云原生即时工作空间,解决办公安全问题的新思路|证券行业专刊·安全村

admin 2023年1月7日13:47:09评论12 views字数 3192阅读10分38秒阅读模式

云原生即时工作空间,解决办公安全问题的新思路|证券行业专刊·安全村

云原生即时工作空间,解决办公安全问题的新思路|证券行业专刊·安全村


随着证券行业信息化的持续推进和数字化转型的深入发展,券商和基金等机构对业务组织和人员管理的便利性、灵活性、准确性和可靠性都有更高的要求,同时还需要充分保障系统、业务和数据的安全。近些年来,以云和移动为代表的新技术推动了业务发展和持续创新,而在对基础设施和内部管理提出新需求的同时,也在不断引入各种新的安全问题。


就办公安全而言,业务形势已经发生了深刻的变化。新冠疫情以来远程/居家办公需求爆炸式增长,内部员工获取信息和数据时对互联网的依赖不断提高,业务部门广泛采用各种云服务,需要外部合作方直接参与的项目协作和技术支持日趋频繁,外包和驻场服务成为常态……概括而言,需求和挑战来自三方面:


  • 连接:用户和资源不再受到物理和网络位置及组织结构的限制,都能够按需访问工作相关的各种业务的目标资源。
  • 管理:用户和资源信息由各相关方分别管理和维护,并根据业务需求及时赋予和灵活调整用户权限。
  • 安全:人员和资源都不再局限于限定的物理和网络位置,无法根据物理和网络位置划分内部和外部而进行管理和保障,为黑客入侵创造了大量机会,也明显提高了数据泄露的风险。暴露面越来越大,风险点越来越多,可能遭受的损失也越来越大。


传统安全思路是分析和识别业务流程中的各个薄弱环节及相应安全问题,进行有针对性的加强和防御,并依靠持续的事故响应、技术更新和流程优化来保证各项安全措施的有效性和可靠性。基于传统安全思路,需要采取的措施主要包括:


  • 构建隔离网络环境,限制跨网络访问,只通过限定通道甚至离线方式与外部网络进行数据传递。
  • 在用户使用的终端设备上安装客户端软件,加强对用户终端设备的管控和保护。客户端软件需要具有的功能包括:追踪终端设备和状态监控;管理和控制外设;与指定安全网关建立加密通信隧道;防病毒和恶意软件;扫描和识别敏感数据,并拦截不符合规范的使用及外发;收集和记录用户行为;识别、截获和转发指定或全部网络流量。
  • 使用本地网络接入管控设备,扫描和识别网络中接入的各种设备,拒绝非法接入。
  • 使用远程安全网络接入设备,支持与用户终端建立安全访问通道/隧道。
  • 使用网络安全设备,收集、分析和过滤网络流量,拒绝不符合规则的网络通信,扫描和拦截病毒和恶意软件,拦截恶意攻击。
  • 使用基于代理的安全网关,收集、识别和分析用户终端设备的网络通信,拒绝非法访问,拦截病毒和恶意软件,识别并阻止敏感数据泄漏。

此外还可以采用沙盒和诱骗等新兴方案辅助和加强防御,并采用自动化处理和综合分析、利用云和AI等新兴技术在各个安全防御环节完善“收集-分析-发现-响应”机制,且参照Gartner ASA/CARTA等架构模型进行整体规划、部署和实施。

在传统安全思路下,安全机制的建设和发展需要相对稳定的业务模型和流程,因此总是落后于业务的变化和发展,所采取的各种安全措施也常常会限制业务灵活性,降低效率,引起“安全”和“业务”的冲突。同时,完善的安全机制必须覆盖所有薄弱环节,前述的各种安全产品和方案都需要根据不同用户群体的各个办公场景分别部署、配置和管理,并持续投入大量资金和人员进行长期运营、优化和升级,以至于具体实践中总是投入不足,捉襟见肘。另一方面,由于安全威胁和攻击手段的快速发展和复杂化,“收集-分析-发现-响应”机制中各种技术的有效性不断受到冲击,无法保证防御效果,往往只能在发生安全事故之后才能识别真正的薄弱环节和实际存在的漏洞。

然而,如果我们不仅仅是着眼于丰富和变化的办公场景中存在的各种安全问题,而是从根本上理解业务和变化的原因和基础,思考从业务发展的角度提供便利和保障,就会认识到关键在于推动办公环境的IT基础架构从“以网络为中心”进化到“以业务和应用为中心”,安全只是对新形势下IT基础架构的基本要求。

