對于多數企事業單位來說,外包服務是一個避不開的話題,小到系統運維,大到軟件程序,眾多的企事業單位在享受外包服務帶來的便利的同時,對于外包人員的網絡訪問權限管理,也成為“老大難”問題:管的松一點,外包人員和單位員工相同權限,容易引發誤操作、數據泄露等多種安全風險;管的緊一點,外包人員訪問內網受限,工作不好開展,無法及時高效解決問題,完全是因噎廢食,得不償失。
還有類似的情況,客戶是某一大型政府單位,整體網絡規劃時存在嚴重缺陷,業務服務器與內網沒有防火墻等邊界設備,更有多個下級部門托管的服務器,加之多年的網絡維護、設備更新……,整體網絡環境極度復雜,難以梳理。用戶希望在不影響現有業務訪問的前提下(也就是不能添加邊界防火墻等阻斷設備),加強對外包人員的權限管理,該怎么解決呢?有沒有一種兩全其美的方式呢?
用北信源動態訪問控制系統,完美解決該用戶的需求!
北信源動態訪問控制系統,,由環境感知代理系統、環境感知系統以及零信任網關共同組成。產品以“零信任”理念為基礎,對數據和功能核心資源訪問的行為進行精細化訪問控制,通過對終端多維度屬性進行感知和風險評估,與安全訪問平臺聯動實現動態鑒權訪問控制,說的簡單一點:
零信任網關旁路部署(旁路常規網關):不需要結合防火墻(也就是只需要統計外包人員必須訪問的業務資源,包括URL、端口、協議等,其他設備安全無需納入管控);
僅限制安裝客戶端的終端設備:不裝客戶端或者客戶端連不上零信任網關,走常規網關,不影響日常訪問(這一點最重要,對于非外包人員,完全沒必要安裝客戶端);裝上客戶端而且連上零信任網關,新建通信隧道,只能訪問指定的URL或API;
用戶身份驗證:對于核心業務的訪問,直接關聯到具體用戶,責任到人;
多維度持續評估終端安全性能:如果終端本身不安全,有病毒感染或其他安全隱患,主動降低終端安全評分;
動態權限分配:隨著終端安全評分的變更,自動調整核心業務訪問權限,始終保證訪問權限最小化。
客戶端本身防卸載,且開機自檢,守護進程及時上報異常;
技術原理上符合客戶預期,經過與客戶協商,客戶同意進入測試流程,經過多輪驗證,只需以下簡單幾步就能實現用戶增強外包人員權限監管的需求:
外包人員初次接入內網時,強制安裝客戶端軟件;
如果需要訪問核心資源,首先必須要使用自己的賬號登錄客戶端;
其次,必須要對終端環境進行評估,包括但不限于:是否安裝殺毒軟件、是否存在系統漏洞等;在不達標的情況下,可利用客戶端提供的接口或提示信息,通過安裝殺毒軟件、打補丁等形式,提升設備安全等級;
在完成身份認證和環境評估的基礎上,外包人員可訪問核心資源;
訪問期間,客戶端會在后臺持續對終端環境進行評估,如果出現安全等級評估不達標的情況,自動降低訪問權限,甚至斷開連接。外包人員必須修復不達標項,才能重新建立訪問連接。
目前,北信源動態訪問控制系統已經完成采購部署流程,正式在客戶現場上線了,完全有望成為外包人員權限監管的“守門員”。
