行業(yè)實踐案例
一、案例背景
隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、SDN等新技術(shù)的快速應(yīng)用,信息化的高速發(fā)展使得業(yè)務(wù)規(guī)模不斷擴(kuò)大,分支站點數(shù)量不斷增加。傳統(tǒng)運維方式受地理位置和IT資源限制,無法做到實時監(jiān)測到各個分支設(shè)備的運行狀態(tài),無法掌握設(shè)備系統(tǒng)資源變化趨勢。當(dāng)設(shè)備故障發(fā)生時,運維服務(wù)人員不能第一時間得到故障信息、設(shè)備狀態(tài)、設(shè)備的歷史記錄等,無法做出有效的應(yīng)對和處理,只能到現(xiàn)場后才能診斷。這樣導(dǎo)致故障的修復(fù)時間長、運維效率低、影響信息系統(tǒng)的正常運行。
同時隨著運維精細(xì)化要求的日益提升,部署場景復(fù)雜化,導(dǎo)致用戶對數(shù)據(jù)分析的要求也越來越高,借助海量的日志數(shù)據(jù),提前定位和預(yù)知各類安全威脅,從而進(jìn)行趨勢預(yù)測、數(shù)據(jù)分析和多維度評估,為運維決策提供有力依據(jù)。各行各業(yè)信息化建設(shè)不斷深入和完善,良好的運維體系成為了信息化系統(tǒng)健康有序運營的必要支撐,因此建立運維故障智能分析模型,實現(xiàn)快速定位分析和遠(yuǎn)程故障排查能力,保障業(yè)務(wù)高可用性,構(gòu)建新型智能化運維管理體系,成為信息化建設(shè)不可分割的部分。
二、案例概述
通過對信息化建設(shè)和運維管理現(xiàn)狀的調(diào)研和深入分析后,了解到目前客戶IT運維發(fā)展的現(xiàn)狀及面臨的風(fēng)險挑戰(zhàn)如下:
1.各分支機(jī)構(gòu)和總部之間雖有專線形成了一個局域網(wǎng)用于業(yè)務(wù)的訪問和通信加密傳輸安全保障,各業(yè)務(wù)都在一個局域網(wǎng)里面,未做到業(yè)務(wù)與業(yè)務(wù)之間的隔離,還是存在業(yè)務(wù)交叉泄露的風(fēng)險。
2.各分支機(jī)構(gòu)對接入網(wǎng)絡(luò)的設(shè)備、資產(chǎn)、終端未進(jìn)行實名的身份安全,存在身份被冒用的風(fēng)險,對于訪問的業(yè)務(wù)也無法做到基于身份的細(xì)粒度授權(quán),從而導(dǎo)致資源訪問混亂和信息泄密的風(fēng)險。
3.分支機(jī)構(gòu)不斷增加,組網(wǎng)規(guī)模不斷擴(kuò)大,缺少一套針對組網(wǎng)設(shè)備的統(tǒng)一監(jiān)控系統(tǒng),及時了解邊界網(wǎng)關(guān)硬件設(shè)備的運行趨勢,快速故障定位,高效處理故障的解決方案;
4.業(yè)務(wù)服務(wù)的規(guī)模增大,規(guī)劃、維護(hù)、安全、管理等分工更加細(xì)致,缺乏對業(yè)務(wù)系統(tǒng)健康狀況和運行安全的監(jiān)測,及時了解邊界網(wǎng)關(guān)硬件設(shè)備的運行趨勢,快速故障定位,高效處置故障、全網(wǎng)可視化的安全態(tài)勢感知和深層次的安全風(fēng)險分析。
5.缺少終端管控手段,對于所有接入業(yè)務(wù)網(wǎng)絡(luò)的科研、生產(chǎn)和管理用的計算機(jī)都處于受控狀態(tài),不受管理的計算機(jī)不能連入到內(nèi)網(wǎng),對于接入內(nèi)網(wǎng)的計算機(jī)的操作都需要進(jìn)行管控和審計,避免數(shù)據(jù)泄露。
6.邊界網(wǎng)關(guān)設(shè)備部署量不斷增多,管理流程日益復(fù)雜,管理成本不斷上升,缺乏能夠真實反映設(shè)備和業(yè)務(wù)運行情況與運行質(zhì)量的統(tǒng)計分析報表,無法為運維、擴(kuò)容調(diào)優(yōu)提供有效的數(shù)據(jù)支撐。
