指掌易庞南:EDTA企业数据可信访问解决方案 为企业应用服务和数据安全提供坚实保障

2021-04-02 16:43:36

来源:指掌易

近日,指掌易副总裁庞南受邀为城市商业银行网络攻防实战培训会议做《企业数据可信访问解决方案提升应用服务和数据安全保障》的主题培训,培训紧紧围绕金融行业客户面临的信息安全建设需求,提出前瞻性、针对性的解决方案。并与来自全国各城商行的安全专家围绕“网络安全实战攻防演练”背景下的远程访问相关的数据安全建设,进行广泛的交流和深度探讨。

(指掌易副总裁 庞南)

应用场景变化和风险管控局限
让传统IT场景安全方案迎来重大安全挑战

在金融、运营商、政府以及企业这些重要的行业客户,具备较高水平的信息化建设能力。这些机构已有的安全保障机制,面对当前云计算和移动化发展趋势,存在着管控方面的局限性。传统企业IT架构中,终端多是企业资产的桌面终端,分布在内/外网中,关键业务应用服务和数据,则分布在企业的数据中心里。为控制外部安全风险向数据中心内部渗透,在信息安全建设过程中,互联网边界被视为整个安全防御的重中之重,有大量的安全控制措施也是应用到这里进行防御。

随着信息化和办公模式的发展与变化,导致了传统IT架构发生很大变化。变化体现在两点上:一方面,应用服务和数据的分布有了较大变化。随着云计算的发展,私有云和公有云上会存在大量的关键应用服务和数据的分布,这一点和传统方式相比,涉及到外部的公有云上面的服务跟数据脱离了传统的安全边界管控的范畴;另一方面,访问关键应用服务和数据的终端发生了较大变化,这其中既有终端类型的多样化(不同类型、型号、操作系统、品牌的移动终端),也有终端所有权变化(BYOD场景下的设备归属和管控问题)。

访问模式的巨大变化,让企业原有IT场景安全方案面临重大挑战,尤其是通过互联网边界开放的大量服务端口,以及存在0day漏洞的VPN系统,都成为恶意攻击的主要对象。这种背景下,能否经受住“网络安全实战化攻防”的检验,或许是个问题。

针对政企客户核心诉求
指掌易提出针对性建设思路

当前企业办公场景下,访问模式的复杂性会带来众多安全问题。BYOD化带来的不属于企业资产的终端怎么管理?如何保障在终端上面留存使用的企业数据安全?互联网边界开放的服务端口越来越多,被恶意攻击的几率大大提升怎么办......将这些问题归类后,指掌易贴合金融机构的实际业务场景,总结出三个核心诉求:

01 收缩暴露面

关键应用服务从互联网隐身,最大限度收敛互联网资产暴露面,从而缩减攻击面,降低恶意攻击和入侵风险。

02 可信访问控制

以身份验证为中心,消除隐形信任,全面实现各类主体对应用服务/数据资源的细粒度可信访问控制。

03 数据链路保障

对应用数据流转的全链路进行有效管控,降低敏感应用数据在通信传输、终端展示和存储环节发生泄露的风险

面对以上客户痛点需求,指掌易聚焦问题根源,提出了针对性的解决思路。传统IT安全架构带来冲击的原因是访问模式的变化,而无论访问模式如何变化,终端都是需要通过网络的管道来访问云端的的关键服务和数据资源,因此解决方案应着手在终端数据安全保护和可信接入层面。基于此,指掌易率先提出一种建设思路:

01 在终端数据防护层面

面对业务数据在BYOD(自带设备办公)设备上留存使用——不管控不行、强管控则与个人信息保护要求相违背的现状。企业需要一款轻量化的产品在终端(包括桌面终端和移动终端)实现数据保护与用户体验兼顾的的目的。此产品在终端上提供移动沙箱技术,隔离出安全工作空间,作为业务数据在终端上的安全保护边界,以期实现控制数据泄露、同时兼顾终端设备上的个人信息保护等目的。

02 在可信接入访问层面

可使用SDP(软件定义边界)技术,该技术基于零信任理念,为企业建立安全接入网关,对访问主体的身份可信度进行持续评估和动态访问控制,同时实现业务应用服务隐藏和数据安全传输。

