正文

数据隔离与安全流转技术在异构终端上的应用探索|证券行业专刊2·安全村

admin
admin V管理员 /0 评论 /141 阅读
0104
此篇文章发布距今已超过327天,您需要注意文章的内容或图片是否可用!

摘要:随着远程办公移动办公等场景成为常态,基于互联网进行文件或数据传输给企业带来的安全风险正逐步显现。如何保障数据的收集、存储、加工、使用、流转等环节处于有效保护和合法利用的状态,成为企业安全的核心能力。本文从这个需求出发,结合当下企业内多类型终端异构的现状,进行数据隔离与数据安全流转的应用探索。

关键字:数据隔离零信任安全流转异构终端


一、研究背景

(一)移动办公、远程办公、联合办公场景增多

随着5G、云计算、大数据、人工智能等新一代信息技术的快速发展,以及新冠疫情突发公共卫生事件的持续影响,国内移动办公需求显著提升,智能移动办公市场发展持续加速,再加上“智慧办公”等政府政策的支持,利用数字化信息技术进行移动办公、远程办公、联合办公已成为各大企业的共识。

(二)虚拟桌面与终端沙箱

由于疫情期间存在较高的远程办公需求,虚拟桌面(VDI)的办公模式出现资源不足,扩容周期长,综合成本高等情况。为了在保持安全防护能力的情况下降低远程办公成本,我司引入终端沙箱模式以缓解VDI资源不足的情况。沙箱适配Windows,MacOS,信创OS等多类型终端,方便用户灵活使用。后疫情时代下,伴随着降本增效理念的推进,低成本的沙箱办公模式将可能覆盖更多的应用场景。

此外,VDI作为金融行业广泛使用的办公基础设施,在VDI的使用过程中员工的办公数据和VDI实例重度耦合,虽然实现了数据云端统一管理,但在整个运维过程中也发现了VDI数据备份依赖快照整个数据备份/恢复过程耗时长、无法提供文件级的个性化恢复的问题。当使用场景扩展至员工远程办公时出现了对于网络条件要求高、移动设备使用体验差等问题大大影响员工的办公效率。


(三)数据存储缺乏安全属性

随着办公场景的多元化和安全管理边界的延伸,基于互联网进行文件传输的远程办公给企业带来的信息安全风险逐步暴露出来。

其中,最为明显的是,在传统办公场景中,由于设备单一、数据边界清晰、使用环境明确等因素,企业数据始终在可控的范围内流转。在移动和远程办公环境下,企业数据的载体已由传统的PC、笔记本转扩展到了智能移动设备、移动应用App上,企业数据的安全管理边界无限延伸。这种网络的泛化带来数据的全网全空间流动,传统的防御性安全手段难以奏效。

同时,在移动办公场景中,为确保业务运转,公司的客户资料、财务报表、研发材料甚至各部门的运营材料都可能需要在线上进行共享,由于缺少集中的数据管控措施,员工的复制和转发、移动设备的使用习惯不规范、移动设备丢失等行为均可能造成重要信息的泄露。

因此,数字时代,如何对企业数字资产进行安全管理,保障数据的收集、存储、加工、使用、流转等环节处于有效保护和合法利用的状态,成为企业经营的核心能力。



二、面临的问题

(一)信创终端安全管控能力
随着信创终端在行业及券商的逐步推广,叠加远程办公等新型办公模式的引入,准入、DLP、防病毒等安全应用在信创设备的能力正在逐步补齐中。但整体上适配信创环境的安全能力,包括终端安全能力相较于传统架构还不够成熟,需要在实践中不断完善。

(二)多终端场景的数据共享

传统模式下,数据存储在终端本地,即使同一用户多终端之间也无法很好进行数据共享使用,即使有企业网盘、共享存储等工具,使用体验也不佳,特别是在远程办公中,问题尤为明显。同时,多终端之间数据冗余的问题也会提升企业的数据存储成本。


(三)多终端场景的数据管控

在传统办公模式下,企业数据以文件的形式储存在用户办公计算机中,文件和数据流动较少。这种场景下,企业对于文件和数据的管理相对容易。随着多终端办公、远程办公模式、私有设备办公等场景的引入,文件和数据势必会在同一用户或不同用户的多终端进行流转。在此背景下,有效的进行数据管控,防止数据和信息泄露,是比单终端场景更复杂更迫切的需求。


(四)数据外泄溯源

员工个人设备通过VPN接入内网进行办公后,由于设备的多样性不可避免地会遇到如何应对终端设备截图、复制/黏贴、远程会议等数据外泄手段的问题,一但发生数据通过以上手段外泄如何对外泄数据进行溯源成为开放远程办公前需要解决的棘手问题。


三、解决方案

综上所述,随着信创终端投入使用、远程办公场景的扩展,传统的安全管理手段已经不能应对快速发展的多元复杂的办公场景。建设一套适应多类型终端(包括但不限于基于Windows终端,Windows VDI, MacOS终端,信创终端等)的办公安全基础平台,成为应对以上问题的一种有效方案。

(一)基于内核级隔离打造可信沙箱容器

为了解决企业数据在终端上存储的问题,可采用操作系统内核级隔离技术打造了企业安全工作空间(可信沙箱容器)用来在终端上安全存储企业数据。操作系统提供了大量的驱动、服务、注册表(Windows)供应用系统使用,通过内核级沙箱对于这些启动、服务进行统一的虚拟、加固、隔离从而在终端上打造安全的数据隔离区和可信计算环境配合高性能SDP隧道,从而实现企业数据通过安全隧道传输至终端后存储于安全工作空间的加密虚拟磁盘内和本地文件系统完全隔离。

