网络安全形势日益严峻,作为基础电信业务经营单位的电信运营商面临着越来越大的压力。运营商依靠传统的访问控制、接入控制等系统构建了网络安全基础接入防护能力,但面对日益复杂的网络安全挑战,传统的解决方案已无法解决运营商面临的接入与防护挑战,如何保障业务安全也成了运营商长期思考的问题。
三大运营商其内部系统类型可大致分为办公类系统(如OA、邮件等)、生产类系统(如业务受理、CRM等)和运维类系统(如工单系统、网元运维管理等)三大类;在系统的访问接入上,分为互联网接入和DCN网接入两种途径;访问用户涵盖内部办公人员、网管运维人员、坐席、第三方驻场人员等多种角色;访问终端涉及多种终端类型和操作系统。
各种不同角色的用户、不同访问途径、不同的业务系统、不同类型的终端交织下,安全接入与防护成为运营商安全建设的主要难题:
一方面通过互联网接入的业务较多,存在被恶意扫描、漏洞试探攻击、弱密码爆破等入侵风险。
另一方面通过运营商DCN网为接入途径的应用系统包含大量内部敏感数据(B域、O域、M域等),直接暴露在所有内网甚至外网用户面前,增大了攻击面与数据暴露面,一旦遭到攻击后果将难以估量。
如前文所述,用户终端通过互联网接入访问内部系统时,面向的用户角色复杂,涉及业务系统同样复杂多样,加之终端本身安全状态不可控,极易成为攻击对象,进而威胁内部网络。
用户角色多样,数据中心逐渐增多、多云多数据中心接入成为常态,如何在多角色、多云多数据中心环境下实现统一的权限管理成为运营商信息化建设的又一挑战。
随着高级威胁不断加剧,权限管理必须要融入到业务的动态访问过程中,即能够对异常访问行为实现自动化、精细化的动态权限控制,以应对非法接入访问的风险,解决账号共享问题带来的数据安全隐患,实现对弱口令的有效检测与处置。
综上,摆在运营商面前的最大问题是如何保障业务安全接入与防护。
此时,以“从不信任、总是验证”为理念的零信任受到了运营商的关注。
聚焦到运营商行业中来看,部署零信任架构可以实现泛终端统一安全接入防护体系的建立,通过SDP(软件定义边界)方式实现“云改数转”后PC、移动端等统一安全接入需求,同时大幅缩减系统暴露面、助力纵深防御与数据安全,补足安全建设短板,实现对灰度流量的处置能力,满足重要时期网络安全保障需求。
同时,零信任架构更符合运营商多云同时接入的需求,满足云化趋势,实现多云环境下大并发用户的就近接入。
某运营商集团,基于全国各省 B 域系统的业务上与集约化建设需求,增加了大量安全访问需求,因此需要对访问人员进行统一安全管控。
针对具体问题,该运营商集团采用深信服零信任解决方案,通过在多云环境分布式部署零信任访问控制系统aTrust,对B域系统进行安全发布,有效收缩系统暴露面,实现用户的统一安全接入管控,同时以弹性扩容机制打破资源瓶颈实现高并发、解决多数据中心跨域部署的统一安全管控问题,全面提升系统访问安全性,最终为集团数万人提供满足1.5万并发接入的安全防护。
某省级运营商在信息化建设中投入上线了数百个办公及业务系统,并在移动端构建了以门户APP为主,集成众多业务APP的移动办公平台,日常承载上万员工的日常办公和运维业务,业务暴露风险、终端安全风险成为主要威胁。
为有效收缩业务暴露面,该运营商采用深信服零信任解决方案,通过基于零信任的全终端安全沙箱技术为移动终端和传统PC终端构建统一的终端安全能力,隐藏业务暴露面,实现全省3W多终端的统一安全接入,满足攻防演练/重保期间的安全保障,对访问行为有效溯源,定位攻击行为。
某省级运营商涵盖网管系统、办公系统、业务后台管理系统等200个网络及应用运维系统,6000余名运维人员,有大量的业务系统需要通过内网和外网访问,权限管理成为最大问题。
为实现用户访问的权限最小化管理,该运营商采用深信服零信任方案,将运维系统隐藏在零信任网关之后,对接现网4A系统,实现访问流量的身份化,结合终端环境和访问行为实现访问权限的动态访问控制。
作为国内率先探索零信任应用的企业之一,深信服基于十几年来SSL VPN市场领导者地位,对业务接入访问场景有非常深刻的认识和积累,同时基于深信服自身安全产品体系带来的安全实践经验和安全能力,提出了“以身份为中心,可信访问、智能权限、极简运维”的零信任架构理念。
基于该理念,深信服推出了基于SDP架构的零信任访问控制系统aTrust产品及解决方案,通过新一代网络隐身、动态自适应认证、全周期终端环境检测、动态业务准入、动态访问控制、多源信任评估等核心能力,帮助运营商实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构转型。
▲深信服零信任整体架构
据深信服零信任产品线总经理郭炳梁介绍,深信服以自身安全为底层设计和开发要素,全新推出零信任安全架构方案,其核心组件也被命名为aTrust。除了业务安全防护能力外,在自身安全上,也经过内外部重重把关验证,仅以运营商行业为例,就在多个用户处经历过多轮实际的深度攻防渗透验证。对业务安全和自身安全的深刻理解,也是深信服零信任能得到运营商客户认可的其中一个关键因素。
也正是基于对安全和业务的双方面的深刻理解和实践, 深信服零信任目前已在多家运营商中成功落地。
目前,深信服零信任已在金融、运营商、互联网企业、大型制造业、教育、政府科研、企事业单位等各行各业落地实施,其轻量级、易落地、可持续成长的优势已被越来越多的用户认可。
随着运营商业务支撑系统云化与中台改造的加速,运营商的安全建设正从传统的边界防御向云端安全与终端安全延伸,从网络安全向数据安全、应用安全延伸。
对此,深信服凭借深耕运营商行业领域多年经验,深度结合行业发展趋势,提出了“可信接入、立体防护、全网感知、集中管控”的安全建设思路,以助力运营商构建新一代安全架构,为运营商信息化发展保驾护航。