登录
2021.11.18
2342
贵州白山云科技股份有限公司
一、案例背景:
白山云作为一家致力于为全球政府及企业客户提供综合解决方案的领先边缘云平台服务商,借助数字化转型的力量,优化服务流程,提升用户体验,加速业务发展,为用户提供更多创新的产品和优质的服务。
白山云八个分支分布在全球不同区域,客户遍布全球各地,基于业务发展需求,员工随时随地可能通过VPN方式远程开展工作,受限于接入方式和接入环境,在接入工作前需要做一系列的准备工作,工作效率受到很大的影响;员工远程访问企业内部服务,存在一定安全隐患,一是建立远程连接时可能导致业务受到外界非法攻击,二是内部数据存在泄露风险;不同员工职能不同,具有不同的业务环境访问需求,业务系统繁多,既有云上SaaS服务,又有企业内部自建服务,以粗粒度方式管理员工应用访问授权,每个应用都有一个独立访问路径和账户体系,给管理员带来极大挑战。
员工不局限于内网环境办公、业务系统不仅位于内网环境,办公设备不止PC设备,基于网络边界作为安全边界的传统架构体系已经无法满足白山云业务发展的需求,亟需以一种安全有效、便捷稳定的方式来助力员工开展远程办公。
二、案例概述:
为应对业务发展面临的安全隐患、用户体验差和资源难管控的三大挑战,助力企业数字化转型,实施开展基于零信任理念的Access产品解决方案。首先,建立统一身份管理体系确保合法访问请求身份可信,将企业应用隐藏在后端,不对外进行暴露,屏蔽外界的非法攻击;其次,构建统一SSO(单点登录)访问系统和统一应用访问入口门户,将分散于云上云下的服务汇聚于统一访问页面,借助1000+边缘节点的能力,为用户提供就近访问,提升用户访问体验,将用户更聚焦于业务上;然后,针对用户、访问链路、应用、数据等各个环节进行全局统一管控,实现可管控、可审计。
此次业务开展涉及到Confluence、Jira、OA、CRM、工单等近百个自建系统及SaaS服务,同时还有Linux、Windows服务的SSH、RDP、VPN等协议应用;针对全员近千人,几十种职能角色,统一由旧的办公方式,改善为新的访问方式。
三、安全技术应用情况:
Access是基于零信任架构和理念,构建“访问端、身份、应用端“ 三元合一的可信访问实体,实现在非特权网络中对业务资源和数据的安全、稳定、高效的访问,具体的应对措施如下:
1、Access的边缘网关充当了业务应用的访问入口,最大化的降低了业务应用被暴露在互联网中各类攻击风险,无法被外部扫描渗透,不再被动的修复漏洞,实现了对源站应用的隐身保护。
2、访问可信检测:通过对企业网络流量的接管,持续检查网络应用现状和用户行为,更好地透视与管控企业网络环境,限制任何不符合安全要求的访问。
3、访问控制引擎:根据特定用户/用户组的身份、职能、需求授予访问权限,实行最小权限原则,更好地保护敏感生产环境的访问安全。
4、身份信任管理:提供身份生命周期管理,包括OTP动态口令、企业微信、OIDC、SAML等多种身份验证方式。
5、应用可信接入:提供上千种SaaS应用接入模板;提供SSH、RDP、VNC等协议应用远程安全接入;提供内网仅出站连接的单向隧道,实现内网应用 SaaS化。
四、客户反馈效果:
Access帮助白山云建立身份认证体系、高效便捷的接入方式、标准化资源控制、降低IT复杂度,全面强化安全。客户反馈具体效果如下:
1. 整体工作接入效率提升3-5倍,具有更强的安全体系和更便捷的管理工作。
2. 建立集中身份信任服务,形成统一的身份认证中心、SSO和多因子认证,辅助建立多层次防御,加强身份验证的安全性。
3. 可通过统一门户接入,提升用户体验,内网应用快速SasS化,保障所有终端同时在线的情况下稳定、高效、安全的办公,提供员工生产力;
4. 标准化资源控制、隐藏资产攻击面,无法被外部扫描渗透,不再被动的修复漏洞,摆脱对防火墙、设备的依赖,降低IT维护成本;
5. 细粒度访问控制手段,可视化的策略管理能力,云原生安全平台防护能力,多维度的强化网络安全;
零信任安全与企业数字化转型是相互促进与协同发展,Access作为白山云数字化转型的最佳安全访问接入方案,因为它不仅仅是一个简单的远程访问工具,而是一个全新的网络安全架构;Access是白山云零信任安全架构实践的开始,白山云会持续探索零信任安全架构,逐步实现真正的“永不信任,持续验证”安的网络安全架构。
手机:19925407556
邮箱:info@c-csa.cn