網御星云：基于“零信任”打造遠程辦公安全運營新模式

新冠疫情防控常態化的當下，遠程辦公成為企業“新常態”。由于遠程辦公的地點具有分散性，使得網絡邊界擴大、接入終端復雜、內部資源暴露，增加了數據泄露的風險，網絡攻擊事件也大幅度增長。2021年5月，黑客組織DarkSide利用公司員工遠程辦公VPN存在的漏洞竊取賬號信息，控制了某國輸油管道廠商管道控制系統，使其感染了勒索病毒，竊取并劫持了近100GB的數據，導致其輸油管道停運8天。該事件給遠程辦公安全敲響了警鐘，全面考慮遠程辦公風險，提升安全防護能力刻不容緩。

遠程辦公安全需求分析

在傳統辦公模式下，企業基本采用VPN方式實現遠程辦公，員工通過VPN賬號，接入公司內部網絡，就可以訪問所需的應用資源。在新的辦公場景下，如果還延續傳統基于網絡位置的訪問管理模式，無疑打開了一個更大的網絡安全潘多拉魔盒，各路潛在攻擊魚貫而出，防不勝防。

當遠程辦公場景逐漸復雜化，傳統遠程辦公存在的安全缺陷便暴露無遺，而傳統邊界安全理念無法滿足新型安全需求，亟需新的安全能力提供全面保障。對此，零信任安全理念成為了解決上述問題的最佳方案之一。

關鍵詞：北京安全運營解決方案公司、北京安全運營、北京安全運營廠商、北京安全運營公司、北京安全運營中心

網御星云遠程辦公零信任解決方案

零信任（ZeroTrust）是一組安全理念，其核心思想是默認不信任何人和設備，經過驗證后才能獲得信任，允許訪問資源和應用。零信任的理念包含先認證再訪問、最小權限、訪問行為持續評估、多因素風險確認、根據風險動態調整訪問控制策略等。

網御星云基于零信任安全理念，對企業遠程辦公場景進行全新設計，旨在幫助企業建立可信、可管、可控的動態安全保障體系，解決網絡邊界泛化的安全問題，收斂網絡暴露面，實現業務和數據的安全訪問，并滿足網絡安全合規監管要求。

整體方案采用零信任SDP技術實現員工訪問辦公資源過程中身份、設備、鏈路、權限、資源等每個要素的安全，加強辦公場景的安全動態管控，收斂暴露面，構建動態主動安全防御體系。

遠程辦公場景安全設計如圖所示：

圖1遠程辦公場景安全設計圖

在遠程辦公場景安全設計中，我們將暴露后端的郵件、OA、CRM、運維、開發測試等系統隱藏起來，通過“五個可信”（即可信身份、可信環境、可信鏈路、可信權限、可信應用）確保遠程或本地辦公人員訪問資源的全過程安全。

關鍵詞：北京安全運營解決方案公司、北京安全運營、北京安全運營廠商、北京安全運營公司、北京安全運營中心

方案涉及重要組件及作用如下：

可信接入客戶端及環境感知：在用戶辦公設備上安裝客戶端軟件，實現終端安全接入認證、SAP敲門協商、傳輸加密、安全基線掃描、環境感知數據上報等功能，保證接入終端的可靠性，數據傳輸的機密性和完整性。

可信接入代理：在對應辦公訪問資源前端部署代理網關，統一資源對外訪問入口，收斂資源暴露面，實現對客戶端到應用訪問過程中的端口動態開放、傳輸加密、應用代理訪問等功能，實現網絡隱身極大降低網絡的暴露面。

可信接入控制器：可信接入控制器聯動身份、權限等基礎設施實現對接入主體身份、設備身份、設備運行環境身份等多維一體的身份驗證與權限鑒別；控制器可匯聚客戶端采集上報的終端信息，并實時研判打分，進行信任評估；當接入主體信任度發生變化，控制器可依據事先定義的策略，動態生成訪問控制規則，下發至可信接入代理，實現用戶訪問業務的動態授權。

零信任安全管控平臺：集身份中心、認證中心、權限中心、審計中心、環境感知中心、威脅情報中心UEBA等于一身，是零信任安全的基礎設施及安全控制“大腦”，動態建立用戶與資源的信任鏈條，達到用戶可信、可管、可控。

關鍵詞：北京安全運營解決方案公司、北京安全運營、北京安全運營廠商、北京安全運營公司、北京安全運營中心

方案價值

△ 安全合規：滿足等級保護及國家密碼測評相關合規性要求。

△ 可信訪問：基于零信任安全理念，先認證后連接，通過持續認證、動態授權、業務審計等技術手段，實現用戶設備、網絡、應用、數據的可信訪問。

△ 應用隱身：基于SPA單包授權技術，可有效隱藏網絡端口，實現應用隱身，大面積減少攻擊暴露面。

隨著新冠疫情防控成為常態化的趨勢，如何做好“遠程+現場”辦公的雙安全，是企業應考慮的重點問題之一。網御星云遠程辦公零信任解決方案聚焦遠程辦公場景下的多維因素，可為多種用戶場景提供全方位安全防護，助力企業建立遠程辦公“新常態”下可信、可管、可控的動態安全保障體系。

關鍵詞：北京安全運營解決方案公司、北京安全運營、北京安全運營廠商、北京安全運營公司、北京安全運營中心