×

看!三大运营商和零信任的碰撞
  

Sangfor_闪电回_朱丽 7593

{{ttag.title}}
网络安全形势日益严峻,作为基础电信业务经营单位的电信运营商面临着越来越大的压力。运营商依靠传统的访问控制、接入控制等系统构建了网络安全基础接入防护能力,但面对日益复杂的网络安全挑战,传统的解决方案已无法解决运营商面临的接入与防护挑战,如何保障业务安全也成了运营商长期思考的问题。
三大运营商其内部系统类型可大致分为办公类系统(如OA、邮件等)、生产类系统(如业务受理、CRM等)和运维类系统(如工单系统、网元运维管理等)三大类;在系统的访问接入上,分为互联网接入和DCN网接入两种途径;访问用户涵盖内部办公人员、网管运维人员、坐席、第三方驻场人员等多种角色;访问终端涉及多种终端类型和操作系统。

各种不同角色的用户、不同访问途径、不同的业务系统、不同类型的终端交织下,安全接入与防护成为运营商安全建设的主要难题:
  • 系统暴露面大


一方面通过互联网接入的业务较多,存在被恶意扫描、漏洞试探攻击、弱密码爆破等入侵风险。
另一方面通过运营商DCN网为接入途径的应用系统包含大量内部敏感数据(B域、O域、M域等),直接暴露在所有内网甚至外网用户面前,增大了攻击面与数据暴露面,一旦遭到攻击后果将难以估量。
  • 终端安全问题突出


如前文所述,用户终端通过互联网接入访问内部系统时,面向的用户角色复杂,涉及业务系统同样复杂多样,加之终端本身安全状态不可控,极易成为攻击对象,进而威胁内部网络。
  • 访问权限管理困难


用户角色多样,数据中心逐渐增多、多云多数据中心接入成为常态,如何在多角色、多云多数据中心环境下实现统一的权限管理成为运营商信息化建设的又一挑战。
随着高级威胁不断加剧,权限管理必须要融入到业务的动态访问过程中,即能够对异常访问行为实现自动化、精细化的动态权限控制,以应对非法接入访问的风险,解决账号共享问题带来的数据安全隐患,实现对弱口令的有效检测与处置。
综上,摆在运营商面前的最大问题是如何保障业务安全接入与防护。

零信任架构为何受到运营商行业的青睐?
此时,以“从不信任、总是验证”为理念的零信任受到了运营商的关注。
聚焦到运营商行业中来看,部署零信任架构可以实现泛终端统一安全接入防护体系的建立,通过SDP(软件定义边界)方式实现“云改数转”后PC、移动端等统一安全接入需求,同时大幅缩减系统暴露面、助力纵深防御与数据安全,补足安全建设短板,实现对灰度流量的处置能力,满足重要时期网络安全保障需求。
同时,零信任架构更符合运营商多云同时接入的需求,满足云化趋势,实现多云环境下大并发用户的就近接入。
从三大典型案例看运营商行业如何落地零信任
  • 某运营商集团多数据中心统一安全接入建设


某运营商集团,基于全国各省 B 域系统的业务上与集约化建设需求,增加了大量安全访问需求,因此需要对访问人员进行统一安全管控。
针对具体问题,该运营商集团采用深信服零信任解决方案,通过在多云环境分布式部署零信任访问控制系统aTrust,对B域系统进行安全发布,有效收缩系统暴露面,实现用户的统一安全接入管控,同时以弹性扩容机制打破资源瓶颈实现高并发、解决多数据中心跨域部署的统一安全管控问题,全面提升系统访问安全性,最终为集团数万人提供满足1.5万并发接入的安全防护。
  • 某省级运营商终端统一安全接入建设


