在数字化办公不断发展的当下,钉钉、微信、企业微信等社交化平台成为企业内部沟通协作的重要工具,同时该类社交工具的工作台承载着企业大量业务系统。工作台作为企业移动办公的统一入口,受传统网络边界防护模式的限制,如需随时随地访问到工作台的业务系统,便需要通过边界防火墙将各个业务系统映射在互联网上,这将面临由于长期端口暴露及0day漏洞等问题带来的安全风险。因此引入零信任架构与业务及社交化平台三方面深度集成的方案,可帮助企业收敛工作台业务系统暴露面,提升安全防护能力。
传统的身份认证方式,如 “用户名 + 静态密码”,存在诸多弊端。用户需要记忆多个账号密码,容易遗忘或混淆,且密码安全意识淡薄、加密技术漏洞等问题,使得网络安全风险日益增加。而社交化认证借助社交平台的广泛应用和强大功能,为解决这些问题提供了新的思路,以目前较为普遍的“免密登录”为例,实际上就从一定程度上,解决了静态密码容易泄露带来的安全风险,而市面上各个厂商实现免密登录的逻辑也大致不同,同时基于业务系统及认证源的不同,也分为不同的认证方式。大致可分为业务系统直接与社交平台的身份进行集成,以及业务平台与SSO集成,SSO调用社交化平台做身份认证。
在技术实现上,社交化认证与业务系统的集成涉及多个环节。以微信公众平台开发为例,开发者申请服务号后,通过填写正确的接入信息,如线上服务器 URL 和 token,实现与业务系统的对接。每个用户在公众号产生的唯一 OpenID,可与业务系统中的用户账号进行关联绑定,从而识别用户身份。当用户选择微信扫码登录时,系统本地生成包含特定信息的 URL,经js 代码转换为二维码显示在页面上。用户扫码后,通过微信服务器获取 OpenID 并传递给认证服务器,认证服务器据此进行授权验证,实现登录功能。这一过程借助微信公众平台的通信接口和业务系统配置的接口,实现了数据的安全交互。
这种深度集成还为业务系统带来了丰富的功能拓展。在业务系统中,认证平台与微信的集成,实现了用户管理、应用管理、访问风险管理等功能。管理员可以通过系统对用户进行增删改查操作,对应用系统进行参数配置和管理,提升了办公效率。
然而,社交化认证与业务系统深度集成之后,对于业务系统是否可长期暴露在互联网上提出了新的安全挑战。结合零信任平台可以构建更加安全、可靠的系统架构。具体架构设计如下:
集成身份认证:
用社交化平台的认证机制作为零信任架构中的身份认证层。当用户通过社交化平台发起访问请求时,首先由社交化平台对用户的身份进行验证,只有通过验证的用户才能获得由社交化平台颁发的数字身份凭证。这个数字身份凭证将作为用户在零信任环境中的唯一身份标识,用于后续的访问控制和授权决策。
访问控制层:
在零信任平台的访问控制层,根据用户的数字身份凭证、访问请求的资源类型以及预设的访问策略,对用户的访问请求进行动态授权。访问策略可以根据不同的业务场景和安全需求进行灵活配置,例如,对于敏感资源的访问可能需要更高级别的授权,而对于普通资源的访问则可以相对宽松一些。通过这种方式,可以实现对用户访问行为的精细化管理,确保只有合法、合规的访问请求才能被允许通过。
数据加密层:
为了保护数据在传输过程中的安全性,在零信任架构中引入数据加密层。无论是用户与社交化平台之间的通信,还是业务系统内部各组件之间的数据传输,都应采用加密技术进行加密处理。这样可以防止数据在传输过程中被窃取或篡改,保障数据的机密性和完整性。
持续监测与分析层:
零信任平台还应具备持续监测与分析的功能,实时收集和分析网络流量、用户行为等数据,以便及时发现潜在的安全威胁和异常行为。通过对这些数据的深入分析,可以识别出可能存在的攻击模式和安全漏洞,并采取相应的措施进行防范和应对。
零信任优势赋能
● 提升安全性:通过零信任平台的严格身份验证和访问控制机制,可以有效防止未经授权的访问和数据泄露事件的发生。即使企业的网络边界被突破,攻击者也无法轻易获取到业务系统中的核心数据,因为每一个访问请求都需要经过多重验证和授权。
● 收敛系统暴露面:零信任平台打破了传统网络边界的概念,不再依赖于固定的网络边界来进行安全防护。这意味着业务系统不再需要将大量的服务和资源暴露在互联网上,从而减少了被攻击的可能性。同时,通过动态授权的方式,只向用户提供其所需的最小权限访问资源,进一步缩小了系统的暴露面。
● 满足合规要求:随着数据安全法规的日益严格,企业需要采取更加有效的措施来保护用户数据的安全和隐私。零信任平台的设计理念符合相关法规的要求,通过加密传输、访问控制等技术手段,可以更好地保障用户数据的安全性和合规性,避免因数据泄露而面临的法律风险。
将业务系统与钉钉、微信、企业微信这类社交化平台进行深度融合,实现免密登录,并结合零信任平台,是企业在数字化转型过程中提升用户体验和安全性的重要举措。通过这种融合方案,企业可以为用户提供更加便捷、高效的登录方式,增强用户粘性和满意度;同时,借助零信任平台的强大安全防护能力,有效收敛系统的暴露面,保障业务系统的安全稳定运行。在未来的发展中,随着技术的不断进步和企业安全需求的持续升级,这种融合模式将不断完善和发展,为企业的数字化转型提供更加有力的支持。
发表评论
您还未登录,请先登录。
登录