En 400-6655-581
5
返回列表
> 资源中心 > 安全解读 | 零信任身份治理保障远程办公安全

安全解读 | 零信任身份治理保障远程办公安全

2020-02-25浏览次数:1310

往年此时,你一天的节奏应该是这样的:起床,坐车到公司,处理邮件,协调工作,不定时微信交流沟通,会议室开会,连线远程同事......再和同事约个午餐,和朋友下班小聚,忙中有序。


今年此时,我们的生活和工作被一场突如其来的疫情所打乱。为了确保员工安全,不给战“疫”添乱,很多企业积极响应国家和政府的号召,安排员工在家办公。顿时,远程办公成为新的生产力。视频会议、文档协同、远程接入等各种远程办公工具成为“网红”,为远程办公提供效率和便捷性。这种“宅家”模式的远程办公,会不会产生新的问题呢?


答案是肯定的。大量的远程办公需求,对访问安全、数据安全、终端安全、个人隐私保护等都带来的挑战。


从访问安全的角度来看,远程办公打破了传统网络安全的防护边界,无边界的业务访问越来越多,企业经营数据、办公流程、网络资源都面临身份识别、认证鉴权、合规审计各方面的安全风险和隐患,需要实现高级别的安全可信。


由此,基于“零信任”架构的安全机制和解决方案,将为企业的远程办公加强防护,保护企业信息安全。



远程办公场景下
“零信任”架构的防护机制

随着远程办公的开展,企业信息安全将面临安全边界的模糊化、访问设备的可信度缺失、大量的第三方外部访问、海量的运维量,而企业的基础架构却无法瞬时改变,运维人员数量也无法马上提升,现有的传统安全架构无法满足当下的业务及系统需求,基于“零信任”架构的安全方案,能很好的满足远程办公对信息安全的需求。




什么是零信任安全?


零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。


“零信任”安全的本质就是以身份为中心的访问控制,摆脱原有企业以网络为中心的安全防护体系,建立基于身份安全的企业身份边界,并基于用户-设备的认证突破企业安全网络边界的限制,重建企业信息化信任体系。




基于“零信任”架构的身份安全


企业在进行“零信任”架构的建设时,身份安全则是其最核心的部分。基于“零信任”架构的身份安全,能满足以下远程办公场景:


1. 企业移动平台办公:企业员工通过移动接入、远程接入应用系统,确保访问安全和应用安全。


2. 企业远程管理应用和服务:企业运维人员的账号,通常属于特权账号,一旦泄露,信息安全风险极大,企业需要加强对特权账号远程访问行为的管理,保障这些账号的访问安全和行为追溯。


3. 企业云平台办公:现在,基于SaaS平台的应用越来越多,为远程办公带来可极大的便捷性。同时,这些应用都部署在外网上,部署一套基于IDaaS的云身份管理平台,将成为保障SaaS登录安全和应用访问安全的有效途径。



企业移动平台办公的身份安全


远程办公中,企业员工通过互联网访问OA进行协同办公,登录财务系统进行财务管理,登录报销平台进行费用报销等等。
这时候,“ 账户认证强度弱,是否容易被攻破?采用明文传输账户密码,是否容易被窃取?大量遗留账号,是否容易被渗透?”
这些安全问题,可能是您在远程办公时不曾留意到的。

在企业基于边界网络下,风险还处在可控范围,一旦企业应用系统开放至互联网,这些问题带来的安全风险将会以指数级增加。


派拉身份安全平台可以从以下几点为企业解决这些风险:



1. 账户全生命周期自动管理:身份安全平台围绕企业用户的人事管理场景,通过接口和人力系统、应用系统实现对接,实现企业应用系统用户账户与人事管理场景自动同步,实现用户账户全生命周期管理和应用账户自动化管理,避免企业系统出现离职未禁用、使用完毕未回收的账户安全风险。


