需求背景
随着企业数字化转型需求的不断增加,“上云、用数、赋智”让更多的分布式企业采用了多云和混合云架构,云上的服务互联互通各不相同。
云网融合的趋势和需求带来了新的挑战,即如何统一分布式复杂网络的运营和管理。
场景实例
现状描述
分散的企业网络
某大型互联网公司,员工近两万人,国内总部,国内分公司,海外分公司。
的主要内部业务资源部署在数据中心A和数据中心,开放业务部署在公有云A和公有云。
数据中心通过专线与公有云相连,数据中心之间通过专线互联,保证业务带宽的稳定性和安全性。
总部工作人员出入
总部办公区通过专线与两个数据中心相连,办公区员工通过专线访问数据中心的业务资源。
总部办公区域划分为多个办公区域安全域,正式员工根据访问方式和部门隶属关系访问不同的安全域。
外包员工属于单独的安全域,设置单独的安全策略。
渠道合作伙伴访问
渠道合作伙伴办公室通过IPSec VPN访问数据中心,以访问业务资源。
分支机构访问
国内分行办公区员工通过专线访问数据中心A的业务资源;海外分支机构通过SSL VPN连接到总部办公室,数据中心的业务资源通过总部VPN访问。
移动办公访问
移动办公人员通过SSL VPN访问总部办公区的VPN区域,然后跳转访问数据中心的资源。
统一身份认证和管理
AD域部署在总部办公区域,公司专职员工的账号统一认证管理。部署了单点登录系统,所有员工在访问应用服务时都通过单点登录系统进行授权和登录。
网络拓扑结构
需求分析
降低专线的带宽成本。
目前总部和国内分公司通过专线接入数据中心,所有员工需要先接入总部办公区的VPN网关,再跳转接入数据中心业务资源。这导致连接到总部的专用线路的高带宽消耗和高成本。
改善最终用户体验
家庭办公、移动办公、渠道合作伙伴远程访问都是通过SSL VPN接入总部办公区域,再从总部VPN接入区域跳转到数据中心业务资源,会导致访问延迟和稳定性单点失效风险。
海外员工通过总部VPN接入总部后跳转到数据中心业务。跨界链接延迟导致页面响应时间长,用户体验差。
内部业务系统很多,员工记不住大量的业务系统账号密码。需要使用单点登录系统来统一接管业务系统的登录认证,以提高用户体验。
渠道合作伙伴只需要访问少量的业务资源,但同样的VPN访问意味着在网络层面访问整个内网,这就引入了新的安全风险。
提高安全控制的效率。
数据中心、公有云、总部和分支机构的异构组网,使得物理网络结构复杂,内外部用户数量众多、角色繁杂,业务资源数量众多、变化迅速。授权和访问控制策略的管理效率低、复杂,需要业务部门、安全部门和网管部门的配合,管理成本高。因此,企业迫切需要简化的全网接入策略管理,降低管理复杂度,减少出错率,提高运营效率。
公司的每个员工一般都有两个终端:办公PC和手机,有时会涉及到远程访问员工自己的PC。终端控制一直是公司头疼的问题。因此,需要一个有效的方案对全网的终端进行集中控制,对终端进行检查,了解各个办公终端的安全状况,并对终端进行策略授权控制。
监控业务访问行为。公司员工众多且分散,复杂且流动性大。公司需要对每一个员工的业务访问行为,尤其是核心敏感业务系统的访问行为进行审计,实时监控异常访问或恶意访问行为,实时自动报警和处置。因此可以避免内部数据泄露导致的安全事件,所有安全事件都可以追溯到武汉和码头的具体日日夜夜。
部署拓扑
部署方案
域安全控制平台的TMC部署
在总部服务器区部署两台互为热备的TMC,配置内网IP地址,禁止外网访问。
在TMC上配置AD身份源,定期同步AD组织架构和账号,在TMC上为渠道合作伙伴配置独立身份。
在TMC中配置业务资源的单点登录接口,连接公司已建立的单点登录。
域名解析服务的TMD部署
在总部的服务器区域部署TMD,配置内网IP地址,禁止外网访问。
上级TMD DNS查询服务指向企业内网DNS。
