為了在幫助企業實現數字化轉型的同時,更好地幫助企業實現保障業務的順暢和生產力的提升。白山云積極應對企業場景與挑戰,構建零信任安全生態,力求為企業帶來全新的安全解決方案,多維守護企業辦公安全。
有效解決下列場景與挑戰:
八個分支分布在全球不同區域,客戶遍布全球各地,基于業務發展需求,員工隨時隨地可能通過VPN方式遠程開展工作,受限于接入方式和接入環境,在接入工作前需要執行終端安全檢查,避免處于風險的網絡環境,工作效率受到很大的影響;
員工遠程訪問企業內部服務,存在一定安全隱患,一是可能受賬密脆弱性影響,導致被竊取或撞庫風險,二是BYOD可能被監聽或劫持,導致內部數據存在泄露風險;
不同員工職能不同,具有不同的業務環境訪問需求,業務系統繁多,既有云上SaaS服務,又有企業內部自建服務,以粗粒度方式管理員工應用訪問授權,每個應用都有一個獨立訪問路徑和賬戶體系,給管理員帶來極大挑戰。
白山云零信任遠程訪問實踐項目完成了白山云內部應用的ZTNA改造,涉及到白山云內部自建系統及SaaS服務,同時還有Linux、Windows服務的SSH、RDP、VPN等協議應用。兼顧高可用訪問和安全可信訪問,提供統一管控平臺,實現業務按需隱藏,幫助白山云建立身份認證體系、高效便捷的接入方式、標準化資源控制、降低IT復雜度,全面強化安全。
一方面針對全員近千人,幾十種職能角色,實現由單一本地化辦公模式,拓展至支持依托ZTNA的遠程訪問方式,大大提升遠程辦公體驗、效率和安全性;另一方面針對用戶、訪問鏈路、應用、數據等各個環節進行全局統一管控,構筑可管控、可審計的零信任安全訪問閉環。
項目部署基于零信任架構和理念,構建“訪問端、身份、應用端”三元合一的可信訪問實體,實現在非特權網絡中對業務資源和數據的安全、穩定、高效的訪問。采用SaaS模式,無需復雜的部署和安裝,所要求的功能可以在產品上自主通過可視化界面配置,平臺使用B/S設計架構,不需要安裝任何軟件和代理,可以通過瀏覽器遠程使用。
邊緣網關充當業務應用的訪問入口,最大化地降低了業務應用被暴露在互聯網中遭受各類攻擊的風險,無法被外部掃描滲透,不再被動地修復漏洞,實現了對源站應用的隱身保護;
訪問可信檢測:基于每個訪問連接施行動態授權,輔以用戶行為分析,更好地透視與管控企業應用安全,按需限制或拒絕存在安全性風險的訪問請求;
訪問控制引擎:根據特定用戶/用戶組的身份、職能、需求授予訪問權限,實行最小權限原則,更好地保護敏感生產環境的訪問安全;
身份信任管理:提供身份生命周期管理,包括OTP動態口令、企業微信、OIDC、SAML等多種身份驗證方式;
應用可信接入:提供上千種SaaS應用接入模板,集中SaaS應用訪問入口;提供SSH、RDP、VNC等協議應用遠程安全接入;提供內網僅出站連接的單向隧道,實現內網應用 SaaS化。
項目實踐具體效果如下:
整體工作接入效率提升3-5倍,具有更強的安全體系和更便捷的管理工作;
建立集中身份信任服務,形成統一的身份認證中心、SSO和多因子認證,輔助建立多層次防御,加強身份驗證的安全性;
可通過統一門戶接入,提升用戶體驗,內網應用快速SaaS化,集中管控云上SaaS應用,保障所有終端同時在線的情況下穩定、高效、安全的辦公,提高員工生產力;
標準化資源控制、隱藏資產攻擊面,無法被外部掃描滲透,不再被動地修復漏洞,擺脫對防火墻、設備的依賴,降低IT維護成本;細粒度訪問控制手段,可視化的策略管理能力,云原生安全平臺防護能力,多維度的強化網絡安全。
在近些年的發展過程中,白山云一直深耕零信任領域,致力于打造一個專業的網絡安全生態體系,提升企業的網絡安全能力。現如今更是成功落地驗證全新零信任解決方案,化解了企業客戶的運維安全風險,為行業的發展注入了全新的活力。
