01
現(xiàn)狀問題
業(yè)務(wù)系統(tǒng)直接發(fā)布至外網(wǎng),存在極高安全風(fēng)險
隨著越來越多的業(yè)務(wù)系統(tǒng)發(fā)布到公網(wǎng)上,網(wǎng)站的安全性也越來越受重視,部分業(yè)務(wù)系統(tǒng)可能長期沒有人維護(hù)更新,最新發(fā)現(xiàn)的漏洞也沒有被及時修復(fù),容易被不法人士利用,造成不良影響。如wannacry勒索病毒,就需要及時關(guān)閉不必要的端口防止病毒的進(jìn)一步傳播。發(fā)布在公網(wǎng)的業(yè)務(wù)系統(tǒng)若沒有及時關(guān)閉端口,則極易遭受攻擊。
傳統(tǒng)VPN賬號及權(quán)限管理不精細(xì),難以防范違規(guī)行為
傳統(tǒng)VPN權(quán)限管理不精細(xì),容易發(fā)生權(quán)限濫用、權(quán)限蔓延、賬號密碼泄露等情況。終端獲得內(nèi)網(wǎng)IP后,就可在外網(wǎng)訪問所有內(nèi)網(wǎng)業(yè)務(wù),管理人員很難發(fā)現(xiàn)終端操作過程中的違規(guī)行為,難以防范下載機(jī)密文件、重要數(shù)據(jù)這些濫用權(quán)限的情況。
傳統(tǒng)VPN缺少完整日志記錄,發(fā)生故障難溯源、難恢復(fù)
傳統(tǒng)VPN缺少完整的日志記錄,當(dāng)系統(tǒng)發(fā)生安全故障時,內(nèi)網(wǎng)訪問操作無日志記錄,外網(wǎng)過VPN只記錄登錄認(rèn)證日志,難溯源且無法復(fù)現(xiàn)問題場景。
02
零信任安全訪問解決方案
針對上述問題,我司提出一套能夠增強(qiáng)業(yè)務(wù)系統(tǒng)訪問安全性的解決方案。所有業(yè)務(wù)通過資源發(fā)布系統(tǒng)進(jìn)行發(fā)布,由資源發(fā)布系統(tǒng)進(jìn)行安全等級的判斷,用戶訪問對防護(hù)等級要求高的業(yè)務(wù)系統(tǒng)時,需要先驗證身份,認(rèn)證通過后經(jīng)由獨(dú)立的訪問通道對業(yè)務(wù)進(jìn)行訪問,確保業(yè)務(wù)安全。
基于身份實現(xiàn)精細(xì)化權(quán)限管理,全程加密傳輸,保障信息安全符合國家政策要求
系統(tǒng)可基于身份及應(yīng)用的精細(xì)化權(quán)限控制,不同身份可訪問的資源不同,授權(quán)粒度可細(xì)化到單個業(yè)務(wù)系統(tǒng)或網(wǎng)站;解決傳統(tǒng)模式下互聯(lián)網(wǎng)用戶獲取內(nèi)網(wǎng)IP地址后在網(wǎng)絡(luò)內(nèi)非法橫向移動、越權(quán)訪問的問題,防止威脅擴(kuò)散。同時臨時身份功能可在保證安全的情況下滿足臨時操作場景需求,例如臨時財務(wù)報銷、臨時運(yùn)維訪問等場景,限制臨時身份可訪問范圍以及可用時間段,避免賬號密碼泄露的安全風(fēng)險。
可配置靈活的WEB資源發(fā)布策略
通過平臺部署實現(xiàn)校內(nèi)業(yè)務(wù)的IPv6以及HTTPS協(xié)議的快速升級發(fā)布,同時提供多種直接訪問、認(rèn)證訪問、鏡像訪問、禁止訪問多種策略,可基于業(yè)務(wù)系統(tǒng)對象、時間段、IP組進(jìn)行任意策略組合,應(yīng)對校內(nèi)WEB資源發(fā)布全類型場景。
提供精準(zhǔn)高效的安全防護(hù)功能
系統(tǒng)可進(jìn)行限速防護(hù)、網(wǎng)頁防篡改、動態(tài)黑名單、訪問環(huán)境監(jiān)測等,采用WAF防護(hù)機(jī)制,有效檢測訪問異常行為并攔截;支持微信遠(yuǎn)程控制WEB資源發(fā)布,異常時一鍵斷網(wǎng);實時監(jiān)控資源運(yùn)行狀態(tài),異常告警。
可與多維認(rèn)證系統(tǒng)進(jìn)行對接,支持多因子認(rèn)證,提高安全系數(shù)
系統(tǒng)可構(gòu)建身份認(rèn)證體系,避免因人員管理不規(guī)范帶來的安全風(fēng)險;減少因人員身份管理不規(guī)范帶來的信息安全風(fēng)險、隱私風(fēng)險及經(jīng)營風(fēng)險;同時支持對接外部統(tǒng)一認(rèn)證系統(tǒng),包括LDAP、RADIUS、CAS、OAuth、企業(yè)微信、釘釘、飛書、中國科技云、個人微信等;支持對個人微信綁定本地賬號以提升認(rèn)證安全性;支持對接企業(yè)微信的用戶可以使用微信掃碼登錄;支持提供對第三方提供接口進(jìn)行認(rèn)證;支持對外部認(rèn)證系統(tǒng)內(nèi)賬號進(jìn)行自定義規(guī)則匹配。
提供全量日志精準(zhǔn)溯源,構(gòu)建貼合使用場景的行為審計模型,進(jìn)一步保障內(nèi)網(wǎng)系統(tǒng)安全
基于全量訪問、操作日志數(shù)據(jù),可構(gòu)建完整用戶訪問行為模型,可精準(zhǔn)溯源“誰”、“什么時間”、“用什么終端”、“訪問了什么業(yè)務(wù)”、“業(yè)務(wù)響應(yīng)結(jié)果”。同時可基于訪問數(shù)據(jù)識別惡意攻擊并阻斷,防護(hù)業(yè)務(wù)安全。基于日志數(shù)據(jù)提供多維度統(tǒng)計報表,可大屏展示。
高性能高可靠
采用管理端與工作節(jié)點分離部署架構(gòu),多臺工作節(jié)點組建高可靠集群,同一集群通過浮動公網(wǎng)IP對外提供統(tǒng)一服務(wù),集群內(nèi)統(tǒng)一調(diào)度,多節(jié)點Failover模式,支持靈活擴(kuò)展。支持負(fù)載均衡,多集群相互配合實現(xiàn)最優(yōu)負(fù)載方案。管理服務(wù)器存儲所有配置文件,支持一鍵恢復(fù)配置至新節(jié)點或集群,集群或節(jié)點均可快速擴(kuò)展,避免單點故障保證高可靠。
高性能服務(wù)器,占用內(nèi)存少、穩(wěn)定性高、并發(fā)能力強(qiáng),能夠承載高并發(fā)。同時采用基于應(yīng)用層的短連接技術(shù),即用即連,無需保持會話。