某省级运营商在信息化建设中投入上线了数百个办公及业务系统,并在移动端构建了以门户APP为主,集成众多业务APP的移动办公平台,日常承载上万员工的日常办公和运维业务,业务暴露风险、终端安全风险成为主要威胁。
为有效收缩业务暴露面,该运营商采用深信服零信任解决方案,通过基于零信任的全终端安全沙箱技术为移动终端和传统PC终端构建统一的终端安全能力,隐藏业务暴露面,实现全省3W多终端的统一安全接入,满足攻防演练/重保期间的安全保障,对访问行为有效溯源,定位攻击行为。
  • 某省级运营商运维系统权限安全建设


某省级运营商涵盖网管系统、办公系统、业务后台管理系统等200个网络及应用运维系统,6000余名运维人员,有大量的业务系统需要通过内网和外网访问,权限管理成为最大问题。
为实现用户访问的权限最小化管理,该运营商采用深信服零信任方案,将运维系统隐藏在零信任网关之后,对接现网4A系统,实现访问流量的身份化,结合终端环境和访问行为实现访问权限的动态访问控制。
为什么各大运营商在零信任落地中选择深信服?
作为国内率先探索零信任应用的企业之一,深信服基于十几年来SSL VPN市场领导者地位,对业务接入访问场景有非常深刻的认识和积累,同时基于深信服自身安全产品体系带来的安全实践经验和安全能力,提出了“以身份为中心,可信访问、智能权限、极简运维”的零信任架构理念。
基于该理念,深信服推出了基于SDP架构的零信任访问控制系统aTrust产品及解决方案,通过新一代网络隐身、动态自适应认证、全周期终端环境检测、动态业务准入、动态访问控制、多源信任评估等核心能力,帮助运营商实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构转型。
深信服零信任整体架构
据深信服零信任产品线总经理郭炳梁介绍,深信服以自身安全为底层设计和开发要素,全新推出零信任安全架构方案,其核心组件也被命名为aTrust。除了业务安全防护能力外,在自身安全上,也经过内外部重重把关验证,仅以运营商行业为例,就在多个客户处经历过多轮实际的深度攻防渗透验证。对业务安全和自身安全的深刻理解,也是深信服零信任能得到运营商客户认可的其中一个关键因素。
也正是基于对安全和业务的双方面的深刻理解和实践, 深信服零信任目前已在多家运营商中成功落地。
目前,深信服零信任已在金融、运营商、互联网企业、大型制造业、教育、政府科研、企事业单位等各行各业落地实施,其轻量级、易落地、可持续成长的优势已被越来越多的用户认可。

随着运营商业务支撑系统云化与中台改造的加速,运营商的安全建设正从传统的边界防御向云端安全与终端安全延伸,从网络安全向数据安全、应用安全延伸。
对此,深信服凭借深耕运营商行业领域多年经验,深度结合行业发展趋势,提出了“可信接入、立体防护、全网感知、集中管控”的安全建设思路,以助力运营商构建新一代安全架构,为运营商信息化发展保驾护航。

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

山东_朱文鑫 发表于 2021-6-17 10:43
  
朱丽姐的帖子,这不得第一个顶贴!!!!!!!!!!!!!!!
新手339506 发表于 2021-6-23 10:36
  
文章很实用,有借鉴价值!
航嘉电脑门诊 发表于 2021-6-29 09:11
  
感谢朱丽姐的无私分享
এ塔铃独语别黄昏এ 发表于 2021-7-21 09:31
  
文章很实用,有借鉴价值!
山东_杨刚 发表于 2021-8-19 08:51
  
感谢楼主的精彩分享,有助工作。
航嘉电脑门诊 发表于 2021-9-23 15:42
  
以身份为中心,可信访问、智能权限、极简运维
航嘉电脑门诊 发表于 2021-9-23 15:47
  
文章很实用,有借鉴价值!
原来系洋仔呀 发表于 2021-9-30 16:49
  

文章很实用,有借鉴价值!
阿飞007 发表于 2021-10-23 11:46
  
感谢分享,      学习学习
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人