金融行業(yè)數(shù)字化轉(zhuǎn)型和近年來(lái)全球疫情,讓移動(dòng)辦公、遠(yuǎn)程辦公成了常態(tài)化需求,在不同人員運(yùn)用不同設(shè)備在不同地點(diǎn)混合辦公的場(chǎng)景下,如何保障企業(yè)業(yè)務(wù)系統(tǒng)訪問(wèn)的安全性和流暢度,實(shí)現(xiàn)企業(yè)內(nèi)部敏感數(shù)據(jù)落地閉環(huán)管理?
當(dāng)前,某股份制商業(yè)銀行使用的SSL VPN系統(tǒng)已進(jìn)入軟件生命末期,且不支持國(guó)密改造,對(duì)國(guó)產(chǎn)桌面操作系統(tǒng)不適配。
其次,產(chǎn)品整體安全性低。SSL VPN網(wǎng)關(guān)對(duì)外暴露訪問(wèn)入口,非管控設(shè)備和行外人員均可訪問(wèn),存在被外部探測(cè)攻擊風(fēng)險(xiǎn);VPN代理終端全流量,設(shè)備一旦入網(wǎng),惡意軟件即可對(duì)網(wǎng)內(nèi)系統(tǒng)進(jìn)行內(nèi)網(wǎng)掃描、探測(cè)、攻擊等;VPN客戶端無(wú)法對(duì)終端環(huán)境進(jìn)行動(dòng)態(tài)檢測(cè),對(duì)終端數(shù)據(jù)無(wú)防護(hù)能力。
用戶體驗(yàn)欠佳。SSL VPN賬號(hào)結(jié)合密碼及短信驗(yàn)證碼的身份認(rèn)證流程顯得繁瑣復(fù)雜;其次,內(nèi)外網(wǎng)的接入認(rèn)證管理方式不統(tǒng)一,增加管理復(fù)雜度;更令人困擾的是,由于行內(nèi)應(yīng)用眾多,卻缺乏一個(gè)統(tǒng)一的訪問(wèn)入口,導(dǎo)致用戶在訪問(wèn)多個(gè)系統(tǒng)時(shí)需要反復(fù)登錄不同賬號(hào),極為不便;加之VPN系統(tǒng)時(shí)常出現(xiàn)異常掉線的情況,嚴(yán)重影響了用戶的辦公效率和體驗(yàn)。
系統(tǒng)運(yùn)維復(fù)雜。VPN一體機(jī)形態(tài),多套設(shè)備疊加部署在不同數(shù)據(jù)中心入口,無(wú)法構(gòu)建統(tǒng)一接入平臺(tái)對(duì)所有VPN設(shè)備進(jìn)行統(tǒng)一管理;終端多客戶端運(yùn)行,占用過(guò)多設(shè)備性能,軟件沖突問(wèn)題增加運(yùn)維壓力。
該銀行亟需新的網(wǎng)絡(luò)安全模型應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境和混合辦公需求,實(shí)現(xiàn)內(nèi)外網(wǎng)一致的安全與體驗(yàn),保障安全合規(guī),保護(hù)敏感數(shù)據(jù),助力業(yè)務(wù)發(fā)展。為有效解決問(wèn)題,該行采用了聯(lián)軟全網(wǎng)零信任解決方案,以“永不信任,始終驗(yàn)證”為核心,構(gòu)建了全新的網(wǎng)絡(luò)安全架構(gòu)。方案融合了SDP軟件定義邊界、EPP端點(diǎn)安全和數(shù)據(jù)安全等功能,通過(guò)一體化客戶端,實(shí)現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用的統(tǒng)一接入和訪問(wèn)。
▲該銀行全網(wǎng)零信任系統(tǒng)部署架構(gòu)
1智能化認(rèn)證,內(nèi)外網(wǎng)無(wú)縫切換接入
該方案的一大亮點(diǎn)在于其自動(dòng)感知位置觸發(fā)認(rèn)證流程的機(jī)制。當(dāng)用戶發(fā)起接入請(qǐng)求時(shí),一體化客戶端自動(dòng)判斷終端所處環(huán)境,在行內(nèi)則發(fā)起802.1x接入認(rèn)證,在行外則發(fā)起SDP接入認(rèn)證。認(rèn)證流程結(jié)合終端安全檢查,實(shí)現(xiàn)信任等級(jí)評(píng)估,獲取網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用動(dòng)態(tài)訪問(wèn)權(quán)限。這種智能化的認(rèn)證方式,讓員工無(wú)需手動(dòng)切換網(wǎng)絡(luò)環(huán)境,實(shí)現(xiàn)了內(nèi)外網(wǎng)的無(wú)縫銜接,極大提升了混合辦公場(chǎng)景下的業(yè)務(wù)效率。該行全網(wǎng)零信任方案采用多重安全技術(shù),例如終端環(huán)境感知、細(xì)粒度訪問(wèn)控制、動(dòng)態(tài)授權(quán)、SPA單包認(rèn)證、終端防泄密和數(shù)字水印等,全方位保障網(wǎng)絡(luò)和數(shù)據(jù)安全。SPA單包認(rèn)證技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)及資源的“真隱身”,最大程度減少企業(yè)網(wǎng)絡(luò)暴露面。應(yīng)用級(jí)的安全加密傳輸隧道,國(guó)密算法加密,確保數(shù)據(jù)傳輸過(guò)程中的安全。持續(xù)的環(huán)境感知和動(dòng)態(tài)授權(quán)機(jī)制,確保只有符合安全策略的設(shè)備和用戶才能訪問(wèn)企業(yè)資源。安全沙箱、終端DLP數(shù)據(jù)防泄露、通道審計(jì)管控和水印等技術(shù),則為企業(yè)數(shù)據(jù)提供了全生命周期安全防護(hù)。3提升用戶體驗(yàn),簡(jiǎn)化運(yùn)維管理新的零信任安全體系不僅提升了安全性,也顯著改善了用戶體驗(yàn)。統(tǒng)一的訪問(wèn)入口和簡(jiǎn)化的認(rèn)證流程,讓員工告別繁瑣的登錄操作。同時(shí),系統(tǒng)還提供了行內(nèi)掃碼和短信兩種便捷的認(rèn)證方式,進(jìn)一步提升了用戶體驗(yàn)。此外,該方案還簡(jiǎn)化了運(yùn)維管理,策略統(tǒng)一配置下發(fā),大大降低了IT部門的運(yùn)維壓力。
▲項(xiàng)目建設(shè)完成后,整體接入效果圖
方案從可信身份、可信終端、可信接入、可信應(yīng)用、可信數(shù)據(jù)等多方面實(shí)現(xiàn)全網(wǎng)零信任體系的落地。項(xiàng)目建設(shè)完成后,達(dá)成了無(wú)邊界管理、零暴露面、應(yīng)用隧道加密、多因素認(rèn)證、終端環(huán)境感知、數(shù)據(jù)保護(hù)、精細(xì)化權(quán)限管理等多重安全目標(biāo)以及對(duì)傳統(tǒng)設(shè)備和信創(chuàng)設(shè)備的統(tǒng)一管理,有效提升了銀行辦公效率和安全性,為銀行的數(shù)字化轉(zhuǎn)型提供了堅(jiān)實(shí)的安全保障。
