无边界网络环境，企业安全选择？ – 作者:yunanbao

传统内外网安全边界被打破

随着云平台和移动互联网的发展，传统的内外网安全边界逐渐被打破，企业与外部合作伙伴建立可信连接变得越来越重要。需要远程访问公司网络的供应商越来越多，于是对这些外部特权访问会话的管理、监视和保护工作就成为了热点敏感问题。

VPN技术的没落

保护这些外部访问的一种传统方式——VPN连接，却在无边界网络环境下开始走向没落。VPN原本只是为同个网络中两个内部终端之间创建连接而开发的，因为配置复杂性和对访问控制列表(ACL)及良好网络分隔的依赖，VPN驱动的外部到内部访问的最终结果，往往就是“全权或无权”访问。只要能访问公司系统的第三方被黑，攻击者就能以该第三方供应商作为支点，获得公司网络的无限制访问权。

企业安全选择 —- 云堡垒_云匣子

企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。

云匣子是租户连接云资源的安全管理工具，帮助云租户更加安全、精细的管理云上的虚拟机、数据库等资源。支持公网部署或私有化部署方式，适合无边界的网络环境。

统一访问入口

云匣子作为企业网络的统一访问入口：严苛的多因子身份认证，支持手机短信、手机令牌等，确保访问人员身份的合法性。

细粒度访问控制和审计

云匣子细粒度访问控制的解决方案：能在正确的时间点为正确的人员分配恰当的权限，同时对所有远程支持活动进行监视，留有日志记录。确保人员拥有的权限是完成任务所需的最小权限，既减少了运维开支，又改善了设备可用性。防止即便个别用户被钓鱼导致企业网络安全的全线陷落。

访问控制力度：

1）时间  人员对资源可访问/禁止访问时间精确到小时

2）IP   限定资源访问的来源IP的黑/白名单

3）文件操作  限定可访问资源的文件上传/下载权限，包括RDP剪贴板的限制

4）指令限定可访问资源上可执行/禁止执行的命令

资源访问支持事前的规划，事中的监控以及事后的审计，全面确保企业的安全。

来源：freebuf.com 2018-04-19 15:48:37 by: yunanbao