近日,2023 第八届IDC中国数字化转型年度盛典隆重召开。山东省港口集团有限公司(简称“山东港口”)以“零信任多数据中心安全接入”项目,荣获IDC“未来联接领军者”优秀奖。
如何定义“未来领军者”?IDC表示,领先的企业已准备好利用新兴数字技术构建和扩展新的数字化商业模式,与生态伙伴一起打造面向未来的可持续的数字化业务。
山东港口基于零信任理念构建安全接入新范式,以面向未来的超前视野,驱动领先的零信任落地实践,为多分支集团化企业的移动办公安全建设,提供极具参考价值的范本。
放眼全球,山东港口投身共建“一带一路”高质量发展。海外供应链安全正成为国家安全的重要组成部分,因而山东港口密切关注通过网络对供应链安全带来的威胁。
扎根脚下,以数字化转型打造核心竞争优势,推进世界级港口群建设、打造“双一流”企业,山东港口已建设1个数字孪生港口、3大智慧平台、3大能力中心、4项重点工程,面向客户、成员单位、员工、生态伙伴、政府部门、公众等6类用户,持续深化数字赋能。
顺势而生,山东港口积极融入全球化进程与数字化转型,由此伴生业务安全接入的挑战:
数据中心分布广:集团各业务系统分布在不同的数据中心,员工需要同时移动接入多个数据中心访问业务系统。
业务数据暴露广:集团部分业务系统直接暴露在互联网上,且明文传输,存在风险。
人员权限范围广:不同港口、不同业务板块的人员职责不尽相同,难以有效识别身份、区分权限。
终端应用种类广:集团有大量的H5应用需要通过PC或移动终端访问,但缺乏统一的门户入口。
聚焦业务安全接入 积极探索零信任技术应用
从有效管理5万员工身份与访问权限的角度切入,尤其针对移动办公对外业务的访问安全,从2021年开始,山东港口基于零信任的安全理念,统一移动办公入口,逐步实现随时随地安全接入数据中心访问业务。
大并发高可靠,承载多数据中心接入
在架构设计上,零信任aTrust通过X-Performance 2.0分布式集群技术,支持两地三中心部署统一运维管理,满足改造稳定性需求。
山东港口业务分布在青岛、日照、烟台等多个数据中心,通过在集团总部部署深信服零信任控制中心,在集团各分部数据中心分阶段部署深信服零信任安全代理网关,满足员工从互联网同时安全访问多个数据中心业务。
收敛业务暴露面,业务访问更安全
基于零信任代理,集团业务系统收缩对外暴露面,有效减少业务攻击面,并通过全流量SSL传输加密,防止通信数据被劫持解密风险,SSL证书加密密钥至少为2048位,显著增大破解难度,进一步保证传输安全性。
基于创新的第四代SPA“一人一码”技术,零信任aTrust还可以隐藏设备自身暴露面,防止恶意扫描、探测。
统一身份管理,内外网访问体验一致
山东港口内部员工众多,角色复杂,并有上下游产业链以及第三方运维人员访问内部业务的需求。
方案引入办公门户APP作为内部应用总入口,用户登录后即可看到属于权限内的应用,并新建统一认证平台,实现所有员工统一身份管理,以及与各个业务系统、零信任网关、服务器等进行单点登录对接,保障业务安全,兼顾内外网一致的访问体验。
实施最小权限访问,动态访问控制
通过零信任aTrust配置权限策略,山东港口基于终端环境、网络位置、用户身份、用户行为等多种因素进行信任评估,实现员工权限动态管理,及时识别存在风险的访问行为,确保业务访问过程的安全性。
方案支持对用户访问业务的情况进行分析,制定用户访问权限的有效期,并针对僵尸账号、僵尸权限及时进行回收,同时支持通过API接口与流程系统进行对接,自动化完成账号与权限的全生命周期管理。
持续基线检查,有效规避终端风险
在员工访问内网业务的过程中,通过零信任aTrust建立安全基线,运维人员可实时观测终端环境变化、访问行为变化,如终端安全软件的运行状态、系统补丁更新情况、访问业务的进程情况等,一旦触发安全基线处置条件,即可实现对应处置如禁止访问、增强认证等,有效规避因终端风险而对业务造成影响。
支撑数字化转型升级 体验领先一步,效果领跑一路
用户访问应用资源速度平均提升35%、员工办公效率提升50%、运维效率提升75%……
一连串的数据表明,零信任安全建设落地,为山东港口构建端到端多维度信任评估的访问控制链条,带来以下显著成效:
提升办公安全效果,助力数字化转型
办公安全是企业数字化转型的重要基础。山东港口通过零信任安全接入方案建设,全面提升了数字化办公安全水平。
山东港口综合业务、安全和场景要求,对身份、终端、网络位置、行为进行多源信任评估,在静态权限的基础上,对用户访问业务的过程进行动态访问控制。
基于对业务形态以及对数据机密程度与流转的要求,方案实现了不同场景下数据防泄露,最大限度规避因企业数字资产流失所带来的安全风险。
显著改善员工体验,释放办公生产力
方案为内外网用户提供一致性认证与接入体验,员工可以享受随时随地快速稳定访问业务,同时显著改善使用体验,只需要通过扫码、短信等认证方式,即可访问具备权限访问的业务,无需在IT事务中花费大量精力,极大释放办公生产力。
零信任的落地,也保障了山东港口面向外包、供应商等上下游安全接入内网业务、安全开展移动展业,拓展数字化的深度与广度。
简化运维,建立集中平台化管理体系
基于统一平台进行账号管理,山东港口通过组织架构、用户组、角色、用户等多种方式,灵活定义员工访问权限,并能与流程系统对接,自动化完成身份与权限的相关操作。
通过对终端、资产进行梳理与管理,集团能够有效监测终端安全状况,推动威胁处置闭环,并且结合发现的资产逐步扩展零信任的覆盖范围。
伴随企业业务不断发展,方案以其开放性,能够适配数据中心横向拓展与业务云化,实现安全体系的不断拓展,逐步建立以零信任为核心的安全体系架构,充分利旧并且将新增安全产品纳入到零信任安全体系中来,建立集中式平台化的安全体系。
随着信息化技术的发展,越来越多的组织单位业务数字化转型,其中必然包含OA、财务管理、人事管理、资产管理等数字化业务系统,服务于日常办公、生产等各个环节,使用群体涉及内部员工、第三方供应商/合作伙伴等。
深信服零信任为用户提供全流程的业务统一安全接入解决方案,从业务的安全发布,到访问过程的持续身份验证和终端/环境/行为的可信确认、最小化权限管控、访问行为管控等一系列安全能力,有效规避办公业务系统被非授权访问的行为,助力每一位用户“安全领先一步”。