TMI部署信息领域智能分析平台
在总部服务器区域部署TMI,配置内网IP地址,禁止外网访问。
TMG部署信息网关
两个TMG分别部署在总部的服务器区、公有云和数据中心,每个TMG代表该区域的所有业务资源。
在公有云A上申请一个具有跨境加速能力的虚拟机,在这个虚拟机上单独部署一个TMG。在总部服务器区的TMC上配置策略,让所有海外员工终端访问国内业务资源时,下一跳都指向这个具有跨境加速能力的TMG。
域边缘网关的TME部署
在数据中心A部署一个TME,作为渠道合作伙伴需要访问的所有业务资源的代理。
域客户端的TMA部署
TMA安装在所有员工的办公终端上。
实现效果
简化复杂的分布式网络,降低运维管理成本。
域云网络将复杂的分布式网络简化为一个由点到点的全网互联的虚拟网络。管理员可以根据AD同步的帐户和组织结构授权业务访问,而无需考虑中间物理网络的复杂性。
授权策略可以基于组织结构、角色、终端类型等因素,管理员无需考虑企业人员的日常变化;当AD账号发生变化时,全网员工的访问控制策略会自动计算并同步,减少了策略维护的工作量。
管理员可以在TMC上配置业务管理员账号,下放业务发布和访问策略安排权限,授权业务部门员工在设定范围内发布业务资源,并配置授权策略,从而允许员工访问。在安全可控的前提下,提高了业务方的业务灵活性,减轻了安全管理员和网络管理员的工作量。
降低带宽成本
远程办公员工和海外分公司员工无需像跳转后访问数据中心的服务一样,通过VPN访问公司总部,大大减少了公司总部的出口带宽消耗,降低了成本。
国内分公司员工和渠道合作伙伴无需使用专线和VPN访问数据中心资源,降低了专线和VPN的带宽成本。
互联网曝光收敛降低外部安全风险。
公司内部所有的业务资源都不需要暴露在互联网或者内网办公区域,而唯一需要做的就是TMG网关对外开放一个UDP端口,这个UDP端口只接收经过认证的数据包。最小化业务资源的外部暴露,最小化来自不可信网络的安全威胁。
改善员工的商务访问体验
使用不同终端的用户可以通过不同的访问方式访问业务资源:
海外员工使用TMA接入国内业务资源,业务接入流量先经过跨境加速节点,提高接入速度;
渠道合作伙伴无需安装TMA,使用通用第三方浏览器即可访问TME到统一门户,多因素认证后访问有限且开放的业务资源;
公司的所有员工都使用TMA来访问业务资源,无论是在总部、分支机构、出差还是在家。他们可以通过打开TMA并通过认证授权来访问授权的业务资源,不受业务资源的物理位置或实际部署位置的限制。
每个服务资源由两个甚至更多的TMG来表示。当最终用户发起接入时,TMA会根据链路的实际情况,智能选择最优路径进行数据传输,提高了网络的高可用性,变相扩展了业务接入带宽,为最终用户提供了最佳的接入体验。
利用公司已建立的SSO系统,员工在TMA上通过认证和授权登录信任域后,可以直接访问所有授权的业务资源,无需对每个业务资源进行认证。
对所有业务接入行为进行审计,对异常情况进行检测、报警和处理。
信息域实时采集全网各终端的系统环境数据和业务接入流量,并对所有数据进行身份标注。当遇到安全事件时,可以基于身份的历史数据追溯到特定的用户和终端。
管理员可以对全网的终端进行集中管理,可以随时查询全网终端的信息,比如通过进程的SSH值,全网有多少终端运行过同一个进程,或者通过补丁号,全网哪些终端玩过或者没玩过这个补丁等等。
管理员还可以开始强制最终用户使用TMA自己的安全浏览器来访问包含敏感数据的业务资源,启用限制,如对所有页面添加水印和禁止下载,并跟踪和监控每个用户访问了哪些敏感数据。
域通过智能AI技术,基于识别出的终端和网络行为数据进行行为建模,掌握每个用户的终端状态,生成行为基线。管理员可以设置策略,在用户行为偏离基线时强制进行二次认证,或者直接禁用账号或终端。
