對于多數(shù)企事業(yè)單位來說���,外包服務(wù)是一個避不開的話題,小到系統(tǒng)運(yùn)維,大到軟件程序��,眾多的企事業(yè)單位在享受外包服務(wù)帶來的便利的同時�,對于外包人員的網(wǎng)絡(luò)訪問權(quán)限管理��,也成為“老大難”問題:管的松一點��,外包人員和單位員工相同權(quán)限���,容易引發(fā)誤操作����、數(shù)據(jù)泄露等多種安全風(fēng)險�����;管的緊一點����,外包人員訪問內(nèi)網(wǎng)受限,工作不好開展�����,無法及時高效解決問題�,完全是因噎廢食,得不償失����。
還有類似的情況,客戶是某一大型政府單位���,整體網(wǎng)絡(luò)規(guī)劃時存在嚴(yán)重缺陷��,業(yè)務(wù)服務(wù)器與內(nèi)網(wǎng)沒有防火墻等邊界設(shè)備��,更有多個下級部門托管的服務(wù)器�����,加之多年的網(wǎng)絡(luò)維護(hù)���、設(shè)備更新……�,整體網(wǎng)絡(luò)環(huán)境極度復(fù)雜�,難以梳理。用戶希望在不影響現(xiàn)有業(yè)務(wù)訪問的前提下(也就是不能添加邊界防火墻等阻斷設(shè)備)��,加強(qiáng)對外包人員的權(quán)限管理�����,該怎么解決呢�?有沒有一種兩全其美的方式呢?
用北信源動態(tài)訪問控制系統(tǒng)�,完美解決該用戶的需求!
北信源動態(tài)訪問控制系統(tǒng)��,��,由環(huán)境感知代理系統(tǒng)���、環(huán)境感知系統(tǒng)以及零信任網(wǎng)關(guān)共同組成��。產(chǎn)品以“零信任”理念為基礎(chǔ)����,對數(shù)據(jù)和功能核心資源訪問的行為進(jìn)行精細(xì)化訪問控制�,通過對終端多維度屬性進(jìn)行感知和風(fēng)險評估,與安全訪問平臺聯(lián)動實現(xiàn)動態(tài)鑒權(quán)訪問控制���,說的簡單一點:
零信任網(wǎng)關(guān)旁路部署(旁路常規(guī)網(wǎng)關(guān)):不需要結(jié)合防火墻(也就是只需要統(tǒng)計外包人員必須訪問的業(yè)務(wù)資源��,包括URL���、端口、協(xié)議等����,其他設(shè)備安全無需納入管控);
僅限制安裝客戶端的終端設(shè)備:不裝客戶端或者客戶端連不上零信任網(wǎng)關(guān)����,走常規(guī)網(wǎng)關(guān),不影響日常訪問(這一點最重要����,對于非外包人員,完全沒必要安裝客戶端)��;裝上客戶端而且連上零信任網(wǎng)關(guān)�,新建通信隧道,只能訪問指定的URL或API���;
用戶身份驗證:對于核心業(yè)務(wù)的訪問��,直接關(guān)聯(lián)到具體用戶���,責(zé)任到人�;
多維度持續(xù)評估終端安全性能:如果終端本身不安全�����,有病毒感染或其他安全隱患����,主動降低終端安全評分;
動態(tài)權(quán)限分配:隨著終端安全評分的變更���,自動調(diào)整核心業(yè)務(wù)訪問權(quán)限����,始終保證訪問權(quán)限最小化�����。
客戶端本身防卸載��,且開機(jī)自檢�,守護(hù)進(jìn)程及時上報異常;
技術(shù)原理上符合客戶預(yù)期��,經(jīng)過與客戶協(xié)商�����,客戶同意進(jìn)入測試流程�����,經(jīng)過多輪驗證����,只需以下簡單幾步就能實現(xiàn)用戶增強(qiáng)外包人員權(quán)限監(jiān)管的需求:
外包人員初次接入內(nèi)網(wǎng)時,強(qiáng)制安裝客戶端軟件���;
如果需要訪問核心資源�����,首先必須要使用自己的賬號登錄客戶端���;
其次���,必須要對終端環(huán)境進(jìn)行評估,包括但不限于:是否安裝殺毒軟件���、是否存在系統(tǒng)漏洞等���;在不達(dá)標(biāo)的情況下,可利用客戶端提供的接口或提示信息��,通過安裝殺毒軟件�、打補(bǔ)丁等形式,提升設(shè)備安全等級��;
在完成身份認(rèn)證和環(huán)境評估的基礎(chǔ)上�����,外包人員可訪問核心資源�����;
訪問期間�,客戶端會在后臺持續(xù)對終端環(huán)境進(jìn)行評估,如果出現(xiàn)安全等級評估不達(dá)標(biāo)的情況,自動降低訪問權(quán)限��,甚至斷開連接�。外包人員必須修復(fù)不達(dá)標(biāo)項,才能重新建立訪問連接�����。
目前��,北信源動態(tài)訪問控制系統(tǒng)已經(jīng)完成采購部署流程����,正式在客戶現(xiàn)場上線了���,完全有望成為外包人員權(quán)限監(jiān)管的“守門員”����。
