cases
應用場景
零信任安全組件在企業網絡安全漏洞治理中的應用
- 分類: 應用場景
- 作者:
- 來源:
- 發布時間:2023-10-23
- 訪問量:4356
零信任安全組件在企業網絡安全漏洞治理中的應用
【概要描述】
背景
?
? ? ? 隨著互聯網時代的快速發展,APT攻擊、DDoS攻擊等網絡安全問題頻發。近月來,我司接連收到海陵區公安局網安部門發來的網絡安全漏洞通報,在經過綜合分析和評估后,決定采用零信任安全解決方案,以此來強化網絡安全隱患排查整改,推動以攻促防,查漏補缺。?
?
?
? ? ? 企業信息基礎設施當前已經逐漸進入一個無邊界化的時代。為了支撐數字化業務,企業需要將業務和數據開放給相關的各種人員、各種設備,以滿足任何時間、任何地點的訪問需求。這必然會迎來一系列的安全威脅與管理難題。
?
? ? ? 云涌零信任安全管理平臺由控制中心、接入網關、云聯網關及連接器、管理控制臺、認證中心客戶端、認證中心網頁端、SaaS租戶管理平臺等產品模塊組合而成。其中非核心模塊可以根據客戶實際需求以及網絡環境進行組裝或拆卸。產品支持入駐式部署及SaaS運營方式。系統確保只有正確的人、使用正確的賬號、通過正確的設備、在正確的時間和地點、借助正確的應用才能訪問正確的服務,同時遵從正確的訪問權限。
?
? ? ? 云涌零信任在企業傳統的網絡基礎架構之上,構建以身份為中心的,貫穿企業網絡-應用-資源-數據全鏈路、一體化的安全網絡。
?
?
零信任端點安全建設方案
?
? ? ? 首先,優先解決外網攻擊的問題,內網服務端口不再通過NAT或反向代理暴露到公網,統一采用零信任安全組件進行接入,特點是隱藏服務端口,使服務端口無法被探測和感知到,只能通過零信任客戶端進行單包敲門,認證通過后才能訪問到授權的服務。
?
? ? ? 具體步驟如下:
1)? 匯總公司暴露在外網的所有端口及其對應的服務內網地址及端口。
a)????? 使用嗅探工具掃描公司出口IP,獲取所有暴露在公網的服務端口;
b)????? 通過路由器上的NAT配置信息找出公網服務端口對應的內網服務地址及端口;
c)????? 每個服務找到對應的責任人,確認服務的訪問控制策略;
2)? 關閉公司所有公網服務端口,服務通過零信任安全組件接入,并配置相應的訪問控制策略。
3)? 零信任客戶端推廣使用。
?
? ? ? 整改后,業務服務關閉公網訪問入口,員工及合作伙伴通過零信任客戶端,在互聯網安全的訪問內網服務,業務不受任何影響。同時,零信任安全組件實時監控訪問行為,動態評估訪問主體、訪問客體、訪問路徑、訪問環境等是否安全,并在識別出風險時及時處置。
?
?
? ? ? 其次,為了解決內網安全隱患,根據業務類型和部門劃分不同的VLAN,各VLAN之間的通過ACL策略進行合理的訪問控制。同時建立DMZ區,DMZ區用來放置必須公開的服務器資源(如企業Web服務器、文件服務器、論壇等)和零信任網關,外網、DMZ和內網之間通過防火墻進行隔離。
?
?
? ? ? 以下為部署零信任安全組件后的網絡拓撲:
?
?
?
總結
?
? ? ? 通過云涌零信任,有效阻擋了外網攻擊,實現了安全漏洞的快速處理。通過對內部網絡架構進行適當調整,解決了內網的安全隱患。
?
