對于多數(shù)企事業(yè)單位來說,外包服務(wù)是一個避不開的話題,小到系統(tǒng)運(yùn)維,大到軟件程序,眾多的企事業(yè)單位在享受外包服務(wù)帶來的便利的同時,對于外包人員的網(wǎng)絡(luò)訪問權(quán)限管理,也成為“老大難”問題:管的松一點,外包人員和單位員工相同權(quán)限,容易引發(fā)誤操作、數(shù)據(jù)泄露等多種安全風(fēng)險;管的緊一點,外包人員訪問內(nèi)網(wǎng)受限,工作不好開展,無法及時高效解決問題,完全是因噎廢食,得不償失。
還有類似的情況,客戶是某一大型政府單位,整體網(wǎng)絡(luò)規(guī)劃時存在嚴(yán)重缺陷,業(yè)務(wù)服務(wù)器與內(nèi)網(wǎng)沒有防火墻等邊界設(shè)備,更有多個下級部門托管的服務(wù)器,加之多年的網(wǎng)絡(luò)維護(hù)、設(shè)備更新……,整體網(wǎng)絡(luò)環(huán)境極度復(fù)雜,難以梳理。用戶希望在不影響現(xiàn)有業(yè)務(wù)訪問的前提下(也就是不能添加邊界防火墻等阻斷設(shè)備),加強(qiáng)對外包人員的權(quán)限管理,該怎么解決呢?有沒有一種兩全其美的方式呢?
用北信源動態(tài)訪問控制系統(tǒng),完美解決該用戶的需求!
北信源動態(tài)訪問控制系統(tǒng),,由環(huán)境感知代理系統(tǒng)、環(huán)境感知系統(tǒng)以及零信任網(wǎng)關(guān)共同組成。產(chǎn)品以“零信任”理念為基礎(chǔ),對數(shù)據(jù)和功能核心資源訪問的行為進(jìn)行精細(xì)化訪問控制,通過對終端多維度屬性進(jìn)行感知和風(fēng)險評估,與安全訪問平臺聯(lián)動實現(xiàn)動態(tài)鑒權(quán)訪問控制,說的簡單一點:
零信任網(wǎng)關(guān)旁路部署(旁路常規(guī)網(wǎng)關(guān)):不需要結(jié)合防火墻(也就是只需要統(tǒng)計外包人員必須訪問的業(yè)務(wù)資源,包括URL、端口、協(xié)議等,其他設(shè)備安全無需納入管控);
僅限制安裝客戶端的終端設(shè)備:不裝客戶端或者客戶端連不上零信任網(wǎng)關(guān),走常規(guī)網(wǎng)關(guān),不影響日常訪問(這一點最重要,對于非外包人員,完全沒必要安裝客戶端);裝上客戶端而且連上零信任網(wǎng)關(guān),新建通信隧道,只能訪問指定的URL或API;
用戶身份驗證:對于核心業(yè)務(wù)的訪問,直接關(guān)聯(lián)到具體用戶,責(zé)任到人;
多維度持續(xù)評估終端安全性能:如果終端本身不安全,有病毒感染或其他安全隱患,主動降低終端安全評分;
動態(tài)權(quán)限分配:隨著終端安全評分的變更,自動調(diào)整核心業(yè)務(wù)訪問權(quán)限,始終保證訪問權(quán)限最小化。
客戶端本身防卸載,且開機(jī)自檢,守護(hù)進(jìn)程及時上報異常;
技術(shù)原理上符合客戶預(yù)期,經(jīng)過與客戶協(xié)商,客戶同意進(jìn)入測試流程,經(jīng)過多輪驗證,只需以下簡單幾步就能實現(xiàn)用戶增強(qiáng)外包人員權(quán)限監(jiān)管的需求:
外包人員初次接入內(nèi)網(wǎng)時,強(qiáng)制安裝客戶端軟件;
如果需要訪問核心資源,首先必須要使用自己的賬號登錄客戶端;
其次,必須要對終端環(huán)境進(jìn)行評估,包括但不限于:是否安裝殺毒軟件、是否存在系統(tǒng)漏洞等;在不達(dá)標(biāo)的情況下,可利用客戶端提供的接口或提示信息,通過安裝殺毒軟件、打補(bǔ)丁等形式,提升設(shè)備安全等級;
在完成身份認(rèn)證和環(huán)境評估的基礎(chǔ)上,外包人員可訪問核心資源;
訪問期間,客戶端會在后臺持續(xù)對終端環(huán)境進(jìn)行評估,如果出現(xiàn)安全等級評估不達(dá)標(biāo)的情況,自動降低訪問權(quán)限,甚至斷開連接。外包人員必須修復(fù)不達(dá)標(biāo)項,才能重新建立訪問連接。
目前,北信源動態(tài)訪問控制系統(tǒng)已經(jīng)完成采購部署流程,正式在客戶現(xiàn)場上線了,完全有望成為外包人員權(quán)限監(jiān)管的“守門員”。