【轉摘】CSA案例集11 | 360 零信任架構的業務訪問安全案例
一、方案背景
某公司是國家高新技術企業,主要從事復合材料與環保建材的研制、開發、生產、銷售等,產品廣泛用于房地產開發、舊城改造、民用建筑、工業廠房建設、室內外裝修、城市公用配套設施等領域。秉承”善用資源,服務建設”的理念,堅持科學發展、和諧建設,經過十多年的發展歷程,在國內外擁有多家合資合作公司,享有自營進出口權,是中國民用復合材料行業的領軍企業。
隨著該企業的數字化轉型,同時業務也開始擴展到國內多個城市,分支機構對業務的訪問和安全需求隨之而來。同時,疫情導致的遠程辦公常態化,諸多內部員工采用遠程訪問的方式進行業務操作。
在此背景下,給該企業安全帶來了雙重挑戰:
挑戰 1:業務和數據的訪問者超出了企業的傳統邊界。分支機構散布全國, 網絡、人員、設備都無法精確識別與控制。
挑戰 2:企業的業務和數據也超出了企業的認知邊界。數據流向安全管理人員無法控制的范圍。
二、方案概述和應用場景
以360連接云軟件定義邊界系統為核心,基于零信任架構,遵循零信任核心理念。包含環境感知、可信控制器、可信代理網關三大組件,具備以身份為基礎、最小權限訪問、業務隱藏、終端檢測評估、動態授權控制等幾大核心能力。實現企業終端統一管理、用戶統一管理、應用統一管理、策略統一管理、數據統一管理、安全統一管理。
圖片
圖1
三、優勢特點和應用價值
1.方案效果
1)企業用戶終端只能通過360安全瀏覽器進行身份認證,滿足企業“輕辦公”入口需求;
2)瀏覽器攜帶用戶身份通過可信網關進行認證并建立國密數據通道;
3)可信網關根據用戶權限鑒別開放其身份可見的業務系統;
4)用戶瀏覽業務系統文件時實現了防復制、防截屏、防打印、防下載等數據安全能力;
2.方案價值
1)安全
| 端口隱藏,減少攻擊暴露面;
| 國密數據通道加持,安全可靠;
| 數據不落地有效防止人為泄露;
2)高效
| 全面支持 SSO 單點登錄,無需反復認證;
| 不改變用戶使用習慣,打破無形的技術門檻;
| 統一用戶訪問入口,規范用戶訪問行為;
四、經驗總結
零信任的環境感知持續評估對后期運維帶來挑戰:客戶原有VPN用戶認證成功后后續再無安全動作,零信任強調的持續感知會要求對訪問終端的環境進行持續的評估,發現安全風險后可動態對訪問進行干預,這導致剛開始推廣時,運維管理員接到不少用戶咨詢訪問被干預的原因。建議在落地前整理對應問題解決FAQ,并通過企業內部統一IT工作流進行問題上報/跟蹤/處理整體流程。
以上案例由CSA全球會員單位360提供
