股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
亚信安(ān)全“零信任+堡垒机” 化解遠(yuǎn)程运维安(ān)全风险
发布时间 :2022年04月02日
分(fēn)享:
疫情再次出现反复。在“能(néng)線(xiàn)上、就線(xiàn)上”的场景下,企业的IT运维“压力山(shān)大”,遠(yuǎn)程运维的“效率和安(ān)全”双双经受着考验。
墙高池深并不意味着绝对的安(ān)全,很(hěn)多(duō)网络攻击其实是光明正大的从“大门”溜达进去的,而打开这扇门的可(kě)能(néng)就是“遠(yuǎn)程运维”。
资产(chǎn)暴露增多(duō)
疫情之下,在線(xiàn)教育、線(xiàn)上交易、遠(yuǎn)程办(bàn)公(gōng)等更為(wèi)普遍,但同时也导致数字资产(chǎn)暴露面激增,主机、IP、网站、公(gōng)众号、小(xiǎo)程序、源代码、数据等资产(chǎn),都可(kě)能(néng)因為(wèi)漏洞、弱口令、敏感端口、数据泄露等安(ān)全隐患信息形成新(xīn)风险。
全程无法跟踪
在针对核心数据库、服務(wù)器、存储、机密文(wén)档的遠(yuǎn)程访问和运维管理(lǐ)中(zhōng),存在事前身份不确定、授权不清晰,事中(zhōng)操作(zuò)不透明、过程不可(kě)控,事后结果无法审计、责任不明确等问题,最终导致整體(tǐ)业務(wù)及IT运维工(gōng)作(zuò)面临安(ān)全风险。
病毒乘虚而入
遠(yuǎn)程运维不仅在网络传输过程中(zhōng)存在被不法分(fēn)子篡改、盗取的风险,更有(yǒu)可(kě)能(néng)因為(wèi)终端感染病毒,将恶意代码传播回公(gōng)司内网的风险,这包括了管理(lǐ)员以及第三方外包服務(wù)人员的终端。
说一千道一万,对各种风险的担忧,就是对遠(yuǎn)程运维方式上的不信任。那么,何以為(wèi)解?
“零信任+堡垒机”确保遠(yuǎn)程运维安(ān)全
零信任以“不信任”為(wèi)原则的安(ān)全策略,主张默认情况下不应该信任网络内部和外部的任何人、设备和系统。而在愈加纷繁复杂的网络环境下,遠(yuǎn)程运维更需要“从零做起”,基于认证以及授权,来重构访问控制的信任基础。
针对疫情之下遠(yuǎn)程运维的安(ān)全需求,亚信安(ān)全推出了零信任遠(yuǎn)程运维解决方案,以信磐堡垒机AISIFORT(简称堡垒机)為(wèi)“體(tǐ)”,以信磐零信任访问控制系统(简称SDP)為(wèi)“魂”,集梦蝶文(wén)件防病毒引擎之力,举防绕行之策,构建起遠(yuǎn)程运维的新(xīn)安(ān)全防線(xiàn)。
其中(zhōng),亚信安(ān)全SDP包括零信任客户端、控制中(zhōng)心、信任评估中(zhōng)心、零信任网关,共同构成了主體(tǐ)安(ān)全管理(lǐ)、安(ān)全访问控制、用(yòng)户统一门户、可(kě)视运维审计等核心能(néng)力。
图:亚信安(ān)全SDP核心能(néng)力
而提升遠(yuǎn)程运维安(ān)全能(néng)力的另一项“标配”技(jì )术,则是堡垒机,它可(kě)以多(duō)面记录运维人员的操作(zuò)行為(wèi),為(wèi)事件追溯和事故分(fēn)析提供依据,能(néng)够阻断高危命令的执行并及时切断恶意或越权的运维连接。此外,堡垒机还引入双因子认证机制,通过短信认证、动态令牌等技(jì )术,控制账号密码泄露风险,防止运维人员身份冒用(yòng)和复用(yòng)。
三大能(néng)力回应“灵魂三问”
零信任遠(yuǎn)程运维一體(tǐ)化
堡垒机+SDP深度联动,满足了互联网环境或跨网络环境下对企业内部资产(chǎn)进行遠(yuǎn)程运维的需求。首先,SDP的网络隐身技(jì )术,减少了数字资产(chǎn)的暴露面。其次,通过持续信任评估,将颗粒度细化到每一次的访问请求,防止越过堡垒机访问其他(tā)资产(chǎn)行為(wèi)。最后,通过打通堡垒机和SDP的身份认证策略,“一客户端一账户”,既满足身份认证集中(zhōng)管理(lǐ)与审计的统一,更可(kě)发挥堡垒机内置WAF、抗DDOS、防绕行、安(ān)全网盘模块,降低因外部攻击、病毒文(wén)件、越权访问等导致的安(ān)全风险。
主机防绕行
在运维管理(lǐ)过程中(zhōng),终端直连资产(chǎn)、内部跳转时有(yǒu)发生,导致整个运维过程无法管控与审计,带来安(ān)全隐患。而堡垒机的防绕行模块可(kě)以通过资产(chǎn)扫描,发现内部未纳管资产(chǎn),通过一键下发防绕行Agent,将资产(chǎn)的登录进行管控,对未授权登录、异常IP访问进行拦截告警,对敏感资产(chǎn)的访问进行二次认证,解决因直连和内部跳转等导致的安(ān)全隐患。同时,防绕行Agent支持资产(chǎn)在線(xiàn)监测、基础信息采集及补全,提供更方便、更省心的资产(chǎn)管理(lǐ)服務(wù)。
运维文(wén)件安(ān)全
在管理(lǐ)员或第三方运维人员终端不可(kě)控的前提下,方案中(zhōng)的安(ān)全网盘功能(néng),通过给运维人员在堡垒机上开通一个可(kě)扩产(chǎn)空间的个人网盘,限制运维人员通过文(wén)件传输协议、命令上传文(wén)件,同时通过集成梦蝶防病毒引擎,对文(wén)件进行病毒检测,有(yǒu)效的防止病毒文(wén)件扩散风险。
图:运维文(wén)件安(ān)全示意图
同心抗疫,勇于担当!作(zuò)為(wèi)國(guó)内领先的网络安(ān)全厂商(shāng),亚信安(ān)全将持续通过零信任等创新(xīn)技(jì )术,助力广大用(yòng)户“轻装(zhuāng)上阵”,共同解决因网络环境、终端设备、办(bàn)公(gōng)场景变化而导致的网络安(ān)全风险问题,与用(yòng)户一起科(kē)技(jì )抗疫,共筑安(ān)全防線(xiàn)。
亚信安(ān)全零信任遠(yuǎn)程运维解决方案核心能(néng)力点回顾:
网络隐身收敛被攻击暴露面;
权限最小(xiǎo)化控制细粒度访问;
持续信任评估确保安(ān)全连接;
“一客户端一账户”实现快捷运维;
主机防绕行杜绝绕行安(ān)全隐患;
运维文(wén)件防病毒禁毒乘虚而入;
多(duō)重安(ān)全防护策略抵御非法攻击。
分(fēn)享到微信
X