本帖最后由 行则将至08 于 2023-9-7 18:46 编辑
医疗行业SBC案例 一、需求背景 某三甲医院开展线上移动办公,职工需远程访问OA系统,医务人员需随时访问电子病历,疫情期间,院外专家远程进行三甲医院评审工作,需要远程登录医院内网系统,同时存在0-day漏洞绕过边界,社会工程学窃取凭证,攻击暴露面大等问题。同时,医院的内网系统登录需要一定的环境要求(标准的浏览器环境,配置一些插件和驱动)。
二、目的 通过构建零信任+VDI的SBC方案,建立技术壁垒,解决移动办公需求,同时解决业务暴露面过大的问题。实现内外网统一安全访问建设,并与边界安全,云安全,安全态势感知等能力相结合,形成融合统一的医院新一代安全防护体系。
三、交付拓扑 拓扑介绍:内外网各部署一台零信任代理网关,控制中心与外网代理网关部署在互联网区核心区,旁路核心部署与外网业务地址互通,内网代理网关旁路内网核心部署与内网业务地址互通。同时在内网部署VDI服务器,VDC和VMP以及VM与内网业务地址互通。
四、设备入网互联互通 1. 控制中心添加内外网代理网关 其中内网代理网关添加需要通过网闸将控制中心与内网代理网关打通。 2. 内网代理网关加入控制中心 控制中心443内网对应网闸内网口地址加端口,内网代理网关添加控制中心地址加端口,填入控制中心设置的密钥即可加入控制中心。
3. 零信任联动VDI设置 零信任控制中心在外网,VDC在内网,添加还是以网闸外网口地址为准添加。 五、VDI发布SBC应用,远程发布服务器配置 发布远程应用服务器,关联用户授权。
注意:同时零信任中的用户名称要手动导入,并且用户名称需要保持和原有致远OA(医院数据源)用户名称一致。 远程应用发布服务器配置浏览器和net环境等,安装远程应用发布客户端。
六、零信任添加对应应用资源 添加访问模式为桌面云的隧道资源,关联VDI设备选择上述四的联动配置。 七、用户获取和角色授权,对接医院原有致远OA数据源。 ![]()
八、访问效果 接入使用医院原有OA账户进行接入: 接入完成后,显示要访问的资源,以HIS为例: 点击资源跳转到VDI拉起界面,直接拉起远程发布服务器发布的浏览器资源。 至此,SBC整体方案落地完成。 注意事项: 1. 本院HIS业务由于业务设计问题,需要浏览器必须要有标准化的浏览器设置环境才可以访问,需要在远程发布服务器上浏览器进行设置,详情和按照实际情况和业务厂家沟通。 3. 远程应用发布服务器也需要激活授权。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-7-21 17:11
工程师1级 
