MSP精華實錄|基于零信任的移動業務安全防護體系建設方案

需求場景

随着企業數字化轉型的加速，遠程辦公、移動辦公和(hé)混合辦公模式越來(lái)越普遍，因此企業大(dà)部分資源會(huì)放(fàng)在雲上(shàng)，但(dàn)僅依靠網絡邊界的方式，會(huì)使得效率變得低(dī)下(xià)，同時(shí)也(yě)會(huì)給企業帶來(lái)一系列互聯網安全風(fēng)險。面對(duì)網絡安全威脅變化和(hé)網絡邊界泛化模糊的新形勢，以“從(cóng)不信任，始終驗證”爲基本原則的零信任架構應運而生。美(měi)國國家标準與技術研究院（NIST）将零信任安全定義爲“一組不斷發展的網絡安全範式，将防禦從(cóng)靜态的、基于網絡邊界轉移到(dào)關注用(yòng)戶、資産和(hé)資源的領域”。

需求分析

· 随着企業的發展，員工(gōng)數量也(yě)在逐年增加，組織架構和(hé)人員結構可能(néng)存在較爲複雜(zá)的情況，員工(gōng)信息化水(shuǐ)平參差不齊，可能(néng)導緻訪問權限被濫用(yòng)。爲保證用(yòng)戶在系統安全策略下(xià)正常工(gōng)作(zuò)，拒絕合法用(yòng)戶越權的服務請(qǐng)求和(hé)非法用(yòng)戶的非授權訪問請(qǐng)求，需要進行細粒度的授權管理(lǐ)，進而确保人員和(hé)設備都是安全可信的。

· 企業移動業務不斷開(kāi)展，網絡暴露面逐漸增多，先建立連接再進行用(yòng)戶認證的傳統網絡通信防護方式，存在較多的安全風(fēng)險，如端口惡意掃描和(hé)拒絕服務攻擊等，需要收斂暴露面減少攻擊面，建設先認證再連接的網絡安全隧道(dào)，保障移動業務網絡通信的機密性和(hé)完整性。

· 企業員工(gōng)使用(yòng)個人自(zì)帶設備進行移動辦公時(shí)，移動應用(yòng)會(huì)運行在複雜(zá)的環境中，風(fēng)險威脅可能(néng)随時(shí)發生，從(cóng)而無法保障移動應用(yòng)的安全可靠運行，也(yě)不能(néng)及時(shí)根據風(fēng)險情況動态調整用(yòng)戶授權和(hé)訪問控制狀态，需要按照零信任理(lǐ)念，構建持續監測機制和(hé)動态調整訪問權限的能(néng)力。

· 一般企業對(duì)于日益嚴峻的移動安全威脅，雖然采用(yòng)了(le)一些(xiē)安全防護手段，但(dàn)基本是單一的、孤立的，缺乏整體的、統一的全生命周期防護，不能(néng)形成基于移動終端、移動應用(yòng)和(hé)通信網絡的縱深防護體系，更不能(néng)對(duì)移動業務敏感數據進行全生命周期保護，無法做到(dào)基于零信任的持續檢測與響應的長效動态機制。

解決方案

新冠疫情的影響，導緻企業遠程辦公需求激增，上(shàng)訊信息結合實際的應用(yòng)場景，對(duì)傳統的邊界防護體系進行改造升級，構建更加适應企業業務發展的零信任移動安全防護體系，通過提供安全可信訪問、網絡安全傳輸、持續信任評估和(hé)動态訪問控制等能(néng)力，保障企業移動業務安全高(gāo)效開(kāi)展。

· 安全可信訪問：采用(yòng)單包敲門(mén)技術，實現(xiàn)系統自(zì)身網絡和(hé)業務應用(yòng)隐藏，僅允許可信設備及應用(yòng)的授權用(yòng)戶看(kàn)到(dào)并訪問被保護的業務服務，收斂網絡暴露攻擊面，提升移動業務訪問防護強度。

· 網絡安全傳輸：針對(duì)移動應用(yòng)APP訪問業務服務，采用(yòng)應用(yòng)級雙向認證安全隧道(dào)技術，以及基于用(yòng)戶、設備、應用(yòng)、微應用(yòng)、服務和(hé)接口的細粒度最小(xiǎo)化授權，保障移動業務通信安全。

· 持續信任評估：基于ATT&CK威脅框架，針對(duì)多端設備、用(yòng)戶、應用(yòng)和(hé)網絡，實時(shí)監測風(fēng)險IOC和(hé)IOA指标，持續進行多維度、智能(néng)化關聯分析和(hé)信任評估，并動态調整權限以及聯動響應處置。

· 動态訪問控制：從(cóng)終端用(yòng)戶、終端設備、移動應用(yòng)和(hé)網絡通信維度，進行持續性威脅風(fēng)險監測，感知(zhī)移動業務整體安全态勢，實時(shí)評估可信程度，實現(xiàn)一體化細粒度的動态訪問控制體系。

· 全生命周期防護：基于零信任安全架構，結合平台安全檢測、安全加固、安全沙箱、設備管理(lǐ)等移動安全防護能(néng)力，提供移動用(yòng)戶、移動應用(yòng)、網絡通信、業務數據等方面的全周期防護。

方案優勢

上(shàng)訊信息移動安全防護方案，遵循零信任安全架構，采用(yòng)檢測與響應的自(zì)适應機制，通過安全檢測加固、設備安全管控、安全沙箱隔離、風(fēng)險威脅監測、安全隧道(dào)通信和(hé)數據洩露防護等功能(néng)，構建一體化、自(zì)動化、全周期的零信任移動安全防護體系，實現(xiàn)移動業務的全周期安全防護，保障移動業務的安全運行和(hé)高(gāo)效開(kāi)展。