文章圖片

而在實際落地時 ， 由于SSL VPN以IP/IP段全端口發布資源 ， 把訪問權限放大了 ， 在SDP替代SSL VPN接入后 ， 開放了不該被訪問的資源 ， 甚至是高危端口 。 針對具體問題具體分析 ， 我們逐步收斂資源權限 ， 避免了這種情況再次發生 。
為了保障員工順暢的辦公體驗 ， 這個階段深信服優先改造移動終端的接入 ， 同步面向員工加強零信任理念的宣貫 ， 扭轉員工的使用習慣 。

文章圖片

降低ACL復雜度：IDTrust 統一身份認證單點登錄改造
解決了內網訪問權限的問題 ， 要徹底根治人員權限管理混亂 ， 接下來就是通過統一身份認證 ， 實現應用訪問權限的收斂 。
通過深信服統一認證平臺IDTrust 對后端應用進行改造 ， 深信服實現了超過200個業務系統的單點登錄與雙因認證 。 員工不再需要記住多個系統賬號密碼 ， 也規避了使用弱密碼帶來的安全問題 。 此外 ， IDTrust 的應用對接能夠實現同崗同權 ， 即根據崗位梳理員工訪問不同系統的權限 ， 員工崗位變更 ， 權限隨之自動改變 ， 大大提升運維管理效率 。

文章圖片

現在 ， 新員工入職深信服 ， 只需要HR在系統為新員工注冊賬號 ， SDP 與IDTrust 自動根據組織結構和角色繼承權限 。 員工使用SDP賬號即可獲得應用訪問權限 ， 通過IDTrust 則可以直接訪問崗位對應需要的系統應用 。 在員工離職時 ， SDP與IDTrust 還可以自動關閉相關應用與系統權限 。
組合拳二：橫向拓展SDP ， 實現雙源雙因素認證
2021年 ， 深信服內部開展了一次攻防演練 。 藍軍利用口袋助理發布釣魚信息 ， 很多員工“上鉤” 。 但面對部署了零信任的系統 ， 藍軍投入一半精力嘗試攻擊 ， 都沒有取得突破 。 這次事件讓我們長了教訓 ， 員工安全意識是整個安全建設最薄弱的環節 ， 也警示我們持續收斂內網權限刻不容緩 。

文章圖片

從SDP與SSL VPN并行 ， 到全員部署SDP
此前深信服各區域和總部均部署SD-WAN ， 開通加密隧道 ， 員工可以直接訪問總部業務系統 。 一旦有攻擊者連接上分支網絡 ， 也可以直接訪問總部資源 ， 存在一定的安全風險 。
在全員安裝零信任訪問控制系統SDP客戶端后 ， 無論是總部還是區域員工 ， 以及外包員工的訪問請求 ， 可以將原有多個暴露的業務直接收斂成一個入口 ， 業務系統的IP、端口等信息都被隱藏起來 。
通過收縮業務暴露面 ， 在這種情況下 ， 即使員工被釣魚成功 ， 因為訪問到的資源有限 ， 攻擊者很難直接進入業務系統 ， 內網防護能力大幅提升 。
從IAM單點登錄 ， 到雙源雙因素認證
在第一階段 ， 深信服單獨依靠SSL VPN或IDTrust一套系統進行認證 ， 一旦出現身份冒用 ， 盡管部署零信任訪問控制系統SDP ， 攻擊者依然可以趁虛而入 。
深信服進而采用了IAM主認證+SDP輔認證的雙源雙因素認證方式 ， 當員工訪問業務時 ， 重定向到深信服統一認證平臺IDTrust彈出掃碼界面 ， 新用戶認證后會彈出SDP二次增強認證 ， 再彈出是否綁定授信終端；完成首次掃碼后 ， 老用戶登錄只需要通過IDTrust掃碼+SDP硬件特征碼完成身份校驗 。

• 深秋感冒患者謹防四誤區
• 監測|深圳無本土新增病例！最新返校要求來了
• 網友|“一切為了孩子” 深圳派醫生赴高風險地區給孩子做手術
• 毛孔|深度清潔≠抗衰，好皮膚不是“灌”出來的
• 神經元|手抖就是帕金森？年輕人不會得？關于這個病，誤解太深
• 失眠|從嚴重失眠到深度好眠，我用三招兒拯救了自己的睡眠
• 社區|4月10日0-24時，深圳新增1例本土新冠病毒無癥狀感染者，在社區篩查中發現
• 我一個資深高血壓病人，十多年來是怎樣把血壓保持在80一120的
• 隔離|最新！上海本土新增914+25173，警方深夜通報！
• 為何說尊重對方勞動能加深夫妻的情愛