【概要描述】

背景

?

? ? ? 隨著互聯(lián)網(wǎng)時代的快速發(fā)展，APT攻擊、DDoS攻擊等網(wǎng)絡安全問題頻發(fā)。近月來，我司接連收到海陵區(qū)公安局網(wǎng)安部門發(fā)來的網(wǎng)絡安全漏洞通報，在經(jīng)過綜合分析和評估后，決定采用零信任安全解決方案，以此來強化網(wǎng)絡安全隱患排查整改，推動以攻促防，查漏補缺。?

?

?

? ? ? 企業(yè)信息基礎設施當前已經(jīng)逐漸進入一個無邊界化的時代。為了支撐數(shù)字化業(yè)務，企業(yè)需要將業(yè)務和數(shù)據(jù)開放給相關的各種人員、各種設備，以滿足任何時間、任何地點的訪問需求。這必然會迎來一系列的安全威脅與管理難題。

?

? ? ? 云涌零信任安全管理平臺由控制中心、接入網(wǎng)關、云聯(lián)網(wǎng)關及連接器、管理控制臺、認證中心客戶端、認證中心網(wǎng)頁端、SaaS租戶管理平臺等產(chǎn)品模塊組合而成。其中非核心模塊可以根據(jù)客戶實際需求以及網(wǎng)絡環(huán)境進行組裝或拆卸。產(chǎn)品支持入駐式部署及SaaS運營方式。系統(tǒng)確保只有正確的人、使用正確的賬號、通過正確的設備、在正確的時間和地點、借助正確的應用才能訪問正確的服務，同時遵從正確的訪問權限。

?

? ? ? 云涌零信任在企業(yè)傳統(tǒng)的網(wǎng)絡基礎架構之上，構建以身份為中心的，貫穿企業(yè)網(wǎng)絡-應用-資源-數(shù)據(jù)全鏈路、一體化的安全網(wǎng)絡。

?

?

零信任端點安全建設方案

?

? ? ? 首先，優(yōu)先解決外網(wǎng)攻擊的問題，內(nèi)網(wǎng)服務端口不再通過NAT或反向代理暴露到公網(wǎng)，統(tǒng)一采用零信任安全組件進行接入，特點是隱藏服務端口，使服務端口無法被探測和感知到，只能通過零信任客戶端進行單包敲門，認證通過后才能訪問到授權的服務。

?

? ? ? 具體步驟如下：

1）? 匯總公司暴露在外網(wǎng)的所有端口及其對應的服務內(nèi)網(wǎng)地址及端口。

a)????? 使用嗅探工具掃描公司出口IP，獲取所有暴露在公網(wǎng)的服務端口；

b)????? 通過路由器上的NAT配置信息找出公網(wǎng)服務端口對應的內(nèi)網(wǎng)服務地址及端口；

c)????? 每個服務找到對應的責任人，確認服務的訪問控制策略；

2）? 關閉公司所有公網(wǎng)服務端口，服務通過零信任安全組件接入，并配置相應的訪問控制策略。

3）? 零信任客戶端推廣使用。

?

? ? ? 整改后，業(yè)務服務關閉公網(wǎng)訪問入口，員工及合作伙伴通過零信任客戶端，在互聯(lián)網(wǎng)安全的訪問內(nèi)網(wǎng)服務，業(yè)務不受任何影響。同時，零信任安全組件實時監(jiān)控訪問行為，動態(tài)評估訪問主體、訪問客體、訪問路徑、訪問環(huán)境等是否安全，并在識別出風險時及時處置。

?

?

? ? ? 其次，為了解決內(nèi)網(wǎng)安全隱患，根據(jù)業(yè)務類型和部門劃分不同的VLAN，各VLAN之間的通過ACL策略進行合理的訪問控制。同時建立DMZ區(qū)，DMZ區(qū)用來放置必須公開的服務器資源（如企業(yè)Web服務器、文件服務器、論壇等）和零信任網(wǎng)關，外網(wǎng)、DMZ和內(nèi)網(wǎng)之間通過防火墻進行隔離。

?

?

? ? ? 以下為部署零信任安全組件后的網(wǎng)絡拓撲：

?

?

?

總結

?

? ? ? 通過云涌零信任，有效阻擋了外網(wǎng)攻擊，實現(xiàn)了安全漏洞的快速處理。通過對內(nèi)部網(wǎng)絡架構進行適當調整，解決了內(nèi)網(wǎng)的安全隱患。

?

為了更好的進行安全防護。云涌零信任為企業(yè)客戶提供可落地的建設性解決方案，達到整改安全漏洞隱患，完善安全防護措施，優(yōu)化安全策略，有效提升整體網(wǎng)絡安全防護水平的目的。將安全防護能力用到各業(yè)務場景，為企業(yè)的保駕護航。

• 分類： 應用場景
• 作者：
• 來源：
• 發(fā)布時間：2023-10-23
• 訪問量：4107