如何從“零”開始破解運營商安全接入防護難題?
網絡安全形勢日益嚴峻,作爲基礎電信業務經營單位的電信運營商面臨着越來越大的壓力。運營商依靠傳統的訪問控制、接入控制等系統構建了網絡安全基礎接入防護能力,但面對日益複雜的網絡安全挑戰,傳統的解決方案已無法解決運營商面臨的接入與防護挑戰,如何保障業務安全也成了運營商長期思考的問題。
一般而言,運營商的內部系統類型可大致分爲辦公類系統(如OA、郵件等)、生產類系統(如業務受理、CRM等)和運維類系統(如工單系統、網元運維管理等)三大類;在系統的訪問接入上,分爲互聯網接入和DCN網接入兩種途徑;訪問用戶涵蓋內部辦公人員、網管運維人員、坐席、第三方駐場人員等多種角色;訪問終端涉及多種終端類型和操作系統。
各種不同角色的用戶、不同訪問途徑、不同的業務系統、不同類型的終端交織下,安全接入與防護成爲運營商安全建設的主要難題,主要原因有以下幾個方面:
其一,系統暴露面大。一方面通過互聯網接入的業務較多,存在被惡意掃描、漏洞試探攻擊、弱密碼爆破等入侵風險。另一方面通過運營商DCN網爲接入途徑的應用系統包含大量內部敏感數據(B域、O域、M域等),直接暴露在所有內網甚至外網用戶面前,增大了攻擊面與數據暴露面,一旦遭到攻擊後果將難以估量。
其二,終端安全問題突出。如前文所述,用戶終端通過互聯網接入訪問內部系統時,面向的用戶角色複雜,涉及業務系統同樣複雜多樣,加之終端本身安全狀態不可控,極易成爲攻擊對象,進而威脅內部網絡。
其三,訪問權限管理困難。用戶角色多樣,數據中心逐漸增多、多雲多數據中心接入成爲常態,如何在多角色、多雲多數據中心環境下實現統一的權限管理成爲運營商信息化建設的又一挑戰。隨着高級威脅不斷加劇,權限管理必須要融入到業務的動態訪問過程中,即能夠對異常訪問行爲實現自動化、精細化的動態權限控制,以應對非法接入訪問的風險,解決賬號共享問題帶來的數據安全隱患,實現對弱口令的有效檢測與處置。
面對安全接入與防護的棘手問題,以“從不信任、總是驗證”爲理念的零信任自然而然地受到了運營商的關注。
具體來看,部署零信任架構可以實現泛終端統一安全接入防護體系的建立,通過SDP(軟件定義邊界)方式實現“雲改數轉”後PC、移動端等統一安全接入需求,同時大幅縮減系統暴露面、助力縱深防禦與數據安全,補足安全建設短板,實現對灰度流量的處置能力,滿足重要時期網絡安全保障需求。同時,零信任架構更符合運營商多雲同時接入的需求,滿足雲化趨勢,實現多雲環境下大併發用戶的就近接入。目前這種零信任架構已經在運營商行業的多數據中心統一安全接入建設、終端統一安全接入建設、運維繫統權限安全建設等重要場景有諸多實踐。
在多數據中心統一安全接入建設方面,某運營商集團,基於全國各省 B 域系統的業務上與集約化建設需求,增加了大量安全訪問需求,因此需要對訪問人員進行統一安全管控。針對具體問題,該運營商集團採用深信服零信任解決方案,通過在多雲環境分佈式部署零信任訪問控制系統aTrust,對B域系統進行安全發佈,有效收縮系統暴露面,實現用戶的統一安全接入管控,同時以彈性擴容機制打破資源瓶頸實現高併發、解決多數據中心跨域部署的統一安全管控問題,全面提升系統訪問安全性,最終爲集團數萬人提供滿足1.5萬併發接入的安全防護。
在運營商終端統一安全接入建設方面,某省級運營商在信息化建設中投入上線了數百個辦公及業務系統,並在移動端構建了以門戶APP爲主,集成衆多業務APP的移動辦公平臺,日常承載上萬員工的日常辦公和運維業務,業務暴露風險、終端安全風險成爲主要威脅。爲有效收縮業務暴露面,該運營商採用深信服零信任解決方案,通過基於零信任的全終端安全沙箱技術爲移動終端和傳統PC終端構建統一的終端安全能力,隱藏業務暴露面,實現全省3W多終端的統一安全接入,滿足攻防演練/重保期間的安全保障,對訪問行爲有效溯源,定位攻擊行爲。
在運維繫統權限安全建設方面,某省級運營商涵蓋網管系統、辦公系統、業務後臺管理系統等200個網絡及應用運維繫統,6000餘名運維人員,有大量的業務系統需要通過內網和外網訪問,權限管理成爲最大問題。爲實現用戶訪問的權限最小化管理,該運營商採用深信服零信任方案,將運維繫統隱藏在零信任網關之後,對接現網4A系統,實現訪問流量的身份化,結合終端環境和訪問行爲實現訪問權限的動態訪問控制。
爲何各大運營商在零信任落地中選擇深信服?
據瞭解,作爲國內率先探索零信任應用的企業之一,深信服基於十幾年來SSL VPN市場領導者地位,對業務接入訪問場景有非常深刻的認識和積累,同時基於深信服自身安全產品體系帶來的安全實踐經驗和安全能力,提出了“以身份爲中心,可信訪問、智能權限、極簡運維”的零信任架構理念。
基於該理念,深信服推出了基於SDP架構的零信任訪問控制系統aTrust產品及解決方案,通過新一代網絡隱身、動態自適應認證、全週期終端環境檢測、動態業務准入、動態訪問控制、多源信任評估等核心能力,幫助運營商實現流量身份化、權限智能化、訪問控制動態化、運維管理極簡化的新一代網絡安全架構轉型。
深信服零信任整體架構
據深信服零信任產品線總經理郭炳樑介紹,深信服以自身安全爲底層設計和開發要素,全新推出零信任安全架構方案,其核心組件也被命名爲aTrust。除了業務安全防護能力外,在自身安全上,也經過內外部重重把關驗證,僅以運營商行業爲例,就在多個用戶處經歷過多輪實際的深度攻防滲透驗證。對業務安全和自身安全的深刻理解,也是深信服零信任能得到運營商客戶認可的其中一個關鍵因素。截至目前,深信服零信任已在多家運營商中成功落地。
據悉,作爲一家專注於企業級安全、雲計算及基礎架構的產品和服務供應商,深信服在持續深耕網絡安全的同時,也不斷圍繞企業級用戶的需求,創新並升級自身的產品、解決方案和服務,形成覆蓋企業級安全、雲計算與基礎架構的三大產品線。成立20多年,深信服的產品和服務一直在助力政府、運營商、金融、教育、醫療、能源、交通等衆多行業的數字化轉型。深信服運營商事業部總經理張瑜表示:“隨着運營商業務支撐系統雲化與中臺改造的加速,運營商的安全建設正從傳統的邊界防禦向雲端安全與終端安全延伸,從網絡安全向數據安全、應用安全延伸。對此,深信服深度結合行業發展趨勢,提出了‘可信接入、立體防護、全網感知、集中管控’的安全建設思路,以助力運營商構建新一代安全架構,爲運營商信息化發展保駕護航。”