自从干了运维岗,老李的生活,似乎总是与“随时待命”绑在了一起。好不容易熬到一个“没事”的周末,老李带着娃正在游乐场嗨着……突然,电话响了。老李一瞅,卧槽,老板打来的,心里顿时一紧~
电话那头是老板火急火燎的声音——
老板出差在外地,着急登录内网访问OA,却怎么也访问不了,气得老板一顿“C语言”输出。老李放下电话,一边把娃交给媳妇看着,一边掏出了随身携带的救火宝贝——笔记本电脑。此时,老板以往踩过的那些坑,在老李脑中逐条闪过,这次又是啥奇葩原因呢?幸亏带了电脑,老李暗夸自己有个好习惯,无论去哪儿都背着电脑,这是作为IT人的基本素质。
他赶紧找个地儿坐下来,打开电脑,心里头五味杂陈,一边是老板催得紧,一边是孩子眼巴巴等着玩…
一番查下来,老李的脸色越来越难看,这次的事儿跟以前不一样,有点麻烦。表面上看是老板的VPN登录不成功,其实背后藏着一个大雷!老李越看越慌,他必须要赶去公司现场排雷,否则就要出大事了。
匆匆跟媳妇和娃告了别,老李冲出游乐场开车直奔公司——老李一边开车,一边给部门的几个兄弟打电话,让他们赶紧到公司来救火。
作为部门的小领导,老李觉得挺对不住兄弟们的,可今天这个班必须加!
部门的兄弟们还很给力,很快大家从四面八方赶过来,投入战斗。
大家的救火动作极其迅速也极其熟练,一顿操作猛如虎,用了不到俩小时,搞定了。
虽然过程很惊险,好歹没有造成太大损失。到底是咋回事呢?说起来老李也有点哭笑不得。原来,是老板的VPN账号密码太简单,被人给盗号了。接下来,黑客用老板的VPN账号,登录到了公司内网服务器。
而这个账号开得很随意,既没有双因素认证,也没有做最小权限设置,黑客攻陷当前服务器后,又是一通横移,把内网服务器闯了个遍。
万幸的是黑客没有作大恶,只是锁定了几台性能好的服务器,植入了挖矿程序。结果挖矿负载没控制好,把OA服务器搞瘫了。碰巧老板又那么敬业,大周末的要用OA,发现登不上,歪打正着…老李纠集几个兄弟,赶紧挨个检查并清除了服务器上的挖矿程序和后门,并重置了老板的VPN账号。
这时候,老板电话又追过来了,等了俩小时,早就不耐烦了。
老李和兄弟们面面相觑,老板火气大,大家也更是窝了一肚子火。周末加班的怨气一股脑冒了出来,纷纷开始吐槽集团的“破系统”。但凡有个双因素认证,坏人要是盗了号也没法随随便便登到内网来!关键还不支持最小授权,一个账号登进来啥都能干,逼得我在交换机上做ACL。
卧槽,现在还整了那么多客户端,把每台电脑拖得死慢,还整天报错,害我电话都被打爆!