2. 集中安全认证:身份安全平台为用户访问应用提供统一入口,并提供多种高强度安全认证手段、安全认证协议保障认证安全。同时,结合“大数据+AI”的方式构建起“用户-设备-认证习惯”的认证风险体系,最大限度提升企业应用系统访问安全性。


3. 统一权限体系:身份安全平台对企业信息系统进行统一授权,通过一体化授权给企业信息系统进行权限统一供给,构建企业完善的权限体系。


4. 应用安全防护:结合我司安全网关平台,可以实现对企业所有应用API接口进行安全防护,将来自外部不可信的访问进行过滤为可信访问,提升应用服务安全性。


5. 可视化审计:身份安全平台对账户管理的情况、认证的情况、授权的情况、平台工作的现状、面临的风险进行记录,并进行可视化分析,更好的控制企业身份安全的风险,有效的帮助企业规避风险。


6. 标准和规范:身份安全平台项目不仅仅给企业搭建起一套基于“零信任”的身份安全架构,还会给企业搭建起身份安全相关的标准和规范。


企业远程管理应用和服务的身份安全


在移动办公的时候,企业运维人员也需要访问我们的基础设施进行日常运维, 而作为企业信息建设的基础设施,一旦开放至互联网,随之而来的黑客攻击、渗透攻击等都将威胁到这些基础设施,进而影响整个企业的信息系统稳定性。


派拉特权账号管理平台,可以从以下几点为企业解决这些风险:




1. 运维人员管理:企业对于运维人员需要进行明确的职责和角色的划分,并且通过特权账号管理平台可以对运维人员提供身份信息管理、身份信息同步,运维人员账户全生命周期管理。


2. 特权权限管理:特权账号管理平台可以对基础设施、应用的特权账户进行集中管理和访问控制,基于运维人员的职责和角色进行基于角色的临时授权,能够实现特权账户的申请、授权、改密等全场景。并支持对于运维过程中关键命令的集中控制,可以进行按需临时授权,也可以进行二次验证授权,最大限度保障特权使用安全。


3. 统一认证管理:特权账号管理平台为运维人员运维提供统一入口,并提供多种高强度安全认证手段、安全的认证协议保障认证安全,同时特权账号管理平台也支持基于策略的认证管理,最大限度提升企业基础设施、应用运维安全性。


4. 安全审计管理:特权账号管理平台提供身份信息审计、管理行为审计、字符审计、视频审计,同时支持定制化审计报表,保障企业运维过程可溯源,并支持使用过程中的实时审计,一旦发现运维人员的违规操作,可以通过邮件/短信等方式及时的通知管理人员,降低运维过程中的风险。


云平台办公的身份安全


当下,越来越多的企业选择将应用部署在云端,或者直接选择SaaS应用,比如我们常见腾讯企业邮件、钉钉、企业微信等等,我们如何统一管理这些云端应用账号?如何实现单点登录?如何解决云端数据与内网数据的互联互通?如何确保云端应用接口的安全性?成为了很多企业在部署云端应用的安全痛点。


派拉SSO360云身份管理平台可以从以下几点为企业解决这些问题:



1. 云端账户管理:SSO360云身份管理平台通过标准接口和SaaS应用系统实现对接,实现用户账户全生命周期管理和应用账户自动化管理。

2. 云端安全认证:SSO360云身份管理平台为用户访问SaaS应用提供统一入口,并提供多种高强度安全认证手段、安全的认证协议保障认证安全,实现云端应用的单点登录。

3. 云端应用整合: 结合我司安全网关平台,可以实现对云端应用API接口整合,实现企业内部应用和云端应用API接口的统一管理,统一对外提供服务。

4. 统一权限体系:SSO360云身份管理平台对SaaS应用进行授权供给,实现统一授权,将云端应用纳入企业统一权限管理体系。

5. 可视化审计:SSO360云身份管理平台可对SaaS应用账户情况、认证情况、授权情况、平台现状、风险进行记录,将云端应用纳入审计,提升企业身份安全审计的全面性,有效规避风险。