正文

搞安全的,不配有周末!

admin
admin V管理员 /0 评论 /111 阅读
0710
此篇文章发布距今已超过136天,您需要注意文章的内容或图片是否可用!
自从干了运维岗,老李的生活,似乎总是与“随时待命”绑在了一起。

好不容易熬到一个“没事”的周末,老李带着娃正在游乐场嗨着……

突然,电话响了。老李一瞅,卧槽,老板打来的,心里顿时一紧~

电话那头是老板火急火燎的声音——

老板出差在外地,着急登录内网访问OA,却怎么也访问不了,气得老板一顿“C语言”输出。
老李放下电话,一边把娃交给媳妇看着,一边掏出了随身携带的救火宝贝——笔记本电脑
此时,老板以往踩过的那些坑,在老李脑中逐条闪过,这次又是啥奇葩原因呢?

幸亏带了电脑,老李暗夸自己有个好习惯,无论去哪儿都背着电脑,这是作为IT人的基本素质

他赶紧找个地儿坐下来,打开电脑,心里头五味杂陈,一边是老板催得紧,一边是孩子眼巴巴等着玩…

一番查下来,老李的脸色越来越难看,这次的事儿跟以前不一样,有点麻烦。
表面上看是老板的VPN登录不成功,其实背后藏着一个大雷!

老李越看越慌,他必须要赶去公司现场排雷,否则就要出大事了。

匆匆跟媳妇和娃告了别,老李冲出游乐场开车直奔公司——
老李一边开车,一边给部门的几个兄弟打电话,让他们赶紧到公司来救火。
作为部门的小领导,老李觉得挺对不住兄弟们的,可今天这个班必须加!
部门的兄弟们还很给力,很快大家从四面八方赶过来,投入战斗。
大家的救火动作极其迅速也极其熟练,一顿操作猛如虎,用了不到俩小时,搞定了。

虽然过程很惊险,好歹没有造成太大损失。到底是咋回事呢?说起来老李也有点哭笑不得。
原来,是老板的VPN账号密码太简单,被人给盗号了。

接下来,黑客用老板的VPN账号,登录到了公司内网服务器。

而这个账号开得很随意,既没有双因素认证,也没有做最小权限设置,黑客攻陷当前服务器后,又是一通横移,把内网服务器闯了个遍。

万幸的是黑客没有作大恶,只是锁定了几台性能好的服务器,植入了挖矿程序。结果挖矿负载没控制好,把OA服务器搞瘫了。
碰巧老板又那么敬业,大周末的要用OA,发现登不上,歪打正着…
老李纠集几个兄弟,赶紧挨个检查并清除了服务器上的挖矿程序和后门,并重置了老板的VPN账号。
这时候,老板电话又追过来了,等了俩小时,早就不耐烦了。

老李正要详细汇报一下,老板那边已经匆匆挂断了。
老李和兄弟们面面相觑,老板火气大,大家也更是窝了一肚子火。周末加班的怨气一股脑冒了出来,纷纷开始吐槽集团的“破系统”。

天成率先开了炮:
但凡有个双因素认证,坏人要是盗了号也没法随随便便登到内网来!
老季也是一肚子牢骚:
关键还不支持最小授权,一个账号登进来啥都能干,逼得我在交换机上做ACL。
老冯负责桌面维护的,更是苦大仇深:
卧槽,现在还整了那么多客户端,把每台电脑拖得死慢,还整天报错,害我电话都被打爆!

兄弟们的这些痛,老李何尝不知道,他心里其实更痛。

集团这几年业务飞速发展,IT系统也上了一大堆,有放在集团IDC的,有放到云上的,想要全局防护太难了。

为了保障这些系统的稳定运行,老李带着部门的兄弟们疲于奔命。

即便如此,还是天天被投诉,周周要加班…

这么大一个集团,安全却跟纸糊的似的。
老李忍不了了,不能让部门兄弟再遭这个罪,他决定带兄弟们们干一票大的!

