行業(yè)實踐案例
一、案例背景
隨著云計算、大數據、物聯(lián)網、SDN等新技術的快速應用,信息化的高速發(fā)展使得業(yè)務規(guī)模不斷擴大,分支站點數量不斷增加。傳統(tǒng)運維方式受地理位置和IT資源限制,無法做到實時監(jiān)測到各個分支設備的運行狀態(tài),無法掌握設備系統(tǒng)資源變化趨勢。當設備故障發(fā)生時,運維服務人員不能第一時間得到故障信息、設備狀態(tài)、設備的歷史記錄等,無法做出有效的應對和處理,只能到現場后才能診斷。這樣導致故障的修復時間長、運維效率低、影響信息系統(tǒng)的正常運行。
同時隨著運維精細化要求的日益提升,部署場景復雜化,導致用戶對數據分析的要求也越來越高,借助海量的日志數據,提前定位和預知各類安全威脅,從而進行趨勢預測、數據分析和多維度評估,為運維決策提供有力依據。各行各業(yè)信息化建設不斷深入和完善,良好的運維體系成為了信息化系統(tǒng)健康有序運營的必要支撐,因此建立運維故障智能分析模型,實現快速定位分析和遠程故障排查能力,保障業(yè)務高可用性,構建新型智能化運維管理體系,成為信息化建設不可分割的部分。
二、案例概述
通過對信息化建設和運維管理現狀的調研和深入分析后,了解到目前客戶IT運維發(fā)展的現狀及面臨的風險挑戰(zhàn)如下:
1.各分支機構和總部之間雖有專線形成了一個局域網用于業(yè)務的訪問和通信加密傳輸安全保障,各業(yè)務都在一個局域網里面,未做到業(yè)務與業(yè)務之間的隔離,還是存在業(yè)務交叉泄露的風險。
2.各分支機構對接入網絡的設備、資產、終端未進行實名的身份安全,存在身份被冒用的風險,對于訪問的業(yè)務也無法做到基于身份的細粒度授權,從而導致資源訪問混亂和信息泄密的風險。
3.分支機構不斷增加,組網規(guī)模不斷擴大,缺少一套針對組網設備的統(tǒng)一監(jiān)控系統(tǒng),及時了解邊界網關硬件設備的運行趨勢,快速故障定位,高效處理故障的解決方案;
4.業(yè)務服務的規(guī)模增大,規(guī)劃、維護、安全、管理等分工更加細致,缺乏對業(yè)務系統(tǒng)健康狀況和運行安全的監(jiān)測,及時了解邊界網關硬件設備的運行趨勢,快速故障定位,高效處置故障、全網可視化的安全態(tài)勢感知和深層次的安全風險分析。
5.缺少終端管控手段,對于所有接入業(yè)務網絡的科研、生產和管理用的計算機都處于受控狀態(tài),不受管理的計算機不能連入到內網,對于接入內網的計算機的操作都需要進行管控和審計,避免數據泄露。
6.邊界網關設備部署量不斷增多,管理流程日益復雜,管理成本不斷上升,缺乏能夠真實反映設備和業(yè)務運行情況與運行質量的統(tǒng)計分析報表,無法為運維、擴容調優(yōu)提供有效的數據支撐。
三、安全技術應用情況
智行零信任安全解決方案
整個安全體系建設方案分為網絡隔離、訪問控制、終端控制三個部分。具體如下:
1.專線內的隔離采用SD-WAN部署方案
利用SD-WAN的技術在現有的專線內網里面組件一個或者多個隔離的業(yè)務專網,用于分割不同的業(yè)務避免業(yè)務交叉,保障各業(yè)務網絡的獨立性和安全性。
在總部中心部署SD-WAN智能管理平臺,納管總部及分支機構Edge智能網關設備,實現整網的統(tǒng)一編排、實時監(jiān)控,達成網絡整體運營的歸一化??偛拷尤胛恢貌渴鸶咝阅蹺dge網關,來對分支機構的上聯(lián)數據流量進行整合調度。各分支機構上聯(lián)位置部署Edge網關,對相關業(yè)務數據進行分類、檢測、加固、調度。根據各項目工作組的業(yè)務需求和組網要求,由智能管理平臺統(tǒng)一模板化下發(fā)篩選調度策略,實現業(yè)務工作組內的虛擬專網組建,達到工作組內高效互聯(lián)、工作組外隔離和訪問受控的網絡要求。
2.專網內的終端接入訪問控制安全部署方案