SupraAXES安全办公空间所提供的云原生即时工作空间即是基于这种新思路的完整解决方案。用户登录SupraAXES安全办公空间开始工作时,SupraAXES为用户即时创建一个一次性的独立虚拟工作空间,实时提供用户当前被许可使用的各种资源。用户通过动态应用投影等系列专利技术实现的交互式应用投影会话与各种工作资源交互,获得与直接访问资源时完全一致的体验。

云原生即时工作空间,解决办公安全问题的新思路|证券行业专刊·安全村

在SupraAXES安全办公空间提供的云原生即时工作空间内,用户只能基于应用投影的动态图像流与目标资源进行交互,不能获知目标资源的地址、版本、组件、源代码等信息,不能构造特殊的访问请求或使用自动化工具实现交互,目标资源提供的原始资源数据也不会直接传递到用户终端设备,彻底阻断数据泄露。同时,SupraAXES安全办公空间可以屏蔽各种病毒和恶意攻击,既能有效保护用户终端设备免受攻击和侵害,也能防止用户终端设备上的病毒等恶意软件扩散进办公网络。用户工作完成后,云原生即时工作空间将自动销毁和释放,既有效提高了系统的资源利用率,也从根本上杜绝黑客或恶意用户进行持续性渗透和攻击。

采用云原生架构的SupraAXES安全办公空间能够灵活地进行私有化部署、各种多云跨云部署或分布式混合部署,从而适应各种办公场景。无需在终端设备安装任何客户端或进行专门配置,用户随时随地,不管是通过私有还是公共网络、使用受管控设备还是自有甚至公共设备,都可以便捷而安全地工作,放心使用位于不同地点或来自不同云服务商的应用程序、业务系统、服务器、文件等各种资源。企业或组织的管理者能够根据业务需要为用户提供业务相关的各种资源,支持用户进行跨网络、跨地域、跨安全域以及跨云访问,并能够方便和灵活地管理、控制和调整用户的工作权限,以及进行全面细致的审计和操作回放,同时也无需担忧会受到病毒等恶意软件的侵袭,并有效抵御黑客或恶意用户的渗透和攻击,彻底杜绝数据泄漏。

云原生即时工作空间,解决办公安全问题的新思路|证券行业专刊·安全村

此外,近年来,“数据不落地”被广泛采纳为保障数据安全的一条重要原则,有众多机构已经在办公环境中推行。常见的“数据不落地”方案均基于VDI/云桌面,以虚拟机和虚拟桌面为基础进行静态分配和调度,如果需要远程访问则通过VPN接入。与之相比,SupraAXES安全办公空间采用云原生架构,动态生成一次性虚拟工作空间,动态提供各种业务资源,能够进行更细致和全面的管理,具有更好灵活性、可扩展性、安全性和可靠性,且效率更高,资源占用更少,部署和维护成本更低。同时,SupraAXES安全办公空间采用动态应用投影技术,还可以按需进行跨网络、跨区域、跨安全域和跨云部署,从而在支持用户直接访问的同时将目标资源与用户彻底隔离,并在网络上完全隐藏,因而提供更全面和彻底的安全保障。所以说,在一定程度上,可以认为云原生即时工作空间是 “下一代”VDI/云桌面技术,SupraAXES安全办公空间是更全面和完善的“数据不落地”解决方案。


作者介绍

杨洋,CISSP,CCSP,筋斗腾云科技创始人和CEO。基于近二十年的企业安全技术积累和国际领先安全企业的战略前瞻及核心产品管理经验,通过 SupraAXES安全办公空间提供数字化转型所要求的创新安全理念和解决方案,构建新一代IT基础设施,推动业务超越云和移动。



RECOMMEND


往期回顾

网络安全行业观察之回顾与展望|安全村
实战演练下安全团队能力演进|证券行业专刊·安全村
研发型企业的产品安全实践之路|科技创新型企业专刊·安全村


关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
云原生即时工作空间,解决办公安全问题的新思路|证券行业专刊·安全村

关于 安全村

安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]


原文始发于微信公众号(SecUN安全村):云原生即时工作空间,解决办公安全问题的新思路|证券行业专刊·安全村

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日13:47:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   云原生即时工作空间,解决办公安全问题的新思路|证券行业专刊·安全村https://cn-sec.com/archives/1500446.html

发表评论

匿名网友 填写信息