内部办公人员、网管运维人员、坐席、第三方驻场人员等多种角色;访问终端涉及多种终端类型和操作系统。各种不同角色的用户、不同访问途径、不同的业务系统、不同类型的终端交织下,安全接入与防护成为运营商安全建设的主要难题:

系统暴露面大

一方面通过互联网接入的业务较多,存在被恶意扫描、漏洞试探攻击、弱密码爆破等入侵风险。

另一方面通过运营商DCN网为接入途径的应用系统包含大量内部敏感数据(B域、O域、M域等),直接暴露在所有内网甚至外网用户面前,增大了攻击面与数据暴露面,一旦遭到攻击后果将难以估量。

终端安全问题突出

如前文所述,用户终端通过互联网接入访问内部系统时,面向的用户角色复杂,涉及业务系统同样复杂多样,加之终端本身安全状态不可控,极易成为攻击对象,进而威胁内部网络。

访问权限管理困难

用户角色多样,数据中心逐渐增多、多云多数据中心接入成为常态,如何在多角色、多云多数据中心环境下实现统一的权限管理成为运营商信息化建设的又一挑战。

随着高级威胁不断加剧,权限管理必须要融入到业务的动态访问过程中,即能够对异常访问行为实现自动化、精细化的动态权限控制,以应对非法接入访问的风险,解决账号共享问题带来的数据安全隐患,实现对弱口令的有效检测与处置。

综上,摆在运营商面前的最大问题是如何保障业务安全接入与防护。

零信任架构为何受到运营商行业的青睐?

此时,以“从不信任、总是验证” 为理念的零信任受到了运营商的关注。

聚焦到运营商行业中来看,部署零信任架构可以实现泛终端统一安全接入防护体系的建立,通过SDP(软件定义边界)方式实现“云改数转”后PC、移动端等统一安全接入需求,同时大幅缩减系统暴露面、助力纵深防御与数据安全,补足安全建设短板,实现对灰度流量的处置能力,满足重要时期网络安全保障需求。

同时,零信任架构更符合运营商多云同时接入的需求,满足云化趋势,实现多云环境下大并发用户的就近接入。

从三大典型案例看运营商行业如何落地零信任

某运营商集团多数据中心统一安全接入建设

某运营商集团,基于全国各省 B 域系统的业务上与集约化建设需求,增加了大量安全访问需求,因此需要对访问人员进行统一安全管控。

针对具体问题,该运营商集团采用深信服零信任解决方案,通过在多云环境分布式部署零信任访问控制系统aTrust,对B域系统进行安全发布,有效收缩系统暴露面,实现用户的统一安全接入管控,同时以弹性扩容机制打破资源瓶颈实现高并发、解决多数据中心跨域部署的统一安全管控问题,全面提升系统访问安全性,最终为集团数万人提供满足1.5万并发接入的安全防护。

某省级运营商终端统一安全接入建设

某省级运营商在信息化建设中投入上线了数百个办公及业务系统,并在移动端构建了以门户APP为主,集成众多业务APP的移动办公平台,日常承载上万员工的日常办公和运维业务,业务暴露风险、终端安全风险成为主要威胁。

为有效收缩业务暴露面,该运营商采用深信服零信任解决方案,通过基于零信任的全终端安全沙箱技术为移动终端和传统PC终端构建统一的终端安全能力,隐藏业务暴露面,实现全省3W多终端的统一安全接入,满足攻防演练/重保期间的安全保障,对访问行为有效溯源,定位攻击行为。

某省级运营商运维系统权限安全建设

某省级运营商涵盖网管系统、办公系统、业务后台管理系统等200个网络及应用运维系统,6000余名运维人员,有大量的业务系统需要通过内网和外网访问,权限管理成为最大问题。

为实现用户访问的权限最小化管理,该运营商采用深信服零信任方案,将运维系统隐藏在零信任网关之后,对接现网4A系统,实现访问流量的身份化,结合终端环境和访问行为实现访问权限的动态访问控制。

为什么各大运营商在零信任落地中选择深信服?