三、安全技術(shù)應(yīng)用情況
智行零信任安全解決方案
整個安全體系建設(shè)方案分為網(wǎng)絡(luò)隔離、訪問控制、終端控制三個部分。具體如下:
1.專線內(nèi)的隔離采用SD-WAN部署方案
利用SD-WAN的技術(shù)在現(xiàn)有的專線內(nèi)網(wǎng)里面組件一個或者多個隔離的業(yè)務(wù)專網(wǎng),用于分割不同的業(yè)務(wù)避免業(yè)務(wù)交叉,保障各業(yè)務(wù)網(wǎng)絡(luò)的獨立性和安全性。
在總部中心部署SD-WAN智能管理平臺,納管總部及分支機(jī)構(gòu)Edge智能網(wǎng)關(guān)設(shè)備,實現(xiàn)整網(wǎng)的統(tǒng)一編排、實時監(jiān)控,達(dá)成網(wǎng)絡(luò)整體運營的歸一化??偛拷尤胛恢貌渴鸶咝阅蹺dge網(wǎng)關(guān),來對分支機(jī)構(gòu)的上聯(lián)數(shù)據(jù)流量進(jìn)行整合調(diào)度。各分支機(jī)構(gòu)上聯(lián)位置部署Edge網(wǎng)關(guān),對相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行分類、檢測、加固、調(diào)度。根據(jù)各項目工作組的業(yè)務(wù)需求和組網(wǎng)要求,由智能管理平臺統(tǒng)一模板化下發(fā)篩選調(diào)度策略,實現(xiàn)業(yè)務(wù)工作組內(nèi)的虛擬專網(wǎng)組建,達(dá)到工作組內(nèi)高效互聯(lián)、工作組外隔離和訪問受控的網(wǎng)絡(luò)要求。
2.專網(wǎng)內(nèi)的終端接入訪問控制安全部署方案
采用零信任安全理念對每個接入隔離業(yè)務(wù)專網(wǎng)的計算機(jī)終端進(jìn)行全面的身份認(rèn)證和動態(tài)訪問控制授權(quán),保障只有被許可的人員訪問被授權(quán)的業(yè)務(wù)資源。在SD-WAN形成的業(yè)務(wù)專網(wǎng)里部署一臺零信任安全網(wǎng)關(guān)和零信任安全大腦,作為所有專網(wǎng)內(nèi)用戶的身份認(rèn)證及訪問業(yè)務(wù)系統(tǒng)的代理,訪問控制和授權(quán)所有訪問業(yè)務(wù)系統(tǒng)的終端必須安裝零信任安全瀏覽器或者客戶端,零信任安全大腦對所有訪問業(yè)務(wù)系統(tǒng)的瀏覽器和客戶端進(jìn)行身份認(rèn)證和授權(quán),未安裝客戶端的用戶無法看到和訪問業(yè)務(wù)系統(tǒng)。
3.專網(wǎng)內(nèi)的終端安全管控與零信任相結(jié)合部署方案
采用終端管控技術(shù)對用戶的訪問行為進(jìn)行進(jìn)一步的規(guī)范和控制,對于涉密的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行管控和審計,防止數(shù)據(jù)泄密。終端管理與零信任相結(jié)合,為訪問控制決策提供更加豐富的數(shù)據(jù)源支撐?;诹阈湃伟踩砟睿陨矸莨芸睾蛣討B(tài)授權(quán)確保業(yè)務(wù)訪問安全,以準(zhǔn)入控制和介質(zhì)管控確保終端接入安全。
四、客戶反饋效果
安全風(fēng)險降低情況及使用效果情況
建設(shè)統(tǒng)一身份管理系統(tǒng)。實現(xiàn)職工在入職、升職、轉(zhuǎn)崗、調(diào)動、離職等場景下信息系統(tǒng)賬號的全生命周期管理,建立無縫的用戶身份管理體系;完善安全認(rèn)證系統(tǒng),為應(yīng)用系統(tǒng)提供統(tǒng)一的靜態(tài)口令、短信驗證碼、動態(tài)令牌等認(rèn)證方式,并預(yù)留未來指紋、虹膜、人臉等生物識別認(rèn)證手段的接入準(zhǔn)備;集成本單位主要信息系統(tǒng),將本單位主要信息系統(tǒng)接入至統(tǒng)一身份認(rèn)證管理系統(tǒng)平臺,充分利用平臺作為身份安全基礎(chǔ)設(shè)施提供的身份管理統(tǒng)一認(rèn)證能力,同時支持對接上級單位信息系統(tǒng)。