再和终端数据安全方案集合起来形成一个完整的闭环保护方案,可满足收敛暴露面、可信访问控制以及数据链路安全保障等核心诉求。

指掌易EDTA
企业数据可信访问解决方案

指掌易EDTA(企业数据可信访问)解决方案可满足客户的主要核心需求,其中主要包含EDP(端点数据边界)和SDP(软件定义边界)两个组成部分。

EDP主要针对BYOD场景下的设备管理。采用沙箱技术作为核心技术的EDP,可通过虚拟化的方式来隔离设备上面的个人数据与工作数据,在专属的工作空间内,保护内部企业应用和数据资源,并在数据隔离的基础上,提供一系列DLP数据防泄露的控制能力(包括数据的透明加解密、防复制粘贴截屏、以及数据进程水印等一系列的控制特性),以上安全策略可通过统一的平台去管控下发,实现安全、高效、灵活的管理。除此之外,EDP产品还可与SDP组件无缝集成,形成完整闭环的数据保护机制。

SDP(软件定义边界)产品是基于零信任安全架构而来,该产品包含了控制器、网关和客户端。工作原理是将控制层面和数据层面进行分离,用控制层面来建立信任关系,在信任关系通过的情况下再用数据层面来处理数据的通信。另外,SDP在可信用户使用过程中,通过持续信任评估及时应对风险因素的变化做出响应动作,实现动态的访问策略控制。

指掌易

EDTA解决方案优势及特点

01 可信的运行环境

基于移动端EDP、桌面端EDP构建一个可信的企业应用和数据运行使用环境,保证企业数据在终端设备上的安全可控的使用。

02 综合的身份认证

从“零”开始,基于可信设备、可信身份、可信时间、可信网络、可信位置等综合因素判断登录身份的合法性,建立初始信任,并进行最小化授权,控制通道与数据通道分离,实现先认证后连接。

03 安全的传输通道

数据传输采用高强度加密算法和安全密钥交换更新机制,确保通信数据安全。

04 隐身的网络资源

使用SPA单包授权机制,将安全接入系统服务和所有业务应用服务在互联网上“隐身”,不开放任何TCP端口,不为黑客提供任何端口扫描和攻击的机会。

05 持续的访问控制

使用过程中,持续对设备状态、网络环境、使用行为的合法性进行综合评分,基于评分和应用安全等级动态调整用户的访问权限。

值得一提的是,针对当前“网络安全实战攻防演练”背景下的客户收缩暴露面的需求,SDP系统具备非常有效的适用性。企业的关键应用服务,如果直接对外提供可能会把服务端口暴露到公网上,但如果部署了SDP系统,这些应用服务首先会退回内网。然后SDP控制器的SPA单包授权机制,会接收来自客户端的登录认证请求,并通过加解密机制对SPA请求中的多源认证信息进行检查和校验,一旦判断请求包非法则默认进行静默丢弃处理,不予以任何响应。只有通过了登录认证后,控制器才会认为是一个合法用户的请求,向客户端和网关下发访问策略。这使得攻击者不知道SDP网关的服务地址端口,系统自身实现了更好的服务隐身自我保护。

广泛而强大的兼容性
丰富的落地案例

在用户关心的兼容性方面,指掌易做了大量兼容性适配工作,已能为办公、开发、运维等典型使用场景中主流应用软件提供良好的兼容性支撑。另外指掌易作为信创工委会的会员单位,已经积累了自身产品方案针对主流国产化操作系统和数据库软件的兼容适配能力,并获取了产品互认证证书,能够直接适应信创使用场景的需要。

最后谈到了现场嘉宾关心的行业实践案例上,庞南列举了两个典型应用案例。

01 某省级运营商案例

从该运营商集团层面来讲,无论是风险控制的要求还是参与“网络安全实战攻防演练”行动的需要,集团层面一开始就下发过相关的文件,明确提到非面向外部用户的应用服务是不允许直接向互联网开放的,需要退回内网,并通过安全接入的机制来保证该服务本身不受影响。

该运营商客户,通过部署指掌易安全工作空间,通过对安卓应用和iOS应用进行容器化处理,对全省一万多用户和2万多台设备进行数据防泄露的有效控制。另外还建设了SDP安全网关,把原来互联网上对员工开放的移动应用的服务全部退回内网,并通过SDP网关为十多个移动业务应用的服务来提供安全的代理访问接入,从而大幅收敛了服务的暴露面,有效的支撑了省内的“网络安全实战攻防演练”活动。

 02 某城商行客户

该客户在远程运维的场景中采用了指掌易SDP安全网关方案。远程运维所使用的运维账号要访问的相关服务,敏感性很高,对安全性的要求也会更高。通过部署SDP安全网关方案,让运维人员在个人终端上面先登录SDP系统,然后在SDP系统保护下登录运维堡垒机,再去做相应的运维操作。指掌易SDP安全网关方案既保证了客户运维支撑的效率,同时也因为有SDP系统的保护,保障了使用敏感特权账号对重要IT资源的远程维护操作的安全性。

索取“此产品”详细资料,请留言
  • *姓名:
  • *手机:
  • *邮寄地址: