亞信安全“零信任 堡壘機” 化解遠程運維安全風(fēng)
發(fā)布時(shí)間:2022-05-18 10:04
來(lái)源:新網(wǎng)知識社區
閱讀:127
作者:中國IDC
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
疫情再次出現反復��。在“能線(xiàn)上�、就線(xiàn)上”的場(chǎng)景下�,企業(yè)的IT運維“壓力山大”���,遠程運維的“效率和安全”雙雙經(jīng)受著(zhù)考驗�����。
墻高池深并不意味著(zhù)絕對的安全��,很多網(wǎng)絡(luò )攻擊其實(shí)是光明正大的從“大門(mén)”溜達進(jìn)去的�����,而打開(kāi)這扇門(mén)的可能就是“遠程運維”��。
資產(chǎn)暴露增多
疫情之下����,在線(xiàn)教育���、線(xiàn)上交易��、遠程辦公等更為普遍�,但同時(shí)也導致數字資產(chǎn)暴露面激增�,主機���、IP���、網(wǎng)站�、公眾號��、小程序�����、源代碼��、數據等資產(chǎn)����,都可能因為漏洞�、弱口令�����、敏感端口�、數據泄露等安全隱患信息形成新風(fēng)險�。
全程無(wú)法跟蹤
在針對核心數據庫�、服務(wù)器��、存儲���、機密文檔的遠程訪(fǎng)問(wèn)和運維管理中�,存在事前身份不確定��、授權不清晰�,事中操作不透明�、過(guò)程不可控���,事后結果無(wú)法審計����、責任不明確等問(wèn)題�����,最終導致整體業(yè)務(wù)及IT運維工作面臨安全風(fēng)險�����。
病毒乘虛而入
遠程運維不僅在網(wǎng)絡(luò )傳輸過(guò)程中存在被不法分子篡改�、盜取的風(fēng)險�����,更有可能因為終端感染病毒����,將惡意代碼傳播回公司內網(wǎng)的風(fēng)險�,這包括了管理員以及第三方外包服務(wù)人員的終端�����。
說(shuō)一千道一萬(wàn)���,對各種風(fēng)險的擔憂(yōu)���,就是對遠程運維方式上的不信任����。那么��,何以為解�?
“零信任 堡壘機”確保遠程運維安全
零信任以“不信任”為原則的安全策略�,主張默認情況下不應該信任網(wǎng)絡(luò )內部和外部的任何人�����、設備和系統�。而在愈加紛繁復雜的網(wǎng)絡(luò )環(huán)境下����,遠程運維更需要“從零做起”��,基于認證以及授權��,來(lái)重構訪(fǎng)問(wèn)控制的信任基礎�。
圖:亞信安全零信任遠程運維解決方案
針對疫情之下遠程運維的安全需求��,亞信安全推出了零信任遠程運維解決方案��,以信磐堡壘機AISIFORT(簡(jiǎn)稱(chēng)堡壘機)為“體”��,以信磐零信任訪(fǎng)問(wèn)控制系統(簡(jiǎn)稱(chēng)SDP)為“魂”����,集夢(mèng)蝶文件防病毒引擎之力�����,舉防繞行之策�,構建起遠程運維的新安全防線(xiàn)�。
其中���,亞信安全SDP包括零信任客戶(hù)端����、控制中心�����、信任評估中心�、零信任網(wǎng)關(guān)���,共同構成了主體安全管理�、安全訪(fǎng)問(wèn)控制�����、用戶(hù)統一門(mén)戶(hù)��、可視運維審計等核心能力����。
圖:亞信安全SDP核心能力
而提升遠程運維安全能力的另一項“標配”技術(shù)��,則是堡壘機��,它可以多面記錄運維人員的操作行為�,為事件追溯和事故分析提供依據�����,能夠阻斷高危命令的執行并及時(shí)切斷惡意或越權的運維連接�。此外�����,堡壘機還引入雙因子認證機制����,通過(guò)短信認證����、動(dòng)態(tài)令牌等技術(shù)��,控制賬號密碼泄露風(fēng)險���,防止運維人員身份冒用和復用�����。
圖:亞信安全堡壘機核心能力
三大能力回應“靈魂三問(wèn)”
零信任遠程運維一體化
堡壘機 SDP深度聯(lián)動(dòng)���,滿(mǎn)足了互聯(lián)網(wǎng)環(huán)境或跨網(wǎng)絡(luò )環(huán)境下對企業(yè)內部資產(chǎn)進(jìn)行遠程運維的需求��。首先���,SDP的網(wǎng)絡(luò )隱身技術(shù)�����,減少了數字資產(chǎn)的暴露面�����。其次�����,通過(guò)持續信任評估���,將顆粒度細化到每一次的訪(fǎng)問(wèn)請求����,防止越過(guò)堡壘機訪(fǎng)問(wèn)其他資產(chǎn)行為�。最后����,通過(guò)打通堡壘機和SDP的身份認證策略����,“一客戶(hù)端一賬戶(hù)”����,既滿(mǎn)足身份認證集中管理與審計的統一��,更可發(fā)揮堡壘機內置WAF���、抗DDOS����、防繞行���、安全網(wǎng)盤(pán)模塊���,降低因外部攻擊��、病毒文件�����、越權訪(fǎng)問(wèn)等導致的安全風(fēng)險�����。
圖:零信任遠程運維場(chǎng)景
主機防繞行
在運維管理過(guò)程中���,終端直連資產(chǎn)���、內部跳轉時(shí)有發(fā)生����,導致整個(gè)運維過(guò)程無(wú)法管控與審計�,帶來(lái)安全隱患�����。而堡壘機的防繞行模塊可以通過(guò)資產(chǎn)掃描��,發(fā)現內部未納管資產(chǎn)�,通過(guò)一鍵下發(fā)防繞行Agent��,將資產(chǎn)的登錄進(jìn)行管控��,對未授權登錄����、異常IP訪(fǎng)問(wèn)進(jìn)行攔截告警����,對敏感資產(chǎn)的訪(fǎng)問(wèn)進(jìn)行二次認證�����,解決因直連和內部跳轉等導致的安全隱患��。同時(shí)���,防繞行Agent支持資產(chǎn)在線(xiàn)監測���、基礎信息采集及補全��,提供更方便��、更省心的資產(chǎn)管理服務(wù)�。
【圖:主機防繞行場(chǎng)景】
運維文件安全
在管理員或第三方運維人員終端不可控的前提下�,方案中的安全網(wǎng)盤(pán)功能��,通過(guò)給運維人員在堡壘機上開(kāi)通一個(gè)可擴產(chǎn)空間的個(gè)人網(wǎng)盤(pán)����,限制運維人員通過(guò)文件傳輸協(xié)議���、命令上傳文件�����,同時(shí)通過(guò)集成夢(mèng)蝶防病毒引擎�����,對文件進(jìn)行病毒檢測����,有效的防止病毒文件擴散風(fēng)險�����。
圖:運維文件安全示意圖
同心抗疫�,勇于擔當�����!作為國內領(lǐng)先的網(wǎng)絡(luò )安全廠(chǎng)商�����,亞信安全將持續通過(guò)零信任等創(chuàng )新技術(shù)���,助力廣大用戶(hù)“輕裝上陣”�����,共同解決因網(wǎng)絡(luò )環(huán)境����、終端設備�、辦公場(chǎng)景變化而導致的網(wǎng)絡(luò )安全風(fēng)險問(wèn)題���,與用戶(hù)一起科技抗疫�����,共筑安全防線(xiàn)���。
