金融行業(yè)數(shù)字化轉(zhuǎn)型和近年來全球疫情,讓移動辦公、遠程辦公成了常態(tài)化需求,在不同人員運用不同設(shè)備在不同地點混合辦公的場景下,如何保障企業(yè)業(yè)務(wù)系統(tǒng)訪問的安全性和流暢度,實現(xiàn)企業(yè)內(nèi)部敏感數(shù)據(jù)落地閉環(huán)管理?
當前,某股份制商業(yè)銀行使用的SSL VPN系統(tǒng)已進入軟件生命末期,且不支持國密改造,對國產(chǎn)桌面操作系統(tǒng)不適配。
其次,產(chǎn)品整體安全性低。SSL VPN網(wǎng)關(guān)對外暴露訪問入口,非管控設(shè)備和行外人員均可訪問,存在被外部探測攻擊風險;VPN代理終端全流量,設(shè)備一旦入網(wǎng),惡意軟件即可對網(wǎng)內(nèi)系統(tǒng)進行內(nèi)網(wǎng)掃描、探測、攻擊等;VPN客戶端無法對終端環(huán)境進行動態(tài)檢測,對終端數(shù)據(jù)無防護能力。
用戶體驗欠佳。SSL VPN賬號結(jié)合密碼及短信驗證碼的身份認證流程顯得繁瑣復(fù)雜;其次,內(nèi)外網(wǎng)的接入認證管理方式不統(tǒng)一,增加管理復(fù)雜度;更令人困擾的是,由于行內(nèi)應(yīng)用眾多,卻缺乏一個統(tǒng)一的訪問入口,導(dǎo)致用戶在訪問多個系統(tǒng)時需要反復(fù)登錄不同賬號,極為不便;加之VPN系統(tǒng)時常出現(xiàn)異常掉線的情況,嚴重影響了用戶的辦公效率和體驗。
系統(tǒng)運維復(fù)雜。VPN一體機形態(tài),多套設(shè)備疊加部署在不同數(shù)據(jù)中心入口,無法構(gòu)建統(tǒng)一接入平臺對所有VPN設(shè)備進行統(tǒng)一管理;終端多客戶端運行,占用過多設(shè)備性能,軟件沖突問題增加運維壓力。
該銀行亟需新的網(wǎng)絡(luò)安全模型應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境和混合辦公需求,實現(xiàn)內(nèi)外網(wǎng)一致的安全與體驗,保障安全合規(guī),保護敏感數(shù)據(jù),助力業(yè)務(wù)發(fā)展。為有效解決問題,該行采用了聯(lián)軟全網(wǎng)零信任解決方案,以“永不信任,始終驗證”為核心,構(gòu)建了全新的網(wǎng)絡(luò)安全架構(gòu)。方案融合了SDP軟件定義邊界、EPP端點安全和數(shù)據(jù)安全等功能,通過一體化客戶端,實現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用的統(tǒng)一接入和訪問。
▲該銀行全網(wǎng)零信任系統(tǒng)部署架構(gòu)
1智能化認證,內(nèi)外網(wǎng)無縫切換接入
該方案的一大亮點在于其自動感知位置觸發(fā)認證流程的機制。當用戶發(fā)起接入請求時,一體化客戶端自動判斷終端所處環(huán)境,在行內(nèi)則發(fā)起802.1x接入認證,在行外則發(fā)起SDP接入認證。認證流程結(jié)合終端安全檢查,實現(xiàn)信任等級評估,獲取網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用動態(tài)訪問權(quán)限。這種智能化的認證方式,讓員工無需手動切換網(wǎng)絡(luò)環(huán)境,實現(xiàn)了內(nèi)外網(wǎng)的無縫銜接,極大提升了混合辦公場景下的業(yè)務(wù)效率。該行全網(wǎng)零信任方案采用多重安全技術(shù),例如終端環(huán)境感知、細粒度訪問控制、動態(tài)授權(quán)、SPA單包認證、終端防泄密和數(shù)字水印等,全方位保障網(wǎng)絡(luò)和數(shù)據(jù)安全。SPA單包認證技術(shù)實現(xiàn)了網(wǎng)絡(luò)及資源的“真隱身”,最大程度減少企業(yè)網(wǎng)絡(luò)暴露面。應(yīng)用級的安全加密傳輸隧道,國密算法加密,確保數(shù)據(jù)傳輸過程中的安全。持續(xù)的環(huán)境感知和動態(tài)授權(quán)機制,確保只有符合安全策略的設(shè)備和用戶才能訪問企業(yè)資源。安全沙箱、終端DLP數(shù)據(jù)防泄露、通道審計管控和水印等技術(shù),則為企業(yè)數(shù)據(jù)提供了全生命周期安全防護。新的零信任安全體系不僅提升了安全性,也顯著改善了用戶體驗。統(tǒng)一的訪問入口和簡化的認證流程,讓員工告別繁瑣的登錄操作。同時,系統(tǒng)還提供了行內(nèi)掃碼和短信兩種便捷的認證方式,進一步提升了用戶體驗。此外,該方案還簡化了運維管理,策略統(tǒng)一配置下發(fā),大大降低了IT部門的運維壓力。
▲項目建設(shè)完成后,整體接入效果圖
方案從可信身份、可信終端、可信接入、可信應(yīng)用、可信數(shù)據(jù)等多方面實現(xiàn)全網(wǎng)零信任體系的落地。項目建設(shè)完成后,達成了無邊界管理、零暴露面、應(yīng)用隧道加密、多因素認證、終端環(huán)境感知、數(shù)據(jù)保護、精細化權(quán)限管理等多重安全目標以及對傳統(tǒng)設(shè)備和信創(chuàng)設(shè)備的統(tǒng)一管理,有效提升了銀行辦公效率和安全性,為銀行的數(shù)字化轉(zhuǎn)型提供了堅實的安全保障。
