对于多数企事业单位来说,外包服务是一个避不开的话题,小到系统运维,大到软件程序,众多的企事业单位在享受外包服务带来的便利的同时,对于外包人员的网络访问权限管理,也成为“老大难”问题:管的松一点,外包人员和单位员工相同权限,容易引发误操作、数据泄露等多种安全风险;管的紧一点,外包人员访问内网受限,工作不好开展,无法及时高效解决问题,完全是因噎废食,得不偿失。
还有类似的情况,客户是某一大型政府单位,整体网络规划时存在严重缺陷,业务服务器与内网没有防火墙等边界设备,更有多个下级部门托管的服务器,加之多年的网络维护、设备更新……,整体网络环境极度复杂,难以梳理。用户希望在不影响现有业务访问的前提下(也就是不能添加边界防火墙等阻断设备),加强对外包人员的权限管理,该怎么解决呢?有没有一种两全其美的方式呢?
用北信源动态访问控制系统,完美解决该用户的需求!
北信源动态访问控制系统,,由环境感知代理系统、环境感知系统以及零信任网关共同组成。产品以“零信任”理念为基础,对数据和功能核心资源访问的行为进行精细化访问控制,通过对终端多维度属性进行感知和风险评估,与安全访问平台联动实现动态鉴权访问控制,说的简单一点:
零信任网关旁路部署(旁路常规网关):不需要结合防火墙(也就是只需要统计外包人员必须访问的业务资源,包括URL、端口、协议等,其他设备安全无需纳入管控);
仅限制安装客户端的终端设备:不装客户端或者客户端连不上零信任网关,走常规网关,不影响日常访问(这一点最重要,对于非外包人员,完全没必要安装客户端);装上客户端而且连上零信任网关,新建通信隧道,只能访问指定的URL或API;
用户身份验证:对于核心业务的访问,直接关联到具体用户,责任到人;
多维度持续评估终端安全性能:如果终端本身不安全,有病毒感染或其他安全隐患,主动降低终端安全评分;
动态权限分配:随着终端安全评分的变更,自动调整核心业务访问权限,始终保证访问权限最小化。
客户端本身防卸载,且开机自检,守护进程及时上报异常;
技术原理上符合客户预期,经过与客户协商,客户同意进入测试流程,经过多轮验证,只需以下简单几步就能实现用户增强外包人员权限监管的需求:
外包人员初次接入内网时,强制安装客户端软件;
如果需要访问核心资源,首先必须要使用自己的账号登录客户端;
其次,必须要对终端环境进行评估,包括但不限于:是否安装杀毒软件、是否存在系统漏洞等;在不达标的情况下,可利用客户端提供的接口或提示信息,通过安装杀毒软件、打补丁等形式,提升设备安全等级;
在完成身份认证和环境评估的基础上,外包人员可访问核心资源;
访问期间,客户端会在后台持续对终端环境进行评估,如果出现安全等级评估不达标的情况,自动降低访问权限,甚至断开连接。外包人员必须修复不达标项,才能重新建立访问连接。
目前,北信源动态访问控制系统已经完成采购部署流程,正式在客户现场上线了,完全有望成为外包人员权限监管的“守门员”。