兄弟们的这些痛,老李何尝不知道,他心里其实更痛。
集团这几年业务飞速发展,IT系统也上了一大堆,有放在集团IDC的,有放到云上的,想要全局防护太难了。
为了保障这些系统的稳定运行,老李带着部门的兄弟们疲于奔命。
即便如此,还是天天被投诉,周周要加班…
老李忍不了了,不能让部门兄弟再遭这个罪,他决定带兄弟们们干一票大的!老李听说最近有一种新方案挺火的,能把现在大家吐槽的这些问题全解决了。这个方案叫做SASE(安全访问服务边缘),是一种整合了零信任、SD-WAN、终端安全等能力的安全服务。
中文名字特别拗口,其实是把网络安全功能和网络接入服务融合在一起,让用户可以安全地、快速地、方便地访问业务和应用,被称为「下一代安全办公平台」。无论用户的位置在哪里(公司、出差、居家),无论要访问的业务在哪里(公司数据中心、公有云、SaaS应用),都可以快捷访问,而且确保安全。SASE可以取代各种VPN/SDP方案,提供远程访问能力,并且基于SD-WAN架构,优选最佳访问路径,保障访问体验。同时可以像SDP一样,提供服务隐藏能力,缩小暴露面。SASE采用了零信任的安全理念,对于各种访问需求提供最小权限,并持续验证。SASE还集成强大的终端安全能力,像终端防毒、补丁漏洞管理、DLP等功能,都可以一站式搞定。
要是真如宣传所说的那么优秀,绝对能让集团的安全运维上一个台阶,兄弟们不用那么累了,老板和员工的满意度也能大大提升。可是,做安全运维那么多年,老李也知道,PPT再好,也得POC先行。
而老板这几年IT投资挺舍得花钱,但是安全上一直很抠门,必须要拿事实说话。
说干就干,接下来,老李找了业内5家号称SASE产品很NB的厂商来做POC↓一番测试下来,有家公司的SASE产品成功打动了老李。
❶功能特别全:
SD-WAN能力、终端管理、零信任能力、终端安全、DLP,老李可以按菜单点菜,动态加载各种功能。不需要增加任何硬件,老李在机房启一台虚机,作为“连接器”使用,这个连接器负责将内网应用与网络POP点“连接”起来。一台2C4G的虚机建立的连接器,就能支持500个并发访问,如果需要更大规模,按需扩展即可,真正的云化服务。
❸客户端兼容性极强:
老李对客户端维护还是很头疼的,生怕不兼容或者体验差被终端用户投诉。但这家公司的SASE客户端兼容性超强,支持Windows、macOS、安卓、iOS,还支持信创Linux平台,一键安装,自动升级。
❹网速极快,POP点超多:
以前用VPN,总被大家投诉访问太慢,试用了这家的SASE以后,大家一致好评,网络访问太丝滑。老李也发现这家公司提供的底层SD-WAN网络质量极高,自动选路,POP点遍布全球,随时随地就近接入。常规的安全产品比如防火墙、WAF之类,成天躺在机柜里,老板们都没啥感觉,但SASE这个产品不同,体验好不好,老板立刻就能体会到。这不,还没等老李提,老板就主动发话了:批预算!采购!
集团给的预算足,老李直接采了旗舰版,把集团这些年来积压的办公安全问题,一次性全搞定了。
那么,这个最终脱颖而出的SASE产品到底是谁家的呢?「云脉」作为下一代一体化安全办公平台,集成了终端管理、终端安全、零信任访问、DLP等能力,并依托于中国电信强大的网络资源,构建起SD-WAN底座。
这样,任何终端在任何位置/网络,都可以安全、高效、可控地访问任何授权的业务和应用。
像老李公司这样员工多、分支多、预算又充足的大企业,选了全功能的旗舰版,实现安全办公的全面升级。而由于云脉是模块化的,各项功能可以单独购买,动态加载,所以针对很多细分场景,都可以用云脉来搞定。
比如,有些企业只有远程办公的需求,要替代原来的VPN方案,此时选择云脉SASE,就可以实现零信任远程办公。安全控制层基于零信任理念,持续验证,动态授权;底层基于SD-WAN动态选路,访问体验大大提升。有了这套系统,什么离职员工利用老账号潜入公司删库?完全没可能!而对于希望加强办公终端安全合规管理的企业来讲,以前员工被多种终端软件打扰正常工作,桌面运维人员则是天天排错疲于奔命。更大的问题是九龙治水效果反而不佳,违规行为照样有,安全风险依然在。现在好了,一个云脉SASE客户端,解决所有终端安全与合规问题,而且兼容性极强,覆盖全量终端类型。
有些企业对数据安全性要求极高,希望补强数据防泄露能力。此时,可以启用云脉SASE的敏感数据外发管控功能,实现敏感数据识别、分类分级、全通道管控、异常行为分析和处置等等。 
还没有评论,来说两句吧...