图一 可信沙箱容器架构

通过内核级隔离,存储于可信沙箱容器中的数据无法被容器外的app读取到、可信沙箱容器内部的应用如对磁盘进行写操作也会被可信沙箱容器重定向至可信沙箱容器专用的加密虚拟磁盘内进行保存通过整体的安全隔离保证企业数据在任意终端上不可被可信沙箱外的非授权应用读取到。通过在终端上严格的数据隔离,传统的复制/黏贴、截屏/录屏、蓝牙以及较新型的NFC近场通信、进程间通信、共享内存等手段均无法获取到可信沙箱容器内的企业数据保证企业数据在终端上的存储安全。

图二 可信沙箱容器数据保护模型

通过企业安全空间的打造在终端数据层保障了员工在配发的信创设备、个人设备上均可以安全存储企业数据。通过和零信任高性能安全隧道的融合,构建了支持远程办公的安全基础设施平台,支持员工安全远程办公。


(二)建设细粒度网络访问控制

为了应对传统VPN权限与账号强关联无法判断根据终端、网络、应用等环境状态控制访问权限的现状,基于软件定义边界的模型打造高性能接入隧道,实现了对远程接入时安全隧道的双向认证以及基于用户身份、设备风险情况、网络环境等多种客观环境构建自适应安全体系,对接入员工设备、网络风险进行持续性评估适时调整用户可访问的系统资源保证应用的访问安全。

图三  零信任访问控制模型

通过高性能隧道的建设在网络接入层保障企业应用的安全访问,结合终端层企业安全工作空间、原数据中心安全基础设施构建了完整的“云-管-端”一体化远程安全办公平台在符合ZTNA(Zero Trust Network Access)标准的前提下额外构建了终端企业数据保护能力,保障员工远程办公场景下的企业数据安全。

图四 “云-管-端”一体化数据保护模型

(三)文件安全流转网关打造全终端员工数据湖

  • 数据湖文件安全漫游
为了解决员工远程办公时利用各种智能设备安全、高效访问员工个人数据,采用新一代文件流转技技术打造安全文件共享网关—Data+。Data+和安全工作空间客户端整合后分别为VDI、PC和智能移动设备提供专用客户端大大提高员工使用体验。
虚拟云桌面所有计算和数据均位于内网区域,安全文件流转网关客户端在云桌面自动登陆后客户端自动在VDI桌面挂载对应盘符的同时接管VDI常用的文件存储目录,例如Windows桌面的文档、下载、桌面;员工日常使用中对于文件的保存均通过文件网关同步至公司存储中,实现了类似Apple iCloud和微软OneDrive的效果。

信创设备、存量PC设备以及个人设备使用的安全工作空间客户端均整合Data+客户端保障员工从任意设备上登录均可以按需获取个人办公数据实现员工办公数据全终端安全漫游。

图六 全终端数据安全漫游模型

  • 赋能VDI员工个人数据管理
同时Data+网关设计有非常灵活的备份机制,Data+可配置副本数量以及历史副本数,可以轻易做到文件级的数据恢复大大减轻员工数据恢复的复杂度和工作量。通过Data+网关的建设,建设了全终端一体化的员工数据安全同步机制并成功将VDI内的数据和用户实例进行解耦,在VDI进行快照备份时无须对员工数据进行备份大大减少了快照压力。

图七-1000用户每用户500GB容量备份对比

  • 建立员工数据权限管控
员工通过管理存储于Data+的个人文件、数据的读写权限、分发范围、生存周期等权限;文件所有人配置分发范围后文件的接收人也不可超范围共享该文件。通过对源文件分发范围的管理,保障公司内的数据均可进行源头控制,保障数据不可被超范围使用。

通过Data+文件流转网关的建设,建立了完全私有化的“OneDrive”保障员工在任意时间任意地点安全、便捷地获取、使用、存储办公数据。


(四)文件暗水印实现泄露溯源

随着信创办公设备、个人设备引入外加目前越来越频繁地线上会议,可通过规划建设安全智能暗水印能力对企业数据通过拍照、截屏、录屏等手段对外泄文件进行溯源。通过安全空间流转、外发、截图的文件均可调用水印网关自动加入暗水印,通过对泄漏文件暗水印的识别即可判断整个文件的流转过程以及最终泄漏人员。通过暗水印机制的建立,将使对于文件流转企业数据在信创终端、个人设备上的追述能力。通过对Data+归集的员工个人非结构化数据进行大数据分析,结合《证券期货业数据分类分级指引》和《证券期货业数据安全管理与保护指引》的规范更好地对员工设备上的数据进行管理和保护。


总结与展望

随着信创设备、移动办公逐渐成为办公场景中的常态,传统的安全应用、安全手段逐渐暴露出无对应客户端、不适用于个人不同类型设备等新场景、新模式。通过打造企业安全工作空间为员工提供了全终端、全场景的安全办公服务基础设施平台,满足员工在任意网络区域、任意场景使用任意智能设备高效、安全办公的诉求。

通过企业安全工作空间的推广使用着力打造员工办公数据湖,通过数据湖的建设后续结合AI能力对数据文件进行分析、归类更进一步提高管理效率、办公效率。


作者介绍

邬晓磊,东方证券安全总监,喜欢瞎折腾的二十年网络安全从业者。

甄明达东方证券安全高级工程师,风险永无止境, 守护需要毅力,拒绝躺平摆烂。


关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
关于 安全村

安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com