具体怎么干呢?
老李听说最近有一种新方案挺火的,能把现在大家吐槽的这些问题全解决了。
这个方案叫做SASE(安全访问服务边缘),是一种整合了零信任、SD-WAN、终端安全等能力的安全服务。
中文名字特别拗口,其实是把网络安全功能网络接入服务融合在一起,让用户可以安全地、快速地、方便地访问业务和应用,被称为「下一代安全办公平台」。
无论用户的位置在哪里(公司、出差、居家,无论要访问的业务在哪里(公司数据中心、公有云、SaaS应用),都可以快捷访问,而且确保安全。

SASE可以取代各种VPN/SDP方案,提供远程访问能力,并且基于SD-WAN架构,优选最佳访问路径,保障访问体验。
同时可以像SDP一样,提供服务隐藏能力,缩小暴露面。

SASE采用了零信任的安全理念,对于各种访问需求提供最小权限,并持续验证。
SASE还集成强大的终端安全能力,像终端防毒、补丁漏洞管理、DLP等功能,都可以一站式搞定。
关于SASE方案的那些好处,老李想想都心动。
要是真如宣传所说的那么优秀,绝对能让集团的安全运维上一个台阶,兄弟们不用那么累了,老板和员工的满意度也能大大提升。
可是,做安全运维那么多年,老李也知道,PPT再好,也得POC先行
而老板这几年IT投资挺舍得花钱,但是安全上一直很抠门,必须要拿事实说话。
说干就干,接下来,老李找了业内5家号称SASE产品很NB的厂商来做POC↓

一番测试下来,有家公司的SASE产品成功打动了老李。
总结下来有这么几点↓

功能特别全

SD-WAN能力、终端管理、零信任能力、终端安全、DLP,老李可以按菜单点菜,动态加载各种功能。
即开即用,部署超方便,扩展超简单
不需要增加任何硬件,老李在机房启一台虚机,作为“连接器”使用,这个连接器负责将内网应用与网络POP点“连接”起来。

一台2C4G的虚机建立的连接器,就能支持500个并发访问,如果需要更大规模,按需扩展即可,真正的云化服务。

客户端兼容性极强

老李对客户端维护还是很头疼的,生怕不兼容或者体验差被终端用户投诉。
但这家公司的SASE客户端兼容性超强,支持Windows、macOS、安卓、iOS,还支持信创Linux平台,一键安装,自动升级。

网速极快,POP点超多

以前用VPN,总被大家投诉访问太慢,试用了这家的SASE以后,大家一致好评,网络访问太丝滑。
老李也发现这家公司提供的底层SD-WAN网络质量极高,自动选路,POP点遍布全球,随时随地就近接入。

常规的安全产品比如防火墙、WAF之类,成天躺在机柜里,老板们都没啥感觉,但SASE这个产品不同,体验好不好,老板立刻就能体会到。
这不,还没等老李提,老板就主动发话了:批预算!采购!
接下来,就是招标、部署、验收
集团给的预算足,老李直接采了旗舰版,把集团这些年来积压的办公安全问题,一次性全搞定了。
那么,这个最终脱颖而出的SASE产品到底是谁家的呢?
它就是中国电信安全公司推出「云脉SASE」。

「云脉」作为下一代一体化安全办公平台,集成了终端管理、终端安全、零信任访问、DLP等能力,并依托于中国电信强大的网络资源,构建起SD-WAN底座。

这样,任何终端在任何位置/网络,都可以安全、高效、可控地访问任何授权的业务和应用。

像老李公司这样员工多、分支多、预算又充足的大企业,选了全功能的旗舰版,实现安全办公的全面升级。
而由于云脉是模块化的,各项功能可以单独购买,动态加载,所以针对很多细分场景,都可以用云脉来搞定。
比如,有些企业只有远程办公的需求,要替代原来的VPN方案,此时选择云脉SASE,就可以实现零信任远程办公。
安全控制层基于零信任理念,持续验证,动态授权;底层基于SD-WAN动态选路,访问体验大大提升。
有了这套系统,什么离职员工利用老账号潜入公司删库?完全没可能!
而对于希望加强办公终端安全合规管理的企业来讲,以前员工被多种终端软件打扰正常工作,桌面运维人员则是天天排错疲于奔命。
更大的问题是九龙治水效果反而不佳,违规行为照样有,安全风险依然在。

现在好了,一个云脉SASE客户端,解决所有终端安全与合规问题,而且兼容性极强,覆盖全量终端类型。

有些企业对数据安全性要求极高,希望补强数据防泄露能力。
此时,可以启用云脉SASE的敏感数据外发管控功能,实现敏感数据识别、分类分级、全通道管控、异常行为分析和处置等等。
又是一个周末来到了。
不用带电脑的出行、不需要加班的周末,真好…


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com