根據相關調查顯示,不少企業(yè)客戶的傳統(tǒng)邊界防護在應對新技術新業(yè)務場景時面臨安全困局,為了有效應對新業(yè)務模式下的網絡安全挑戰(zhàn),白山云深耕亟需零信任解決應用場景,力求創(chuàng)新零信任解決方案,為客戶重塑安全邊界。
基于云原生架構的優(yōu)勢,我們建議客戶分批次將應用接入零信任訪問架構,首批選取業(yè)務影響面較小,且日常使用頻率相對較高的自研應用,以此檢驗已有IT架構與零信任的適配性及契合度,并盡可能暴露出暗藏的實施挑戰(zhàn)。
客戶提出了三個亟需零信任解決的應用場景:
應用場景A:遠程安全訪問內網應用
原先情況:內網中的應用,只允許在公司內部網絡中訪問,其他網絡不允許訪問,難以快速應對遠程辦公場景。
期望效果:希望通過零信任方案實現(xiàn)全網安全訪問內部應用。
應用場景B:公網應用收斂至內網
原先情況:為方便開展業(yè)務,將部分應用置于公網中提供訪問,容易成為網絡攻擊的目標。
期望效果:希望通過零信任將應用收斂到內網,縮小暴露面,同時需支持互聯(lián)網訪問。
應用場景C:加強“孤島應用”的身份安全性與管理效率
原先情況:部分應用未對接SSO,僅依賴賬密認證,安全系數不高,且無法與其他應用統(tǒng)一身份體系,形成賬戶信息孤島現(xiàn)象。
期望效果:希望通過零信任進行統(tǒng)一的身份管理,消除賬戶信息孤島,疊加多因素認證,提升訪問安全性。
同時,在與客戶IT管理者的交流中,我們了解到客戶傾向使用零信任方案的主觀原因:
SSL VPN經常爆出漏洞,感覺不安心。
基于VPN的訪問穩(wěn)定性較差,時常會出現(xiàn)卡頓、延時。
員工增減頻繁,VPN的擴展性較差。
基于云實現(xiàn)的零信任方案存在諸多好處,云能夠提供加速、彈性擴容、自動容災等特性,優(yōu)化了硬件VPN性能瓶頸的問題;而零信任能實現(xiàn)應用隱身,將暴露面縮小至零,相比VPN方案又增強了安全性。
我們?yōu)榭蛻羰着鷳弥贫ǖ慕尤敕桨笧椋?/p>
壞人的攻擊流程:
0. 難以獲取IP/端口信息,丟失攻擊目標。
合法用戶訪問流程:
1.客戶員工無感知,仍然訪問原應用的URL地址;
2. 白山云CDN接收到訪問請求,校驗是否存在身份信息,若無,則重定向至白山云零信任IAM進行統(tǒng)一身份認證;
2.1. 白山云零信任IAM 提交驗證信息至 客戶自有SSO身份認證系統(tǒng) 進行校驗,確保客戶身份認證憑證無需外泄【實現(xiàn)場景C需求】;
3. 身份驗證通過后,白山云CDN將合法訪問請求轉發(fā)至白山云零信任邊緣;
3.1. 白山云連接器主動發(fā)起并保持與白山云零信任邊緣的訪問隧道(內向外),防火墻側可配置“deny all”策略,實現(xiàn)應用“零”暴露面【實現(xiàn)場景B需求】;
4. 白山云連接器將合法訪問請求轉發(fā)至目標應用A/B/C【實現(xiàn)場景A需求】。
面對企業(yè)客戶的全新需求,白山云深耕零信任領域帶來了全新的解決方案。白山云提升應對數字化時代安全挑戰(zhàn)的能力,為更多企業(yè)客戶的數字化轉型更好地保駕護航。
(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )