湯青松-辦公網零信任安全實踐（41頁）.pdf

《湯青松-辦公網零信任安全實踐（41頁）.pdf》由會員分享，可在線閱讀，更多相關《湯青松-辦公網零信任安全實踐（41頁）.pdf（41頁珍藏版）》請在三個皮匠報告上搜索。

1、辦公網零信任安全實踐趣加-湯青松關于我們“FunPlus趣加”是游戲行業的一個品牌 ，由鐘英武創建于2010年。其主要代表產品有阿瓦隆之王、火槍紀元、State of survival，在世界范圍內以精品游戲和藝術風格而聞名，在北京、上海、臺北、舊金山、東京、斯德哥爾摩、莫斯科、巴塞羅那等地均設有辦公室，團隊中有來自超過20個國家和地區的近1000名員工，產品的本地化運營有著23種語言的支持。分享內容為什么做設計思路如何去做一、為什么做為什么建設零信任安全需求安全重視領導支持1.1 安全需要網絡現狀 公司網絡分為內部辦公網和公眾，基于這兩個網絡構建安全體系；其中內部辦公網被認為是可信網絡，一般

2、都不會內部網絡中訪問設置嚴格限制。隨著疫情到來，遠程辦公需求越來越多，內部網絡不再是由物理位置決定，內部網絡可信機制很難再滿足安全需求；同時VPN也只能保證身份安全，不能保證設備的安全性，很多并非辦公場景流量，體驗并不好。零信任理念默認不信任（用戶、設備、網絡);動態的訪問權限，可追溯的訪問過程；減小資源的暴露，縮小攻擊的范圍；持續信任評估和安全響應；建設目標 讓員工更安全、便捷訪問公司內部服務平臺，確保訪問者的身份及網絡環境安全才允許訪問，解決訪問日志分散記錄，無法追溯用戶行為；1.2 團隊重視安全源碼泄露場景 2002年9月，傳奇意大利服務器的源代碼意外泄露并流入中國，傳奇私服開始萌芽，在

3、接下來的半年時間里，全國共有超過500家私服在運營。在開發商表示沒法處理這件事件后，代理商盛大開始拒絕支付開發商的代理費用，并開始光明正大的購買著開發商的股票，直接使得盛大變成開發商的大股東了。高危漏洞場景 Def Con 2017會議上，有一個黑客向媒體透露了他在過去二十多年中，利用網游安全漏洞賺錢的經歷，并且現場演示了利用網游賺錢的方法。通過將命令輸入調試器后，幾秒內他的虛擬貨幣一下子飆升到了18萬億。操作手段會根據不同的游戲有所改變，但是其本質不變，都是通過在游戲中作弊，獲得原本無權擁有的道具或虛擬貨幣，然后再將這些非法所得賣給其他玩家，或者將它們整體出售給一些線上黑市，然后再由黑市賣給

4、其他個體玩家。二、如何去做如何去做確定理想目標熟悉現有架構調整網絡架構2.1 確認目標資源統管理統控制外部訪問減少VPN使動態調整訪問控制策略確認目標2.2 熟悉現有架構網絡現狀三種接式：VPN、WiFi和線、資源映射的訪問控制，主要依賴各業務方自己的權限管理及控制，部分系統安全性待加強。VPN的穩定性法有效保證，影響員訪問體驗；另隨著遠程辦公和移動設備的增多也加重了VPN的運維負擔及絡資源的耗費。戶、設備和應程序都定義到不同的信任域中，在給定區域內；目前相互之間可以由通信，缺乏東西向的訪問控制及統的安全關。網絡現狀賬號現狀2.3 目標方案建設方案 以份管理為中，通過代理關轉發外部請求到業務系

5、統；結合用戶屬性、絡環境、設備屬性及險狀態評估出信任等級；根據信任等級和應安全策略分配最訪問權 限，實現動態訪問控制?？煽紤]將部分辦公應直接開放到公，內應隱藏在關后面，只有通過份安全認證與設備可信檢測的用戶，才允許從公網直接訪問辦公應。建設方案份認證中份認證中：使現有的份認證組件IDaas和多因認證MFA等SSO：接公司現有的IDaas系統 MFA：google身份認證器 安全策略中安全策略中：成存儲安全策略及最訪問權限設置 策略成：根據份認證及設備險狀態動態成安全策略，并實時更新；權限設置：結合業務權限系統及信任等級設置訪問權限 可信代理網關可信代理關：所有內外訪問流量經代理關檢測并控制轉發

6、，作為流量處理中樞 請求轉發：對未登錄的請求轉發到SSO進登錄，或進次校驗 訪問控制：結合安全策略中的訪問控制策略對請求進控制 流量Hook：可以對指定流量進攔截Hook，消息注等 為分析統計：對及設備的訪問為進分析建模，對接日志審計系統終端agent安全檢測：系統、進程、絡連接、u盤拷貝、位置IP、殺毒軟件等數據上報：設備屬性及險狀態實時收集上報設備管理中設備證書管理：證書申請、下發及吊銷處理 設備屬性管理：設備屬性上報存儲 設備險管理：設備險狀態上報及分析評級三、具體怎么做3.1 階段計劃落地事項采集設備險、瀏覽器指紋和設備庫信息的關聯；設備認證結合IDaas、MFA等認證式，統一、用戶份

7、認證；份認證減小攻擊面，統一管理業務安全、接入、認證等功能；定義險等級和權限的映射關系，持動降級訪問，持校驗措施；網關接入權限控制根據訪問志做險分析，持事后溯源審計，對接日志審計平臺；對于險用戶或設備，在關處具備實時攔截阻斷的安全運營能；志審計安全運營第一階段搭建安全網關，實現流量轉發，連接IDaas身份認證；接入部分業務常用辦公服務，測試零信任訪問模式；第二階段接入全量辦公網常用業務系統；調研終端agent產品，支持安全基線檢測、證書簽發及TLS雙向認證；部分業務系統完成改造接入安全網關權限控制中心第三階段構建風險管理中心，可根據設備環境及風險信息實時更新信任評級；實現權限管理中心，支持ur

8、l級別的權限控制；全量辦公網業務接入權限管理中心；第四階段優化風險管理中心，加入行為風險識別能力，可基于請求日志進行風險識別；完善權限管理中心，開放業務自主配置能力；長期整合業務權限需求，支持細粒度權限的訪問控制；豐富可信代理網關的能力，包括流量攔截、行為分析統計、內容劫持注入、水印等；豐富用戶行為審計能力，結合業務訪問行為和終端安全日志，全面監控安全風險；3.2 建設細節openrestyOpenResty 是一個強大的 Web 應用服務器，Web 開發人員可以使用 Lua 腳本語言調動 Nginx 支持的各種 C 以及 Lua 模塊,更主要的是在性能方面，OpenResty可以 快速構造出足以勝任 10K 以上并發連接響應的超高性能 Web 應用系統。NginxWebUi 可以使用WebUI配置nginx的各項功能,包括http協議轉發,tcp協議轉發,反向代理,負載均衡,ssl證書自動申請、續簽、配置等,最終生成nginx.conf文件并覆蓋nginx的默認配置文件,完成nginx的最終功能配置.可以管理多個nginx服務器集群,隨時一鍵切換到對應服務器上進行nginx配置,也可以一鍵將某臺服務器配置同步到其他服務器,方便集群管理配置同步方案