【概要描述】

背景

      随着互联网时代的快速开展，APT攻击、DDoS攻击等网络安全问题频发。近月来，我司接连收到海陵区公安局网安部门发来的网络安全漏洞通报，在经过综合分析和评估后，决定采用零信任安全解决方案，以此来强化网络安全隐患排查整改，有助于以攻促防，查漏补缺。 

      企业信息基础设施当前已经逐渐进入一个无边界化的时代。为了支撑数字化业务，企业需要将业务和数据开放给相关的各种人员、各种设备，以满足任何时间、任何地点的访问需求。这必然会迎来一系列的安全威胁与管理难题。

      欧博abg(中国)零信任安全管理平台由控制中心、接入网关、云联网关及连接器、管理控制台、认证中心客户端、认证中心网页端、SaaS租户管理平台等产品模块组合而成。其中非核心模块可以根据客户实际需求以及网络环境进行组装或拆卸。产品支持入驻式部署及SaaS运营方式。系统确保只有正确的人、使用正确的账号、顺利获得正确的设备、在正确的时间和地点、借助正确的应用才能访问正确的服务，同时遵从正确的访问权限。

      欧博abg(中国)零信任在企业传统的网络基础架构之上，构建以身份为中心的，贯穿企业网络-应用-资源-数据全链路、一体化的安全网络。

零信任端点安全建设方案

      第一时间，优先解决外网攻击的问题，内网服务端口不再顺利获得NAT或反向代理暴露到公网，统一采用零信任安全组件进行接入，特点是隐藏服务端口，使服务端口无法被探测和感知到，只能顺利获得零信任客户端进行单包敲门，认证顺利获得后才能访问到授权的服务。

      具体步骤如下：

1）  汇总公司暴露在外网的所有端口及其对应的服务内网地址及端口。

a)      使用嗅探工具扫描公司出口IP，获取所有暴露在公网的服务端口；

b)      顺利获得路由器上的NAT配置信息找出公网服务端口对应的内网服务地址及端口；

c)      每个服务找到对应的责任人，确认服务的访问控制策略；

2）  关闭公司所有公网服务端口，服务顺利获得零信任安全组件接入，并配置相应的访问控制策略。

3）  零信任客户端推广使用。

      整改后，业务服务关闭公网访问入口，员工及合作伙伴顺利获得零信任客户端，在互联网安全的访问内网服务，业务不受任何影响。同时，零信任安全组件实时监控访问行为，动态评估访问主体、访问客体、访问路径、访问环境等是否安全，并在识别出风险时及时处置。

      其次，为分析决内网安全隐患，根据业务类型和部门划分不同的VLAN，各VLAN之间的顺利获得ACL策略进行合理的访问控制。同时建立DMZ区，DMZ区用来放置必须公开的服务器资源（如企业Web服务器、文件服务器、论坛等）和零信任网关，外网、DMZ和内网之间顺利获得防火墙进行隔离。

      以下为部署零信任安全组件后的网络拓扑：

总结

      顺利获得欧博abg(中国)零信任，有效阻挡了外网攻击，实现了安全漏洞的快速处理。顺利获得对内部网络架构进行适当调整，解决了内网的安全隐患。

为了更好的进行安全防护。欧博abg(中国)零信任为企业客户给予可落地的建设性解决方案，达到整改安全漏洞隐患，完善安全防护措施，优化安全策略，有效提升整体网络安全防护水平的目的。将安全防护能力用到各业务场景，为企业的保驾护航。

• 分类： 应用场景
• 作者：
• 来源：
• 发布时间：2023-10-23
• 访问量：4109