didSA零信任VPN安全接入镜像-
某制造业上市公司
一、案例背景
为了方便公司的远程办公人员与供应商人员接入内部业务系统,IT管理人员将内部业务系统端口、 数据库 端口、SSH登录端口直接映射到互联网上,导致业务系统所有服务器被黑客攻击,并成功投放勒索病毒,30GB的数据库文件被加密。
二、 解决方案
关闭所有内部系统与远程运维的端口映射,远程办公人员与供应商人员通过didSA零信任接入客户端软件接入内部网络后通过内网地址进行访问。用户接入前,管理员需要在服务端软件上创建用户,并为用户分配对应的权限,例如,供应商用户就只分配供应商管理系统的权限。用户第一次接入时只需要通过短信验证码获取配置与密钥后即可自动接入。
三、达到什么效果
关闭了内部业务系统的互联网端口,清理了存在严重安全风险网络暴露面,用户访问资源通过加密隧道接入,然后根据用户角色授权对应的资源,最小化权限管理,最大化安全保障。此方案已改造完成1年,对应的业务系统未发生过任何一起安全事件。
某中医医院
一、案例背景
为了院内员工使用方便,信息科将院内OA系统端口映射到了互联网上,在互联网出口防火墙上可以看到非常多的针对OA系统的Web应用攻击。
为了HIS软件厂商人员能更方便快速的解决软件日常运行的问题,信息科专门配置了一台公共远程运维机,外部厂家人员通过向日癸或TODESK远程软件接入到这台运维机,然后再通过运维机去访问相应的业务系统。多个厂家的多个运维人员使用同一台运维机操作,运维期间用到的配置文件、用户密码等敏感文件,所有的远程运维人员都可以查看到,而且只要接入了运维机就具有了内网所有权限。
二、解决方案
关闭OA系统的端口映射,关闭公共远程运维机,移动办公人员与外部厂家人员通过didSA零信任接入客户端软件接入内部网络后通过内网地址进行访问。用户接入前,管理员需要在服务端软件上创建用户,并为用户分配对应的权限。用户第一次接入时只需要通过短信验证码获取配置与密钥后即可自动接入,然后获取访问对应资源的权限。
三、达到什么效果
关闭了OA系统的互联网端口,清理了存在严重安全风险网络暴露面,用户通过加密隧道接入后再用内网地址访问OA,保障OA系统不被来自互联网的攻击者攻击,减轻了日常安全运维与攻防演练期间的防守压力。
外部运维人员不用再通过公共运维机进行远程维护,通过didSA客户端接入后即可直接访问到对应的HIS等业务系统,运维效率大副提升,同时也避免了厂家A的配置与密码文件被无关的厂家B的人员知晓。然后基于角色授权的最小化权限管理策略可以阻止外部运维人员访问或攻击无关的业务系统。