作为国内率先探索零信任应用的企业之一,深信服基于十几年来SSL VPN市场领导者地位,对业务接入访问场景有非常深刻的认识和积累,同时基于深信服自身安全产品体系带来的安全实践经验和安全能力,提出了“以身份为中心,可信访问、智能权限、极简运维”的零信任架构理念。

基于该理念,深信服推出了基于SDP架构的零信任访问控制系统aTrust产品及解决方案 ,通过新一代网络隐身、动态自适应认证、全周期终端环境检测、动态业务准入、动态访问控制、多源信任评估等核心能力,帮助运营商实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构转型。

深信服零信任整体架构

据深信服零信任产品线总经理郭炳梁介绍,深信服以自身安全为底层设计和开发要素,全新推出零信任安全架构方案,其核心组件也被命名为aTrust。除了业务安全防护能力外,在自身安全上,也经过内外部重重把关验证,仅以运营商行业为例,就在多个用户处经历过多轮实际的深度攻防渗透验证。对业务安全和自身安全的深刻理解,也是深信服零信任能得到运营商客户认可的其中一个关键因素。

也正是基于对安全和业务的双方面的深刻理解和实践, 深信服零信任目前已在多家运营商中成功落地。

目前,深信服零信任已在金融、运营商、互联网企业、大型制造业、教育、政府科研、企事业单位等各行各业落地实施,其轻量级、易落地、可持续成长的优势已被越来越多的用户认可。

相关问答

阿里云-上云就上阿里云-触屏版

230万用户正享用阿里云提供的云服务器、云数据库、云存储、CDN、大数据等服务,7x24售后支持,故障100倍赔偿,快速备案,5天无理由退款。

求帮助!零信任安全有哪些功能?

[回答]零信任安全是一套安全机制,现在新出的一些网关,防火墙,安全运维管理系统是符合这种机制的,零信任建立了一个边界,通过强身份验证技术保护数据。一...

ALG是什么意思?

ApplicationLayerGatewayService简称“ALG”(也叫应用层防火墙或应用层代理防火墙),其进程名是alg.exe,应用层网关通常被描述为第三代防火墙。当受信任网...

苹果alg是什么

应用层网关苹果alg一般是指应用层网关(ApplicationLevelGateway)。简称“ALG”(也叫应用层防火墙或应用层代理防火墙),ApplicationLayerGatew...

关于防火墙安全网关的设置?

网关是一种抽象的概念,网关可以使三层交换机,也可以是路由器,也可以是防火墙,连服务器都可以完成网关工作。网关就是知道如何去往不同ip网段一种设备,抽象...

诸位老表有人知道不!专业工业网关企业,工业网关性价比怎么样??

[回答]是专业的工业网络解决方案服务商。自2009年创立以来,我们专注于工业通讯网络产品的研发与制造,为客户提供适应于各种严苛环境下的以太网通讯、无线...

实现纵向加密认证功能的设备有哪些?

8.终端安全解决方案:如多因素身份验证、防病毒软件等,确保用户设备和数据的安全性。9.零信任网络访问(ZTN):一种安全框架,要求对每次网络访问进行身份验证...

tor浏览器怎么设置网络?

Tor浏览器默认使用Tor网络来保护用户的隐私和匿名性,无需额外设置。如果您需要修改Tor浏览器的网络设置,则需要在浏览器中打开“首选项”菜单,在“高级”选项...

汽车网关的作用是什么_车坛

汽车网关的主要作用是在网络和ECU之间提供安全的无缝通信,包括在车辆的许多内部网络和外界的外部网络之间架起一座桥梁。要确保ECU获得正确操作车辆...

安全网关和防火墙有哪些区别?-一起装修网

一起装修网问答平台为您提供安全网关和防火墙有哪些区别?的相关答案,并为您推荐了关于安全网关和防火墙有哪些区别?的相关问题,一起装修网问答平台:装修问题...

猜你喜欢