采用零信任安全理念對每個接入隔離業(yè)務專網的計算機終端進行全面的身份認證和動態(tài)訪問控制授權,保障只有被許可的人員訪問被授權的業(yè)務資源。在SD-WAN形成的業(yè)務專網里部署一臺零信任安全網關和零信任安全大腦,作為所有專網內用戶的身份認證及訪問業(yè)務系統(tǒng)的代理,訪問控制和授權所有訪問業(yè)務系統(tǒng)的終端必須安裝零信任安全瀏覽器或者客戶端,零信任安全大腦對所有訪問業(yè)務系統(tǒng)的瀏覽器和客戶端進行身份認證和授權,未安裝客戶端的用戶無法看到和訪問業(yè)務系統(tǒng)。
3.專網內的終端安全管控與零信任相結合部署方案
采用終端管控技術對用戶的訪問行為進行進一步的規(guī)范和控制,對于涉密的結構化數據和非結構化數據進行管控和審計,防止數據泄密。終端管理與零信任相結合,為訪問控制決策提供更加豐富的數據源支撐?;诹阈湃伟踩砟睿陨矸莨芸睾蛣討B(tài)授權確保業(yè)務訪問安全,以準入控制和介質管控確保終端接入安全。
四、客戶反饋效果
安全風險降低情況及使用效果情況
建設統(tǒng)一身份管理系統(tǒng)。實現職工在入職、升職、轉崗、調動、離職等場景下信息系統(tǒng)賬號的全生命周期管理,建立無縫的用戶身份管理體系;完善安全認證系統(tǒng),為應用系統(tǒng)提供統(tǒng)一的靜態(tài)口令、短信驗證碼、動態(tài)令牌等認證方式,并預留未來指紋、虹膜、人臉等生物識別認證手段的接入準備;集成本單位主要信息系統(tǒng),將本單位主要信息系統(tǒng)接入至統(tǒng)一身份認證管理系統(tǒng)平臺,充分利用平臺作為身份安全基礎設施提供的身份管理統(tǒng)一認證能力,同時支持對接上級單位信息系統(tǒng)。
以身份為中心,通過應用層業(yè)務代理縮小各個業(yè)務系統(tǒng)的暴露面,統(tǒng)一用戶對業(yè)務系統(tǒng)的訪問入口,根據用戶身份按需開放業(yè)務入口,同時基于零信任安全理念,遵循以下三個原則:
網絡無特權化原則:不靠網絡位置建立信任關系,所有用戶、設備和訪問都應該被認證、授權和加密;
信任最小化原則:在網絡層面,用戶只能“看見”和“接觸”到他所需要的訪問的業(yè)務系統(tǒng),獲得最小權限;
權限動態(tài)化原則:訪問控制策略應該是動態(tài)的,應基于盡量多的數據源進行計算和評估。
提升零信任訪問控制中心能力,建設零信任安全大腦,將網絡安全基礎設施納入分析數據源,針對訪問主體和訪問客體進行持續(xù)的信任評估,實現動態(tài)的訪問控制。
基于現有Internet、MPLS、LTE等任意鏈路,采用Overlay技術部署SD-WAN,針對各業(yè)務搭建業(yè)務專網,各業(yè)務專網之間進行隔離,以保障業(yè)務自身網絡的獨立性和安全性。
通過平臺化的智能管理,納管總部及分支機構的接入網關設備,實現整網的統(tǒng)一編排、實時監(jiān)控,達成網絡整體運營的歸一化。
終端安全管理系統(tǒng)與環(huán)境安全監(jiān)測中心實現聯(lián)動,將現有能力結合終端進程、終端用戶行為納入基線管控,并能有效支撐訪問控制策略決策。
在端側集成網絡準入控制、存儲介質管控、文檔不落地、文件外發(fā)管控等功能,強化數據安全防護能力。
態(tài)勢感知與安全運營平臺和網絡安全監(jiān)測分析中心實現聯(lián)動,通過EDR、結合用戶訪問行為全面提升現有資產及流量的威脅感知能力,同時有效支撐訪問控制策略決策,及時避免威脅向用戶側反向或資產側橫向擴散。
基于零信任安全理念打造的一整套全新的、符合中心化管理、即插即用、靈活擴展的IT運維管理與安全審計解決方案,構建總分型機構內部IT運維服務支撐環(huán)境的同時,充分滿足IT運維管理過程中對運維安全、服務成本和服務質量的訴求,搭建精簡、高效、安全的IT運維管理體系,幫助IT運維管理人員全面應對各類運維資源及運維事件,同時進行集中賬號管理、精細化的權限管理和過程審計,提升風險控制水平,同時保障內部數據和信息的安全。在遠程IT服務方面,保障IT技術人員、合作伙伴以及第三方運維服務團隊可以在任何時間、地點和設備上安全完成IT的運維管理工作,并能實現高效的線上和線下、以及線上和線上全方位的協(xié)同工作。