【概要描述】

背景

      随着互聯網時(shí)代的快速發展，APT攻擊、DDoS攻擊等網絡安全問題頻發。近月來，我司接連收到海陵區公安局網安部門發來草和的網絡安全漏洞通(tōng)報，在經過綜合分析和評估後，決定采讀她用零信任安全解決方案，以此來強化網絡安全隐患排查整改，推動以攻促防，查漏書哥補缺。 

      企業信息基礎設施當前已經逐漸進入一個無邊界化的時話火(shí)代。為(wèi)了支撐數字化業務，企業需要将業務和數據遠答開(kāi)放給相關的各種人員、各種設備，以滿足任何時(s冷數hí)間、任何地點的訪問需求。這必然會(huì)迎來玩樂一系列的安全威脅與管理難題。

      雲湧零信任安全管理平台由控制中心、接入網關、鐘西雲聯網關及連接器(qì)、管理控制台、認證中心客戶端、認證中好女心網頁端、SaaS租戶管理平台等産品模塊組合而成。其中非核心站熱模塊可以根據客戶實際需求以及網絡環境進行組裝或拆卸。西近産品支持入駐式部署及SaaS運營方式。系統确保隻有正确的人、使用正确的賬号、通(tōng)動喝過正确的設備、在正确的時(shí)間和地點、借助正确的應用才能訪問正确的服照但務，同時(shí)遵從正确的訪問權限。

      雲湧零信任在企業傳統的網絡基礎架構之上，構建以身份為(呢長wèi)中心的，貫穿企業網絡-應用-資(zī)源-數據全鍊路、一體化的安全網絡。

零信任端點安全建設方案

      首先，優先解決外網攻擊的問題，内網服務端嗎科口不(bù)再通(tōng)過NAT或反向代理暴露到公網，統一采用零信任安全組件進行接入，特點是隐藏服務端口，下河使服務端口無法被探測和感知到，隻能通(tōng)過零信任就土客戶端進行單包敲門，認證通(tōng)過後才能訪問到店微授權的服務。

      具體步驟如(rú)下：

1）  彙總公司暴露在外網的所有端口及其對應的服務内網地址及端口。妹畫

a)      使用嗅探工(gōng)具掃描公司出口IP，獲取所有暴露在公網的服務端口；

b)      通(tōng)過路由器(qì)上的NAT配置信息找出公網服務端口對應的内網服務地址及端口；

c)      每個服務找到對應的責任人，确認服務的訪問師光控制策略；

2）  關閉公司所有公網服務端口，服務通(tōng)過零信任照謝安全組件接入，并配置相應的訪問控制策略。

3）  零信任客戶端推廣使用。

      整改後，業務服務關閉公網訪問入口，員工(gōng)及合睡農作夥伴通(tōng)過零信任客戶端，在互聯網安全的訪問内網服務，人訊業務不(bù)受任何影響。同時(shí)，零信任短花安全組件實時(shí)監控訪問行為(wèi)，動态評估訪問她舞主體、訪問客體、訪問路徑、訪問環境等是否安全去但，并在識别出風險時(shí)及時(shí)處置。

      其次，為(wèi)了解決内網安全隐患，根據業務類型和部門劃在計分不(bù)同的VLAN，各VLAN之間的通(tōng)過ACL策略進行合理的訪問控制。同時(shí)建立DMZ區，DMZ區用來放置必須公開(kāi)的服務器(qì)資(zī)源（如(rú)企業藍車Web服務器(qì)、文件服務器(qì)、論壇等）和零信任網關，外網、DMZ和内網之間通(tōng)過防火牆進行隔離。

      以下為(wèi)部署零信任安全信議組件後的網絡拓撲：

總結

      通(tōng)過雲湧零信任，有效阻擋了外網攻擊，土低實現了安全漏洞的快速處理。通(tōng)過對内部網絡架構進行适當調整音舊，解決了内網的安全隐患。

為(wèi)了更好(hǎo)的進行安全防護。雲湧零信任為(wèi)企業客戶提輛他供可落地的建設性解決方案，達到整改安全漏洞隐醫山患，完善安全防護措施，優化安全策略，有效提升整體網絡錢窗安全防護水平的目的。将安全防護能力用到各書刀業務場景，為(wèi)企業的保駕護航。

• 分類： 應用場景
• 作者：
• 來源：
• 發布時(shí)間：2023-10-23
• 訪問量：541