技术·原创 | 四步部署零信任SDP产品助力企业数字化转型

背景

受新冠疫情的影响,大部分企业的远程办公已逐步常态化。远程办公过程中,员工的身份成为新的边界。如果企业在身份和访问的管理上存在弱点和不足,就容易产生大量的安全盲点,并带来巨大的安全风险。

新冠疫情虽加速了远程办公的发展,但我们应该清醒的意识到,远程办公的原始驱动力是企业的数字化转型。

企业需要快速制定一系列关于数字化转型的计划,来应对不断变化的网络环境和常态化的远程办公需求。值得注意的是,企业数字化转型不是一项短期的投资,而是企业长期战略计划的一部分,因此需要更适合更安全的解决方案。


一、企业数字化转型面临的威胁

企业希望通过“企业上云”来加速其数字化转型的进程,最终实现降低企业的支出成本。虽然企业数字化转型正不断推动业务的发展,但同时也增大了被攻 击面。


根据Cybersecurity的调查,目前网络安全的最大挑战是私有应用程序的访问端口十分散乱,以及企业内部用户权限过多:

·    62%的企业认为保护遍布在各个数据中心和云上的端口安全问题是目前最大的挑战;

·    61%的企业最担心的是内部用户被给予的权限过多的问题。


现在越来越多的厂商逐步尝试采用零信任理念来解决上述问题。通过采用零信任SDP产品,企业可以在较短的时间内快速的提高自身业务的敏捷性,以确保企业可以在保障安全性的前提下快速适应和利用新技术来成功实现企业数字化转型的需求。


二、部署零信任SDP产品的技术优势及步骤

零信任理念同时考虑来自企业内部和外部的威胁,并通过一系列的技术降低企业所面临的风险。


首先,零信任SDP产品采用SPA技术,可以把企业对外暴露的服务端端口隐藏起来,只有授权通过的用户IP才能访问内部授权的资源;其次,通过对用户细粒度的访问控制可以避免因用户权限过大而导致数据泄露的风险,让用户只可以访问其所需的最小权限的资源;最后,通过多因子认证可以增加安全性,确保即使用户的账号密码被泄露,依然还有最后一层保护机制可以保护企业的重要数据不丢失。


企业部署零信任SDP产品相对快速简单,无需耗费大量时间。一般企业大多都采用“旁路部署”方案,部署架构图如下:

技术·原创 | 四步部署零信任SDP产品助力企业数字化转型

图1、旁路部署息象天龙系列零信任SDP产品架构图


零信任SDP产品的具体实施有如下4个步骤:

一、前期准备工作

01   调研企业规模:根据企业的规模来判断部署双机HA还是集群方式,前期的调研工作对于零信任落地是至关重要的,一个公司如果规模较小且上线需求较紧张可以采取双机HA的部署方式,如果公司人数较多那么建议采取集群方式部署,集群部署同双机HA部署相比耗时多且上线慢,但是它能承载大并发且性能上也有质的飞跃;

02   准备机器的配置:一套产品的性能并非只跟代码有关系,硬件的配置高低对性能也有着不可忽视的影响,所以准备机器的配置不能低于软件运行的最低配置要求;

03   配置机器的操作系统:每个公司软件适配的操作系统都是有不同的要求,因此,所采取的操作系统要相比于其他操作系统漏洞更少,且更易于软件的修复工作;

04   确保接入的机器可以访问到应用资源:南北向零信任更多专注的是外界与内部之间的隔离,利用SDP去抵御外界的攻 击且管控访问的用户,简单来说就是能抵御外界攻 击的代理,所以要确保部署的机器可以访问到内部资源且只允许我们部署的机器可以访问内部资源,基于此不管用户身处内网还是外网,只要没有经过SDP授权就没有权限访问内网资源;

05   了解企业整个的网络环境:在实际落地中,企业的网络环境大都是不一样的,有的企业不同部门的资源是在不同的VLAN里隔离的,有的企业则是通过代理访问外部资源,所以提前了解公司的网络环境可以在实施过程中少走很多的弯路。


二、软件部署及防火墙规则策略设置

所有的准备工作完成后,要进行实施部署,服务器部署安装完成之后,首先检查各个服务的模块是否都在正常的运行,之后内网进行测试各功能块是否正常,待测试都通过后接入到核心交换机,并制定防火墙的端口映射策略,确保满足企业的正常通讯。


三、预投产环境测试

软件以及端口配置完成后,首先在内网测试端口扫描,然后外网测试端口扫描,正常结果为端口全部隐藏。之后进行测试软件工作,若选择部署集群HA要模拟故障转换是否正常,最后进行验证功能和服务是否可以正常运行。待全部检测完成后,进行预投产使用,根据企业的要求完成稳定运行一定时长后进行正式使用。


四、后期软件的运维工作

定期的巡检,以及定期的软件漏洞扫描和修复也是至关重要的,同时还需要进行故障演练和开关机演练。

正确部署零信任SDP产品,可以解决企业的南北向安全防护问题,通过零信任策略在用户访问资源前不断进行身份验证,更加准确的判断身份的真实性,以此来实现企业员工的安全远程访问;采用“零信任理念”可以确保请求访问的用户身份是经过授权验证的,在维护企业安全的同时,保证安全访问的过程可以正常进行,起到更好的保护作用。


总结

在万物互联的时代,企业数字化转型已成为一种必然的趋势。基于零信任理念的解决方案,可以持续不断的推动企业基础网络架构的变革,企业可以动态的建立起真正的信任,为企业数字化提供高速有效且安全的支撑。



上一篇:传统教育如何转型?在线教育机遇当前,快速搭建在线教育平台


下一篇:2021-03-22