疫情再次出現反復。在“能線上、就線上”的場景下,企業的IT運維“壓力山大”,遠程運維的“效率和安全”雙雙經受著考驗。
墻高池深并不意味著絕對的安全,很多網絡攻擊其實是光明正大的從“大門”溜達進去的,而打開這扇門的可能就是“遠程運維”。
l 資產暴露增多
疫情之下,在線教育、線上交易、遠程辦公等更為普遍,但同時也導致數字資產暴露面激增,主機、IP、網站、公眾號、小程序、源代碼、數據等資產,都可能因為漏洞、弱口令、敏感端口、數據泄露等安全隱患信息形成新風險。
l 全程無法跟蹤
在針對核心數據庫、服務器、存儲、機密文檔的遠程訪問和運維管理中,存在事前身份不確定、授權不清晰,事中操作不透明、過程不可控,事后結果無法審計、責任不明確等問題,最終導致整體業務及IT運維工作面臨安全風險。
l 病毒乘虛而入
遠程運維不僅在網絡傳輸過程中存在被不法分子篡改、盜取的風險,更有可能因為終端感染病毒,將惡意代碼傳播回公司內網的風險,這包括了管理員以及第三方外包服務人員的終端。
說一千道一萬,對各種風險的擔憂,就是對遠程運維方式上的不信任。那么,何以為解?
“零信任+堡壘機”確保遠程運維安全
零信任以“不信任”為原則的安全策略,主張默認情況下不應該信任網絡內部和外部的任何人、設備和系統。而在愈加紛繁復雜的網絡環境下,遠程運維更需要“從零做起”,基于認證以及授權,來重構訪問控制的信任基礎。
圖:亞信安全零信任遠程運維解決方案
針對疫情之下遠程運維的安全需求,亞信安全推出了零信任遠程運維解決方案,以信磐堡壘機AISIFORT(簡稱堡壘機)為“體”,以信磐零信任訪問控制系統(簡稱SDP)為“魂”,集夢蝶文件防病毒引擎之力,舉防繞行之策,構建起遠程運維的新安全防線。
其中,亞信安全SDP包括零信任客戶端、控制中心、信任評估中心、零信任網關,共同構成了主體安全管理、安全訪問控制、用戶統一門戶、可視運維審計等核心能力。
圖:亞信安全SDP核心能力
而提升遠程運維安全能力的另一項“標配”技術,則是堡壘機,它可以多面記錄運維人員的操作行為,為事件追溯和事故分析提供依據,能夠阻斷高危命令的執行并及時切斷惡意或越權的運維連接。此外,堡壘機還引入雙因子認證機制,通過短信認證、動態令牌等技術,控制賬號密碼泄露風險,防止運維人員身份冒用和復用。
圖:亞信安全堡壘機核心能力
三大能力回應“靈魂三問”
l 零信任遠程運維一體化
堡壘機+SDP深度聯動,滿足了互聯網環境或跨網絡環境下對企業內部資產進行遠程運維的需求。首先,SDP的網絡隱身技術,減少了數字資產的暴露面。其次,通過持續信任評估,將顆粒度細化到每一次的訪問請求,防止越過堡壘機訪問其他資產行為。最后,通過打通堡壘機和SDP的身份認證策略,“一客戶端一賬戶”,既滿足身份認證集中管理與審計的統一,更可發揮堡壘機內置WAF、抗DDOS、防繞行、安全網盤模塊,降低因外部攻擊、病毒文件、越權訪問等導致的安全風險。
圖:零信任遠程運維場景
l 主機防繞行
在運維管理過程中,終端直連資產、內部跳轉時有發生,導致整個運維過程無法管控與審計,帶來安全隱患。而堡壘機的防繞行模塊可以通過資產掃描,發現內部未納管資產,通過一鍵下發防繞行Agent,將資產的登錄進行管控,對未授權登錄、異常IP訪問進行攔截告警,對敏感資產的訪問進行二次認證,解決因直連和內部跳轉等導致的安全隱患。同時,防繞行Agent支持資產在線監測、基礎信息采集及補全,提供更方便、更省心的資產管理服務。
【圖:主機防繞行場景】
l 運維文件安全
在管理員或第三方運維人員終端不可控的前提下,方案中的安全網盤功能,通過給運維人員在堡壘機上開通一個可擴產空間的個人網盤,限制運維人員通過文件傳輸協議、命令上傳文件,同時通過集成夢蝶防病毒引擎,對文件進行病毒檢測,有效的防止病毒文件擴散風險。
圖:運維文件安全示意圖
同心抗疫,勇于擔當!作為國內領先的網絡安全廠商,亞信安全將持續通過零信任等創新技術,助力廣大用戶“輕裝上陣”,共同解決因網絡環境、終端設備、辦公場景變化而導致的網絡安全風險問題,與用戶一起科技抗疫,共筑安全防線。
亞信安全零信任遠程運維解決方案核心能力點回顧:
l 網絡隱身收斂被攻擊暴露面;
l 權限最小化控制細粒度訪問;
l 持續信任評估確保安全連接;
l “一客戶端一賬戶”實現快捷運維;
l 主機防繞行杜絕繞行安全隱患;
l 運維文件防病毒禁毒乘虛而入;
l 多重安全防護策略抵御非法攻擊。