以身份為中心,通過應(yīng)用層業(yè)務(wù)代理縮小各個業(yè)務(wù)系統(tǒng)的暴露面,統(tǒng)一用戶對業(yè)務(wù)系統(tǒng)的訪問入口,根據(jù)用戶身份按需開放業(yè)務(wù)入口,同時基于零信任安全理念,遵循以下三個原則:
網(wǎng)絡(luò)無特權(quán)化原則:不靠網(wǎng)絡(luò)位置建立信任關(guān)系,所有用戶、設(shè)備和訪問都應(yīng)該被認(rèn)證、授權(quán)和加密;
信任最小化原則:在網(wǎng)絡(luò)層面,用戶只能“看見”和“接觸”到他所需要的訪問的業(yè)務(wù)系統(tǒng),獲得最小權(quán)限;
權(quán)限動態(tài)化原則:訪問控制策略應(yīng)該是動態(tài)的,應(yīng)基于盡量多的數(shù)據(jù)源進(jìn)行計算和評估。
提升零信任訪問控制中心能力,建設(shè)零信任安全大腦,將網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施納入分析數(shù)據(jù)源,針對訪問主體和訪問客體進(jìn)行持續(xù)的信任評估,實現(xiàn)動態(tài)的訪問控制。
基于現(xiàn)有Internet、MPLS、LTE等任意鏈路,采用Overlay技術(shù)部署SD-WAN,針對各業(yè)務(wù)搭建業(yè)務(wù)專網(wǎng),各業(yè)務(wù)專網(wǎng)之間進(jìn)行隔離,以保障業(yè)務(wù)自身網(wǎng)絡(luò)的獨立性和安全性。
通過平臺化的智能管理,納管總部及分支機(jī)構(gòu)的接入網(wǎng)關(guān)設(shè)備,實現(xiàn)整網(wǎng)的統(tǒng)一編排、實時監(jiān)控,達(dá)成網(wǎng)絡(luò)整體運營的歸一化。
終端安全管理系統(tǒng)與環(huán)境安全監(jiān)測中心實現(xiàn)聯(lián)動,將現(xiàn)有能力結(jié)合終端進(jìn)程、終端用戶行為納入基線管控,并能有效支撐訪問控制策略決策。
在端側(cè)集成網(wǎng)絡(luò)準(zhǔn)入控制、存儲介質(zhì)管控、文檔不落地、文件外發(fā)管控等功能,強(qiáng)化數(shù)據(jù)安全防護(hù)能力。
態(tài)勢感知與安全運營平臺和網(wǎng)絡(luò)安全監(jiān)測分析中心實現(xiàn)聯(lián)動,通過EDR、結(jié)合用戶訪問行為全面提升現(xiàn)有資產(chǎn)及流量的威脅感知能力,同時有效支撐訪問控制策略決策,及時避免威脅向用戶側(cè)反向或資產(chǎn)側(cè)橫向擴(kuò)散。
基于零信任安全理念打造的一整套全新的、符合中心化管理、即插即用、靈活擴(kuò)展的IT運維管理與安全審計解決方案,構(gòu)建總分型機(jī)構(gòu)內(nèi)部IT運維服務(wù)支撐環(huán)境的同時,充分滿足IT運維管理過程中對運維安全、服務(wù)成本和服務(wù)質(zhì)量的訴求,搭建精簡、高效、安全的IT運維管理體系,幫助IT運維管理人員全面應(yīng)對各類運維資源及運維事件,同時進(jìn)行集中賬號管理、精細(xì)化的權(quán)限管理和過程審計,提升風(fēng)險控制水平,同時保障內(nèi)部數(shù)據(jù)和信息的安全。在遠(yuǎn)程IT服務(wù)方面,保障IT技術(shù)人員、合作伙伴以及第三方運維服務(wù)團(tuán)隊可以在任何時間、地點和設(shè)備上安全完成IT的運維管理工作,并能實現(xiàn)高效的線上和線下、以及線上和線上全方位的協(xié)同工作。