政务外网终端+深信服零信任:让自由访问与安全兼得
政务服务数字化早已不是新鲜事儿,小到日常出行、核酸采集、电子证照,大到社区服务、医疗健康、人事资源,“ 互联网 +政务服务”已无形中深入百姓生活。
越来越多的政务人员需要接入政务外网进行办公,接入政务外网的终端与日俱增,从互联网跨网攻击到政务外网的攻击行为和事件时有发生。
如何在兼顾用户终端使用体验的同时,做好政务终端“一机两用”的安全管控?
不少政务网络管理者感叹:难!
一、政务外网终端安全隐患大
1、大量政务外网终端存在“跨网访问”现象
据调查显示,大量政务外网终端能够同时连接政务外网和互联网,意味着用户在访问政务外网时,也可以访问互联网。这种情况下,用户终端极易成为网络攻击的跳板,将互联网威胁引入政务外网中,带来重重隐患。
2、传统解决方案难应对
解决政务外网终端接入互联网过程中存在安全风险的关键,在于对政务外网终端的“一机两用”进行严格的安全管控,确保终端同一时间内不允许同时访问互联网和政务外网(分时上网),或者以安全隔离的方式访问互联网和政务外网。
现有的传统解决方案包括网络准入系统、违规外联检测设备、VPN及统一部署终端杀毒软件等,由于缺乏建设标准和建设依据,各单位政务外网终端类型、网络访问模式及建设方案不同,最终导致无法实现安全与用户易用性的平衡,甚至出现严重影响终端使用的问题。
传统解决方案很难在NAT场景下快速识别终端、阻断、溯源,更无法从根本上确保数据安全,因此十分被动。
二、政务外网终端+零信任:复杂难题,简单解决
针对政务外网终端的安全隐患,通过零信任便可整体解决终端环境检测、权限管理等问题。作为国内率先探索零信任应用的企业之一,深信服基于零信任技术,通过一套平台即可满足多场景安全建设,既轻松解决政务外网终端安全性问题,也解决了过去零信任难落地问题,全方位构建政务外网终端的认证准入、合规检查、跨网访问、违规外联、NAT终端溯源、终端数据保护等安全能力。
1、接入终端环境检测
首先,零信任对接入政务外网的终端进行全周期、进程级的环境安全检测,如系统补丁更新情况、是否运行杀毒软件、访问业务的进程是否可信等,一旦发现问题,立即阻断并告警,确保只有合规、安全的终端才能接入政务外网。
2、非法外联检测与阻断
运行期间,零信任客户端实时向互联网应用发起探测,一旦探测到终端存在非法外联或非指定互联网出口上网行为时,立即进行告警,NAT环境下也能实现违规外联终端定位,有效监管违规外联行为。
3、终端沙箱跨网访问隔离
针对备受关注的“一机两用”安全管控问题,我们提供两种不同的解决方案:
①分时上网:“一机两用”下同一时间只允许一个网络的安全使用。通过零信任客户端提供的驱动级网络隔离技术(无法通过修改本机路由绕过)限定终端在同一时间只允许访问政务外网或互联网。
②一机双网:“一机两用”下可以同时安全访问两个网络。零信任可限定政务外网终端在安全沙箱内访问政务外网,在安全沙箱外访问互联网,实现政务外网和互联网访问的安全隔离,可通过一个终端进行多场景、多门户的安全接入,既能确保安全,又能平衡体验。
此外,在终端访问政务业务系统时,深信服零信任基于沙箱技术的文件级加密能力,自动对下载的数据/文件进行加密、隔离等,并通过策略限制截屏录屏、限制拷贝、增加屏幕水印等多种方式确保数据安全。
4、NAT场景下的溯源
威胁检出、阻断后,如何溯源到“人”?零信任设备将所有流量打上身份标签并推送给态势感知,实现流量“身份化”。即使在NAT环境下,一旦检测出异常,即可立即联动安全感知管理平台SIP或全网行为管理AC,通过身份标签快速精准定位、溯源及审计。
有了这几大核心技术支撑,零信任实践如有神助。
但这些还不够,除打磨全终端安全技术外,深信服在零信任方案设计之初,便考虑到零信任部署落地问题,以更轻量、易落地、超稳定的特性,解除用户对于零信任架构“重”,落地“难”的疑虑:
1.更轻量:一套平台即可满足多场景零信任安全建设需求;
2.易落地:部署简单,一体化交付、对现网改动小;
3.超稳定:支持百万级并发接入,支持架构拓展,可持续“生长”。
深信服以零信任理念,构筑安全、稳定、可控可管的政务外网安全环境,从整体上解决终端数据安全问题,以简驭繁,让自由访问与安全兼得,共同构建更坚实的政务网络终端安全。