看！三大運(yùn)營商和零信任的碰撞

網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，作為基礎(chǔ)電信業(yè)務(wù)經(jīng)營單位的電信運(yùn)營商面臨著越來越大的壓力。運(yùn)營商依靠傳統(tǒng)的訪問控制、接入控制等系統(tǒng)構(gòu)建了網(wǎng)絡(luò)安全基礎(chǔ)接入防護(hù)能力，但面對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)，傳統(tǒng)的解決方案已無法解決運(yùn)營商面臨的接入與防護(hù)挑戰(zhàn)，如何保障業(yè)務(wù)安全也成了運(yùn)營商長期思考的問題。

　　三大運(yùn)營商其內(nèi)部系統(tǒng)類型可大致分為辦公類系統(tǒng)（如OA、郵件等）、生產(chǎn)類系統(tǒng)（如業(yè)務(wù)受理、CRM等）和運(yùn)維類系統(tǒng)（如工單系統(tǒng)、網(wǎng)元運(yùn)維管理等）三大類；在系統(tǒng)的訪問接入上，分為互聯(lián)網(wǎng)接入和DCN網(wǎng)接入兩種途徑；訪問用戶涵蓋內(nèi)部辦公人員、網(wǎng)管運(yùn)維人員、坐席、第三方駐場人員等多種角色；訪問終端涉及多種終端類型和操作系統(tǒng)。

　　各種不同角色的用戶、不同訪問途徑、不同的業(yè)務(wù)系統(tǒng)、不同類型的終端交織下，安全接入與防護(hù)成為運(yùn)營商安全建設(shè)的主要難題：

　　l 系統(tǒng)暴露面大

　　一方面通過互聯(lián)網(wǎng)接入的業(yè)務(wù)較多，存在被惡意掃描、漏洞試探攻擊、弱密碼爆破等入侵風(fēng)險(xiǎn)。

　　另一方面通過運(yùn)營商DCN網(wǎng)為接入途徑的應(yīng)用系統(tǒng)包含大量內(nèi)部敏感數(shù)據(jù)（B域、O域、M域等），直接暴露在所有內(nèi)網(wǎng)甚至外網(wǎng)用戶面前，增大了攻擊面與數(shù)據(jù)暴露面，一旦遭到攻擊后果將難以估量。

　　l 終端安全問題突出

　　如前文所述，用戶終端通過互聯(lián)網(wǎng)接入訪問內(nèi)部系統(tǒng)時(shí)，面向的用戶角色復(fù)雜，涉及業(yè)務(wù)系統(tǒng)同樣復(fù)雜多樣，加之終端本身安全狀態(tài)不可控，極易成為攻擊對(duì)象，進(jìn)而威脅內(nèi)部網(wǎng)絡(luò)。

　　l 訪問權(quán)限管理困難

　　用戶角色多樣，數(shù)據(jù)中心逐漸增多、多云多數(shù)據(jù)中心接入成為常態(tài)，如何在多角色、多云多數(shù)據(jù)中心環(huán)境下實(shí)現(xiàn)統(tǒng)一的權(quán)限管理成為運(yùn)營商信息化建設(shè)的又一挑戰(zhàn)。

　　隨著高級(jí)威脅不斷加劇，權(quán)限管理必須要融入到業(yè)務(wù)的動(dòng)態(tài)訪問過程中，即能夠?qū)Ξ惓ＴL問行為實(shí)現(xiàn)自動(dòng)化、精細(xì)化的動(dòng)態(tài)權(quán)限控制，以應(yīng)對(duì)非法接入訪問的風(fēng)險(xiǎn)，解決賬號(hào)共享問題帶來的數(shù)據(jù)安全隱患，實(shí)現(xiàn)對(duì)弱口令的有效檢測與處置。

　　綜上，擺在運(yùn)營商面前的最大問題是如何保障業(yè)務(wù)安全接入與防護(hù)。

　　零信任架構(gòu)為何受到運(yùn)營商行業(yè)的青睞？

　　此時(shí)，以“從不信任、總是驗(yàn)證”為理念的零信任受到了運(yùn)營商的關(guān)注。

　　聚焦到運(yùn)營商行業(yè)中來看，部署零信任架構(gòu)可以實(shí)現(xiàn)泛終端統(tǒng)一安全接入防護(hù)體系的建立，通過SDP（軟件定義邊界）方式實(shí)現(xiàn)“云改數(shù)轉(zhuǎn)”后PC、移動(dòng)端等統(tǒng)一安全接入需求，同時(shí)大幅縮減系統(tǒng)暴露面、助力縱深防御與數(shù)據(jù)安全，補(bǔ)足安全建設(shè)短板，實(shí)現(xiàn)對(duì)灰度流量的處置能力，滿足重要時(shí)期網(wǎng)絡(luò)安全保障需求。

　　同時(shí)，零信任架構(gòu)更符合運(yùn)營商多云同時(shí)接入的需求，滿足云化趨勢(shì)，實(shí)現(xiàn)多云環(huán)境下大并發(fā)用戶的就近接入。

　   從三大典型案例看運(yùn)營商行業(yè)如何落地零信任

　　l 某運(yùn)營商集團(tuán)多數(shù)據(jù)中心統(tǒng)一安全接入建設(shè)

　　某運(yùn)營商集團(tuán)，基于全國各省 B 域系統(tǒng)的業(yè)務(wù)上與集約化建設(shè)需求，增加了大量安全訪問需求，因此需要對(duì)訪問人員進(jìn)行統(tǒng)一安全管控。

