医疗行业SBC方案落地
  

行则将至08 2359114人觉得有帮助

{{ttag.title}}
本帖最后由 行则将至08 于 2023-9-7 18:46 编辑

医疗行业SBC案例
一、需求背景
某三甲医院开展线上移动办公,职工需远程访问OA系统,医务人员需随时访问电子病历,疫情期间,院外专家远程进行三甲医院评审工作,需要远程登录医院内网系统,同时存在0-day漏洞绕过边界,社会工程学窃取凭证,攻击暴露面大等问题。同时,医院的内网系统登录需要一定的环境要求(标准的浏览器环境,配置一些插件和驱动)。

二、目的
通过构建零信任+VDI的SBC方案,建立技术壁垒,解决移动办公需求,同时解决业务暴露面过大的问题。实现内外网统一安全访问建设,并与边界安全,云安全,安全态势感知等能力相结合,形成融合统一的医院新一代安全防护体系。

三、交付拓扑
       9204464f9a90011093.png 4036264f9a90cc4b6a.png
拓扑介绍:内外网各部署一台零信任代理网关,控制中心与外网代理网关部署在互联网区核心区,旁路核心部署与外网业务地址互通,内网代理网关旁路内网核心部署与内网业务地址互通。同时在内网部署VDI服务器,VDC和VMP以及VM与内网业务地址互通。

四、设备入网互联互通
1. 控制中心添加内外网代理网关
1612664f9a9238895d.png

其中内网代理网关添加需要通过网闸将控制中心与内网代理网关打通。
3972864f9a92e1f8de.png


2. 内网代理网关加入控制中心
控制中心443内网对应网闸内网口地址加端口,内网代理网关添加控制中心地址加端口,填入控制中心设置的密钥即可加入控制中心。


9154864f9a938ccd72.png
1243164f9a9498758d.png
3. 零信任联动VDI设置
零信任控制中心在外网,VDC在内网,添加还是以网闸外网口地址为准添加。



5893064f9a952d3c18.png
2711264f9a9648d093.png
1976664f9a96cd6b62.png
五、VDI发布SBC应用,远程发布服务器配置
发布远程应用服务器,关联用户授权。
1652764f9a97b7a134.png
3362464f9a9863d273.png
注意:同时零信任中的用户名称要手动导入,并且用户名称需要保持和原有致远OA(医院数据源)用户名称一致。

339964f9a98e82019.png
远程应用发布服务器配置浏览器和net环境等,安装远程应用发布客户端。

6580964f9a99856387.png
六、零信任添加对应应用资源
添加访问模式为桌面云的隧道资源,关联VDI设备选择上述四的联动配置。

2197164f9a9a0caa8e.png
299464f9a9b1c882f.png

七、用户获取和角色授权,对接医院原有致远OA数据源。


5582564f9a9bac2104.png
6733764f9a9c1ddbb4.png
9290564f9a9ca34af5.png

八、访问效果
接入使用医院原有OA账户进行接入:

2091964f9a9d416a02.png
接入完成后,显示要访问的资源,以HIS为例:

7332164f9a9de8312c.png
点击资源跳转到VDI拉起界面,直接拉起远程发布服务器发布的浏览器资源。

2708064f9a9e723327.png

1319564f9a9f17daa4.png
至此,SBC整体方案落地完成。
注意事项:
1. 本院HIS业务由于业务设计问题,需要浏览器必须要有标准化的浏览器设置环境才可以访问,需要在远程发布服务器上浏览器进行设置,详情和按照实际情况和业务厂家沟通。
2. 拉起VDI用户对于远程应用发布服务器来说是普通用户,需要添加为管理员权限,同时远程应用发布服务器要开启RDS授权(详情可百度解决https://blog.51cto.com/thinclient/5360751
3. 远程应用发布服务器也需要激活授权。



打赏鼓励作者,期待更多好文!

打赏
62人已打赏

陈璨 发表于 2023-7-21 17:11
  
图全裂了,看不了。希望楼主补档
新手517842 发表于 2023-7-21 18:15
  
感谢分享,期待更好的文章
JM 发表于 2023-7-21 18:26
  
感谢分享,期待更好的文章
新手780102 发表于 2023-7-21 18:31
  
感谢分享,期待更好的文章
新手780102 发表于 2023-7-21 18:33
  
感谢分享,期待更好的文章
新手612152 发表于 2023-7-21 18:49
  
感谢分享,期待更好的文章
司马缸砸了光 发表于 2023-7-21 18:53
  
感谢分享,期待更好的文章
新手078326 发表于 2023-7-21 19:10
  
感谢分享,期待更好的文章
SSSQS 发表于 2023-7-21 19:35
  
完全刷不出图片啊
发表新帖
热门标签
全部标签>
每日一问
每周精选
技术笔记
技术盲盒
2024年技术争霸赛
产品连连看
2023技术争霸赛专题
干货满满
技术咨询
标准化排查
通用技术
技术晨报
新版本体验
功能体验
秒懂零信任
自助服务平台操作指引
文档捉虫活动
信服课堂视频
GIF动图学习
答题自测
每日一记
运维工具
SDP百科
技术圆桌
排障笔记本
专家问答
在线直播
安装部署配置
测试报告
解决方案
项目案例
地址转换
存储
技术争霸赛
卧龙计划
畅聊IT
MVP
网络基础知识
升级
安全攻防
上网策略
日志审计
问题分析处理
流量管理
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
虚拟机
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
华北区拉练
天逸直播
以战代练
山东区技术晨报
齐鲁TV
华北区交付直播
北京区每日一练

本版版主

37
8
0

发帖

粉丝

关注

本版达人