本帖最后由 小渣渣 于 2025-1-15 11:03 编辑
1. 项目介绍1.1. 项目背景6月,集团首次接到了参加国家级攻防演练的通知,时间紧、任务重,而且还要横跨全国多个省市实施部署,如何攻防部署成为了客户的最大问题。 1.2. 项目痛点√场景分散:集团二级单位众多、分散在全国各地、以及不同的公有云场景,部署困难
√终端数量大:全集团业务办公人数超过1W点,存在很多老旧设备,推端和适配工作量巨大
√海外场景:存在小批量海外访问场景,需要保障访问体验
√账号体系分散:集团和二级单位未完成统建,无统一账号体系,需要从0-1进行创建
√时间周期:距离攻防演练只有14day,部署和推广时间紧张
2. 方案设计 2.1. 需求分析 l 考虑到客户二级单位分布广、时间紧张,且下属单位无专职的IT人员,如果采用硬件零信任方案,涉及硬件发货上架,跨区域协调等问题,时间赶不上,人力投入也非常大,综合来看SASE-ZTNA方案比较符合客户需求,客户侧部署轻量简单,且POP节点分布全国,满足客户诉求; l 客户终端数量大,短期推送大量终端最好是通过客户端软件推送或者重定向等方案解决,但是客户实际情况是不具备这些条件,最终和客户沟通确认通过行政手段,给员工发送客户端下载链接自行部署安装; l 对于海外有访问集团业务需求的员工,ZTNA当时还不支持跨境链路加速,最终采用其他方案替代(目前ZTNA+GA方案已发布上线); l 账号体系分散的问题,由于客户基础IT建设比较薄弱,所以没有统一管理组织结构的地方,只能人工进行梳理导入SASE本地用户管理
2.1. 拓扑规划
2.2. 功能规划 | 模块 | | | 1、IDaaS本地组织结构管理,导入组织信息 2、认证方式采用首次认证-密码+短信,二次认证邮箱+短信 3、无流量注销下线时间30分钟 4、支持授信终端一键上线 5、用户首次登录修改密码 6、密码强度限制 | | 1、连接器部署管理 2、内网应用管理 3、应用授权 4、上线准入管理,禁止未安装杀软的用户接入 | | 1、授信终端绑定,不进行额外验证 2、1个终端仅限1个用户,1人最多绑定1PC 1移动端 | | 1、集团出口AF接入SASE分支管理 2、开启C2、URL过滤功能 | | |
2.1. 实施过程概述 一、准备阶段 2、云图授权更新,在企业微信【工作台】-【内部管理】-【审批】-【SASE 一体化办公(ZTNA/XDLP)Beta申请】选择相关内容,进行填写提交
3、部署资源准备,通知可以根据相关要求提供连接器按照的相关资源,资源要求如下: | 操作系统类型 | | | | centos 7.9及以上(64位) ubuntu支持16及以上,建议ubuntu-16.04.7(64位) | | | Windows 7、8、10 Windows server 2008 r2、2012 r2、2016、2019 | |
4、配置信息收集,重点为用户组织架构信息、暴露面信息收集、暴露面收缩方式确认,确定ZTNA接入范围 ①用户互联网暴露面收集整理,属于相关业务访问的实际要求,访问关系等,转化为应用资源
②针对不同的业务系统账号、不同的单位账号进行梳理,统建账号体系 二、部署阶段 1、连接器安装部署 ①在平台创建好对应的连接器,下载打包给对应人员,进行快速安装 ②部署linux连接器,实现虚拟IP溯源
3、认证配置 ①IDaaS导入用户信息,用户导入需要注意,一级组织结构为集团和二级单位,所有账号不能重复,建议账号前缀添加组织编码 ②IDaaS配置认证源账号密码认证,启用二次认证-短信 3、ZTNA策略配置 ①通过平台创建需要访问的业务资源,选择对应的连接器进行资源发布 ②准入策略配置,需要安装对应的杀毒软件方能正常访问对应业务 ③管理员分权分域配置,二级单位管理员自主管理用户账号,通过管理员账号分权分域解决,二级管理员只分配所属单位的管理权限,页面权限只授予零信任访问相关的 四、终端推广、运行保障
3. 总结
提供了一个崭新的思路——以SASE模型为核心的一体化办公安全解决方案。通过安全与网络融合的一体化交付模型,该集团能够统一管控办公网的网络和安全策略,使员工随时随地都具备一致的安全保障和业务体验。 依托深信服SASE-ZTNA,该集团联合分支单位收敛了30余个重要业务系统在互联网的暴露面,强化身份和访问管控,确保安全策略的一致性和可管理性,实现对业务干扰的最小化,从根本上解决防守的问题。
在随后的常态化攻防演练中,集团和分支单位几千个用户终端每天通过SASE-ZTNA访问业务;协同全网行为管理AC、下一代防火墙AF等安全设备,拦截了15.8万次的恶意攻击,其中通过防火墙恶意域名链接重点监测到近百台风险终端。 | 
100 S豆
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 