　　針對(duì)具體問題，該運(yùn)營商集團(tuán)采用深信服零信任解決方案，通過在多云環(huán)境分布式部署零信任訪問控制系統(tǒng)aTrust，對(duì)B域系統(tǒng)進(jìn)行安全發(fā)布，有效收縮系統(tǒng)暴露面，實(shí)現(xiàn)用戶的統(tǒng)一安全接入管控，同時(shí)以彈性擴(kuò)容機(jī)制打破資源瓶頸實(shí)現(xiàn)高并發(fā)、解決多數(shù)據(jù)中心跨域部署的統(tǒng)一安全管控問題，全面提升系統(tǒng)訪問安全性，最終為集團(tuán)數(shù)萬人提供滿足1.5萬并發(fā)接入的安全防護(hù)。

　　l 某省級(jí)運(yùn)營商終端統(tǒng)一安全接入建設(shè)

　　某省級(jí)運(yùn)營商在信息化建設(shè)中投入上線了數(shù)百個(gè)辦公及業(yè)務(wù)系統(tǒng)，并在移動(dòng)端構(gòu)建了以門戶APP為主，集成眾多業(yè)務(wù)APP的移動(dòng)辦公平臺(tái)，日常承載上萬員工的日常辦公和運(yùn)維業(yè)務(wù)，業(yè)務(wù)暴露風(fēng)險(xiǎn)、終端安全風(fēng)險(xiǎn)成為主要威脅。

　　為有效收縮業(yè)務(wù)暴露面，該運(yùn)營商采用深信服零信任解決方案，通過基于零信任的全終端安全沙箱技術(shù)為移動(dòng)終端和傳統(tǒng)PC終端構(gòu)建統(tǒng)一的終端安全能力，隱藏業(yè)務(wù)暴露面，實(shí)現(xiàn)全省3W多終端的統(tǒng)一安全接入，滿足攻防演練/重保期間的安全保障，對(duì)訪問行為有效溯源，定位攻擊行為。

　　l 某省級(jí)運(yùn)營商運(yùn)維系統(tǒng)權(quán)限安全建設(shè)

　　某省級(jí)運(yùn)營商涵蓋網(wǎng)管系統(tǒng)、辦公系統(tǒng)、業(yè)務(wù)后臺(tái)管理系統(tǒng)等200個(gè)網(wǎng)絡(luò)及應(yīng)用運(yùn)維系統(tǒng)，6000余名運(yùn)維人員，有大量的業(yè)務(wù)系統(tǒng)需要通過內(nèi)網(wǎng)和外網(wǎng)訪問，權(quán)限管理成為最大問題。

　　為實(shí)現(xiàn)用戶訪問的權(quán)限最小化管理，該運(yùn)營商采用深信服零信任方案，將運(yùn)維系統(tǒng)隱藏在零信任網(wǎng)關(guān)之后，對(duì)接現(xiàn)網(wǎng)4A系統(tǒng)，實(shí)現(xiàn)訪問流量的身份化，結(jié)合終端環(huán)境和訪問行為實(shí)現(xiàn)訪問權(quán)限的動(dòng)態(tài)訪問控制。

　　為什么各大運(yùn)營商在零信任落地中選擇深信服？

　　作為國內(nèi)率先探索零信任應(yīng)用的企業(yè)之一，深信服基于十幾年來SSL VPN市場領(lǐng)導(dǎo)者地位，對(duì)業(yè)務(wù)接入訪問場景有非常深刻的認(rèn)識(shí)和積累，同時(shí)基于深信服自身安全產(chǎn)品體系帶來的安全實(shí)踐經(jīng)驗(yàn)和安全能力，提出了“以身份為中心，可信訪問、智能權(quán)限、極簡運(yùn)維”的零信任架構(gòu)理念。

　　基于該理念，深信服推出了基于SDP架構(gòu)的零信任訪問控制系統(tǒng)aTrust產(chǎn)品及解決方案，通過新一代網(wǎng)絡(luò)隱身、動(dòng)態(tài)自適應(yīng)認(rèn)證、全周期終端環(huán)境檢測、動(dòng)態(tài)業(yè)務(wù)準(zhǔn)入、動(dòng)態(tài)訪問控制、多源信任評(píng)估等核心能力，幫助運(yùn)營商實(shí)現(xiàn)流量身份化、權(quán)限智能化、訪問控制動(dòng)態(tài)化、運(yùn)維管理極簡化的新一代網(wǎng)絡(luò)安全架構(gòu)轉(zhuǎn)型。

　　深信服零信任整體架構(gòu)

　　據(jù)深信服零信任產(chǎn)品線總經(jīng)理郭炳梁介紹，深信服以自身安全為底層設(shè)計(jì)和開發(fā)要素，全新推出零信任安全架構(gòu)方案，其核心組件也被命名為aTrust。除了業(yè)務(wù)安全防護(hù)能力外，在自身安全上，也經(jīng)過內(nèi)外部重重把關(guān)驗(yàn)證，僅以運(yùn)營商行業(yè)為例，就在多個(gè)用戶處經(jīng)歷過多輪實(shí)際的深度攻防滲透驗(yàn)證。對(duì)業(yè)務(wù)安全和自身安全的深刻理解，也是深信服零信任能得到運(yùn)營商客戶認(rèn)可的其中一個(gè)關(guān)鍵因素。

　　也正是基于對(duì)安全和業(yè)務(wù)的雙方面的深刻理解和實(shí)踐， 深信服零信任目前已在多家運(yùn)營商中成功落地。

　　目前，深信服零信任已在金融、運(yùn)營商、互聯(lián)網(wǎng)企業(yè)、大型制造業(yè)、教育、政府科研、企事業(yè)單位等各行各業(yè)落地實(shí)施，其輕量級(jí)、易落地、可持續(xù)成長的優(yōu)勢(shì)已被越來越多的用戶認(rèn)可。