钉钉零信任安全实践分享

如果无法正常显示,请先停止浏览器的去广告插件。
分享至:
1. 钉钉零信任安全实践分享 关维
2. 目录 远程办公遇到的挑战 1 2 3 钉钉零信任安全解决方案 典型场景
3. 一、远程办公下的安全威胁分析
4. 作为安全运营,你如何解决这些矛盾? 业务 远程办公的便利性 安全 vs. 安全管控的便利性 上线前 业务:我的业务系统要放到公网! 安全:内部系统无论如何不能开放! 业务:那我该怎么让员工在家办公? 安全:让他们申请VPN! 业务:安全团队真的¥%…@*&# 上线后 业务:老板反馈VPN经常掉线! 安全:没办法,解决不了。 老板:看个报表这么麻烦,我不要再用 VPN了! 安全:好吧,放到公网吧... 真出了问题呢???
5. 内部系统很难花大力气去搞安全,大家都觉得没必要 认证弱 • 单因素认证 • 弱口令 • 被爆破 漏洞多 • 人力有限,先修对 外暴露的业务系统 • 供应商找不到了 但 数据敏感 最新X万个人信息出售 100GB新鲜库,支持验货 安全团队
6. 怎么办? 2010 • Forrester约翰·金德维格正式提出零信任概念 2014 • Google发布BeyondCorp系列文章 2017 • Gartner正式提出“CARTA”零信任模型 2020 • NIST发布《零信任安全架构标准》正式版 零信任体系结构是一种端到端的网络/数据安全方法,包括 身份、凭据、访问管理、操作、端点、托管环境和互联基础 设施。 ——NIST 到2025年,新部署的远程访问能力至少有70%将主要由零信 任网络访问(ZTNA)提供。 ——Gartner 在远程办公场景,零信任最适合落地
7. 二、钉钉零信任安全方案
8. 钉钉零信任安全解决方案参考架构
9. 钉钉零信任安全解决方案 客户端 组织外用户 离职员工 钉钉企业应用网关 组织内部机房应用 钉钉身份平台 内部机房 检查失败 拦截 ❌ WAF 病毒 黑客 安全网关 POP点 DDoS 组织内用户 OA TLS HTTPS 连通器 ✓ 其他应用 检查成功 通过 员工只需安装钉钉即可,无需安装其 他客户端即可实现稳定安全的访问 • • • 七层HTTPS反向代理,短连接不掉线 阿里云高速通道提升访问速度 钉原生能力,即开即用,方便部署 黑客/病 毒 SaaS化服务,无需部署运维 实现身份、组织、时间、设备等多维度安全验证。 实现“零信任”访问 • • • 部署连通器,反向连接到安全网关。 可关闭防火墙入站端口,实现网络隐藏 享受钉钉账号安全保障,离职自动关闭权限 丰富的策略配置,满足不同角色用户的访问控制需求 身份验证、组织权限、时间检查、位置检查、设备状态
10. 钉钉企业应用网关的特点 Version ne 易落地 员工无需安装客户端 高安全 无任何端口暴露 身份识别七层代理 好体验 一键上云高速访问
11. 三、典型用户场景
12. 典型场景: 攻防演练 Version ne 客户场景 解决方案 某国企客户在攻防演练过程中,使用 钉钉收到需求后,帮助客户将业务使用 VPN技术,导致内网被攻破,失分过 频率最高的订单系统接入钉钉企业应用 多,受到上级主管部门的问责。 网关。 客户痛点 产品价值 为确保安全,在后续攻防演练中,IT只能 在攻防演练期间,业务仍然可以通过钉 将VPN下线,不允许通过公网访问系统。 业务部门影响很大,对IT部有有不少负面 声音。 红蓝对抗攻防演练 钉访问订单系统,同时没有被攻击队攻 破。得到了上级主管部门和公司领导的 表彰。
13. 小结 Version ne 业务:我的业务系统要放到公网! 安全:可以,走零信任网关! 业务:非常感谢!安全团队,棒棒哒! 零信任是一个理念,借助产品能够实现一定的零信任架构,但单一产品不是银 弹。仍然需要不断通过评估、检查、改进、持续运营找到更合适自己的解决方 案,希望能有更多的好方案能够涌现。欢迎交流。
14. 让零信任办公安全触手可及 我们都在用钉钉

trang chủ - Wiki
Copyright © 2011-2024 iteam. Current version is 2.137.3. UTC+08:00, 2024-11-30 09:45
浙ICP备14020137号-1 $bản đồ khách truy cập$