為了更好的進行安全防護。云涌零信任為企業客戶提供可落地的建設性解決方案,達到整改安全漏洞隱患,完善安全防護措施,優化安全策略,有效提升整體網絡安全防護水平的目的。將安全防護能力用到各業務場景,為企業的保駕護航。
- 分類: 應用場景
- 作者:
- 來源:
- 發布時間:2023-10-23
- 訪問量:4356
背景
?
? ? ? 隨著互聯網時代的快速發展,APT攻擊、DDoS攻擊等網絡安全問題頻發。近月來,我司接連收到海陵區公安局網安部門發來的網絡安全漏洞通報,在經過綜合分析和評估后,決定采用零信任安全解決方案,以此來強化網絡安全隱患排查整改,推動以攻促防,查漏補缺。?
?
?
? ? ? 企業信息基礎設施當前已經逐漸進入一個無邊界化的時代。為了支撐數字化業務,企業需要將業務和數據開放給相關的各種人員、各種設備,以滿足任何時間、任何地點的訪問需求。這必然會迎來一系列的安全威脅與管理難題。
?
? ? ? 云涌零信任安全管理平臺由控制中心、接入網關、云聯網關及連接器、管理控制臺、認證中心客戶端、認證中心網頁端、SaaS租戶管理平臺等產品模塊組合而成。其中非核心模塊可以根據客戶實際需求以及網絡環境進行組裝或拆卸。產品支持入駐式部署及SaaS運營方式。系統確保只有正確的人、使用正確的賬號、通過正確的設備、在正確的時間和地點、借助正確的應用才能訪問正確的服務,同時遵從正確的訪問權限。
?
? ? ? 云涌零信任在企業傳統的網絡基礎架構之上,構建以身份為中心的,貫穿企業網絡-應用-資源-數據全鏈路、一體化的安全網絡。
?
?
零信任端點安全建設方案
?
? ? ? 首先,優先解決外網攻擊的問題,內網服務端口不再通過NAT或反向代理暴露到公網,統一采用零信任安全組件進行接入,特點是隱藏服務端口,使服務端口無法被探測和感知到,只能通過零信任客戶端進行單包敲門,認證通過后才能訪問到授權的服務。
?
? ? ? 具體步驟如下:
1)? 匯總公司暴露在外網的所有端口及其對應的服務內網地址及端口。
a)????? 使用嗅探工具掃描公司出口IP,獲取所有暴露在公網的服務端口;
b)????? 通過路由器上的NAT配置信息找出公網服務端口對應的內網服務地址及端口;
c)????? 每個服務找到對應的責任人,確認服務的訪問控制策略;
2)? 關閉公司所有公網服務端口,服務通過零信任安全組件接入,并配置相應的訪問控制策略。
3)? 零信任客戶端推廣使用。
?
? ? ? 整改后,業務服務關閉公網訪問入口,員工及合作伙伴通過零信任客戶端,在互聯網安全的訪問內網服務,業務不受任何影響。同時,零信任安全組件實時監控訪問行為,動態評估訪問主體、訪問客體、訪問路徑、訪問環境等是否安全,并在識別出風險時及時處置。
?
?
? ? ? 其次,為了解決內網安全隱患,根據業務類型和部門劃分不同的VLAN,各VLAN之間的通過ACL策略進行合理的訪問控制。同時建立DMZ區,DMZ區用來放置必須公開的服務器資源(如企業Web服務器、文件服務器、論壇等)和零信任網關,外網、DMZ和內網之間通過防火墻進行隔離。
?
?
? ? ? 以下為部署零信任安全組件后的網絡拓撲:
?
?
?
總結
?
? ? ? 通過云涌零信任,有效阻擋了外網攻擊,實現了安全漏洞的快速處理。通過對內部網絡架構進行適當調整,解決了內網的安全隱患。
?
為了更好的進行安全防護。云涌零信任為企業客戶提供可落地的建設性解決方案,達到整改安全漏洞隱患,完善安全防護措施,優化安全策略,有效提升整體網絡安全防護水平的目的。將安全防護能力用到各業務場景,為企業的保駕護航。
