企業安全建設之自建准入系統,本文介紹了下自建准入系統的經歷,該系統在某大型互聯網公司穩定運行了5年。
准入系統簡介
網路准入控制 (NAC)是一項由思科發起、多家廠商參加的計畫,其宗旨是防止病毒和蠕蟲等新興駭客技術對企業安全造成危害。 借助NAC,企業可以只允許合法的、值得信任的設備(例如PC、伺服器、PDA)接入網路,而不允許其它設備接入。
亡羊補牢
互聯網公司除了美國上市基本就沒有安全合規壓力,一切以業務發展和工作效率為第一驅動力,所以費錢費人力的安全的建設主要依賴事件驅動,我們上准入前就遇到這麼幾個倒楣事:
辦公網大量PC殺毒被員工卸載,又沒及時打補丁,結果中了當時都覺得非常low的arp病毒,幾層辦公區網斷了,影響了小一千RD開發。
憤青小員工發帖,叔叔上門查水錶,我們差點沒查出是誰。
痛點
基於歷史教訓,我們上准入系統想解決的痛點簡單歸納就是:
身份認證:wifi和有線接入到情況下能設備/IP與人綁定,調查安全事件可以定位到人
許可權限制:不同職能的人群網路許可權不一樣,許可權最小化
安全加固:滿足公司安全基線要求的設備才能接入內網,沒裝殺毒沒打補丁就禁止接入
這上面任何一個問題,其實都有別的解決方案,例如綁定mac之類,但是當時我們北京四個樓,兩千RD,大量使用wifi移動辦公,有線網路有的大樓接入都是傻hub,有的是華三31,有的是思科29,目測也就上准入才能搞定了。
三人行必有我師
語文老師說三人行必有我師,歷史老師說師夷長技以制夷,總之我們根據當時gartner的排名,調研了國外幾家准入廠商的產品,總結了下它們的優點:
認證授權與微軟域SSO集成
有線無線切換時自動認證
網路控制在三層減少對網路基礎設施的依賴
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
