零信任如何破解運營商內外網終端安全接入與防護難題？

網絡安全形勢日益嚴峻，作為基礎電信業務經營單位的電信運營商面臨著越來越大的壓力。運營商依靠傳統的訪問控制、接入控制等系統構建了網絡安全基礎接入防護能力，但面對日益復雜的網絡安全挑戰，傳統的解決方案已無法解決運營商面臨的接入與防護挑戰，如何保障業務安全也成了運營商長期思考的問題。

三大運營商其內部系統類型可大致分為辦公類系統（如OA、郵件等）、生產類系統（如業務受理、CRM等）和運維類系統（如工單系統、網元運維管理等）三大類；在系統的訪問接入上，分為互聯網接入和DCN網接入兩種途徑；訪問用戶涵蓋內部辦公人員、網管運維人員、坐席、第三方駐場人員等多種角色；訪問終端涉及多種終端類型和操作系統。

各種不同角色的用戶、不同訪問途徑、不同的業務系統、不同類型的終端交織下，安全接入與防護成為運營商安全建設的主要難題：

系統暴露面大

一方面通過互聯網接入的業務較多，存在被惡意掃描、漏洞試探攻擊、弱密碼爆破等入侵風險。

另一方面通過運營商DCN網為接入途徑的應用系統包含大量內部敏感數據（B域、O域、M域等），直接暴露在所有內網甚至外網用戶面前，增大了攻擊面與數據暴露面，一旦遭到攻擊后果將難以估量。

終端安全問題突出

如前文所述，用戶終端通過互聯網接入訪問內部系統時，面向的用戶角色復雜，涉及業務系統同樣復雜多樣，加之終端本身安全狀態不可控，極易成為攻擊對象，進而威脅內部網絡。

訪問權限管理困難

用戶角色多樣，數據中心逐漸增多、多云多數據中心接入成為常態，如何在多角色、多云多數據中心環境下實現統一的權限管理成為運營商信息化建設的又一挑戰。

隨著高級威脅不斷加劇，權限管理必須要融入到業務的動態訪問過程中，即能夠對異常訪問行為實現自動化、精細化的動態權限控制，以應對非法接入訪問的風險，解決賬號共享問題帶來的數據安全隱患，實現對弱口令的有效檢測與處置。

綜上，擺在運營商面前的最大問題是如何保障業務安全接入與防護。

零信任架構為何受到運營商行業的青睞？

此時，以“從不信任、總是驗證”為理念的零信任受到了運營商的關注。

聚焦到運營商行業中來看，部署零信任架構可以實現泛終端統一安全接入防護體系的建立，通過SDP（軟件定義邊界）方式實現“云改數轉”后PC、移動端等統一安全接入需求，同時大幅縮減系統暴露面、助力縱深防御與數據安全，補足安全建設短板，實現對灰度流量的處置能力，滿足重要時期網絡安全保障需求。

同時，零信任架構更符合運營商多云同時接入的需求，滿足云化趨勢，實現多云環境下大并發用戶的就近接入。

從三大典型案例看運營商行業如何落地零信任

某運營商集團多數據中心統一安全接入建設

某運營商集團，基于全國各省 B 域系統的業務上與集約化建設需求，增加了大量安全訪問需求，因此需要對訪問人員進行統一安全管控。

針對具體問題，該運營商集團采用深信服零信任解決方案，通過在多云環境分布式部署零信任訪問控制系統aTrust，對B域系統進行安全發布，有效收縮系統暴露面，實現用戶的統一安全接入管控，同時以彈性擴容機制打破資源瓶頸實現高并發、解決多數據中心跨域部署的統一安全管控問題，全面提升系統訪問安全性，最終為集團數萬人提供滿足1.5萬并發接入的安全防護。

某省級運營商終端統一安全接入建設

某省級運營商在信息化建設中投入上線了數百個辦公及業務系統，并在移動端構建了以門戶APP為主，集成眾多業務APP的移動辦公平臺，日常承載上萬員工的日常辦公和運維業務，業務暴露風險、終端安全風險成為主要威脅。

為有效收縮業務暴露面，該運營商采用深信服零信任解決方案，通過基于零信任的全終端安全沙箱技術為移動終端和傳統PC終端構建統一的終端安全能力，隱藏業務暴露面，實現全省3W多終端的統一安全接入，滿足攻防演練/重保期間的安全保障，對訪問行為有效溯源，定位攻擊行為。

某省級運營商運維系統權限安全建設

某省級運營商涵蓋網管系統、辦公系統、業務后臺管理系統等200個網絡及應用運維系統，6000余名運維人員，有大量的業務系統需要通過內網和外網訪問，權限管理成為最大問題。

為實現用戶訪問的權限最小化管理，該運營商采用深信服零信任方案，將運維系統隱藏在零信任網關之后，對接現網4A系統，實現訪問流量的身份化，結合終端環境和訪問行為實現訪問權限的動態訪問控制。

為什么各大運營商在零信任落地中選擇深信服？

作為國內率先探索零信任應用的企業之一，深信服基于十幾年來SSL VPN市場領導者地位，對業務接入訪問場景有非常深刻的認識和積累，同時基于深信服自身安全產品體系帶來的安全實踐經驗和安全能力，提出了“以身份為中心，可信訪問、智能權限、極簡運維”的零信任架構理念。

基于該理念，深信服推出了基于SDP架構的零信任訪問控制系統aTrust產品及解決方案，通過新一代網絡隱身、動態自適應認證、全周期終端環境檢測、動態業務準入、動態訪問控制、多源信任評估等核心能力，幫助運營商實現流量身份化、權限智能化、訪問控制動態化、運維管理極簡化的新一代網絡安全架構轉型。

深信服零信任整體架構

據深信服零信任產品線總經理郭炳梁介紹，深信服以自身安全為底層設計和開發要素，全新推出零信任安全架構方案，其核心組件也被命名為aTrust。除了業務安全防護能力外，在自身安全上，也經過內外部重重把關驗證，僅以運營商行業為例，就在多個用戶處經歷過多輪實際的深度攻防滲透驗證。對業務安全和自身安全的深刻理解，也是深信服零信任能得到運營商客戶認可的其中一個關鍵因素。

也正是基于對安全和業務的雙方面的深刻理解和實踐， 深信服零信任目前已在多家運營商中成功落地。

目前，深信服零信任已在金融、運營商、互聯網企業、大型制造業、教育、政府科研、企事業單位等各行各業落地實施，其輕量級、易落地、可持續成長的優勢已被越來越多的用戶認可。