對于多數(shù)企事業(yè)單位來說����,外包服務是一個避不開的話題��,小到系統(tǒng)運維�,大到軟件程序,眾多的企事業(yè)單位在享受外包服務帶來的便利的同時����,對于外包人員的網(wǎng)絡訪問權限管理,也成為“老大難”問題:管的松一點�����,外包人員和單位員工相同權限�,容易引發(fā)誤操作、數(shù)據(jù)泄露等多種安全風險�;管的緊一點,外包人員訪問內(nèi)網(wǎng)受限�,工作不好開展,無法及時高效解決問題����,完全是因噎廢食,得不償失。
還有類似的情況�,客戶是某一大型政府單位,整體網(wǎng)絡規(guī)劃時存在嚴重缺陷����,業(yè)務服務器與內(nèi)網(wǎng)沒有防火墻等邊界設備,更有多個下級部門托管的服務器�,加之多年的網(wǎng)絡維護、設備更新……����,整體網(wǎng)絡環(huán)境極度復雜���,難以梳理�。用戶希望在不影響現(xiàn)有業(yè)務訪問的前提下(也就是不能添加邊界防火墻等阻斷設備)�,加強對外包人員的權限管理,該怎么解決呢��?有沒有一種兩全其美的方式呢�?
用北信源動態(tài)訪問控制系統(tǒng),完美解決該用戶的需求���!
北信源動態(tài)訪問控制系統(tǒng)�����,�����,由環(huán)境感知代理系統(tǒng)�、環(huán)境感知系統(tǒng)以及零信任網(wǎng)關共同組成。產(chǎn)品以“零信任”理念為基礎���,對數(shù)據(jù)和功能核心資源訪問的行為進行精細化訪問控制�,通過對終端多維度屬性進行感知和風險評估�����,與安全訪問平臺聯(lián)動實現(xiàn)動態(tài)鑒權訪問控制��,說的簡單一點:
零信任網(wǎng)關旁路部署(旁路常規(guī)網(wǎng)關):不需要結合防火墻(也就是只需要統(tǒng)計外包人員必須訪問的業(yè)務資源�����,包括URL���、端口��、協(xié)議等����,其他設備安全無需納入管控);
僅限制安裝客戶端的終端設備:不裝客戶端或者客戶端連不上零信任網(wǎng)關���,走常規(guī)網(wǎng)關���,不影響日常訪問(這一點最重要,對于非外包人員�����,完全沒必要安裝客戶端)����;裝上客戶端而且連上零信任網(wǎng)關����,新建通信隧道,只能訪問指定的URL或API�;
用戶身份驗證:對于核心業(yè)務的訪問,直接關聯(lián)到具體用戶���,責任到人�����;
多維度持續(xù)評估終端安全性能:如果終端本身不安全����,有病毒感染或其他安全隱患,主動降低終端安全評分��;
動態(tài)權限分配:隨著終端安全評分的變更�����,自動調(diào)整核心業(yè)務訪問權限�����,始終保證訪問權限最小化�。
客戶端本身防卸載,且開機自檢���,守護進程及時上報異常�����;
技術原理上符合客戶預期����,經(jīng)過與客戶協(xié)商,客戶同意進入測試流程��,經(jīng)過多輪驗證��,只需以下簡單幾步就能實現(xiàn)用戶增強外包人員權限監(jiān)管的需求:
外包人員初次接入內(nèi)網(wǎng)時�����,強制安裝客戶端軟件�����;
如果需要訪問核心資源���,首先必須要使用自己的賬號登錄客戶端;
其次����,必須要對終端環(huán)境進行評估,包括但不限于:是否安裝殺毒軟件����、是否存在系統(tǒng)漏洞等�;在不達標的情況下�����,可利用客戶端提供的接口或提示信息��,通過安裝殺毒軟件����、打補丁等形式,提升設備安全等級�����;
在完成身份認證和環(huán)境評估的基礎上�,外包人員可訪問核心資源;
訪問期間��,客戶端會在后臺持續(xù)對終端環(huán)境進行評估�,如果出現(xiàn)安全等級評估不達標的情況,自動降低訪問權限�����,甚至斷開連接。外包人員必須修復不達標項�����,才能重新建立訪問連接�。
目前,北信源動態(tài)訪問控制系統(tǒng)已經(jīng)完成采購部署流程����,正式在客戶現(xiàn)場上線了,完全有望成為外包人員權限監(jiān)管的“守門員”�����。
