新冠疫情防控常態(tài)化的當(dāng)下，遠(yuǎn)程辦公成為企業(yè)“新常態(tài)”。由于遠(yuǎn)程辦公的地點(diǎn)具有分散性，使得網(wǎng)絡(luò)邊界擴(kuò)大、接入終端復(fù)雜、內(nèi)部資源暴露，增加了數(shù)據(jù)泄露的風(fēng)險，網(wǎng)絡(luò)攻擊事件也大幅度增長。2021年5月，黑客組織DarkSide利用公司員工遠(yuǎn)程辦公VPN存在的漏洞竊取賬號信息，控制了某國輸油管道廠商管道控制系統(tǒng)，使其感染了勒索病毒，竊取并劫持了近100GB的數(shù)據(jù)，導(dǎo)致其輸油管道停運(yùn)8天。該事件給遠(yuǎn)程辦公安全敲響了警鐘，全面考慮遠(yuǎn)程辦公風(fēng)險，提升安全防護(hù)能力刻不容緩。

遠(yuǎn)程辦公安全需求分析

在傳統(tǒng)辦公模式下，企業(yè)基本采用VPN方式實(shí)現(xiàn)遠(yuǎn)程辦公，員工通過VPN賬號，接入公司內(nèi)部網(wǎng)絡(luò)，就可以訪問所需的應(yīng)用資源。在新的辦公場景下，如果還延續(xù)傳統(tǒng)基于網(wǎng)絡(luò)位置的訪問管理模式，無疑打開了一個更大的網(wǎng)絡(luò)安全潘多拉魔盒，各路潛在攻擊魚貫而出，防不勝防。

當(dāng)遠(yuǎn)程辦公場景逐漸復(fù)雜化，傳統(tǒng)遠(yuǎn)程辦公存在的安全缺陷便暴露無遺，而傳統(tǒng)邊界安全理念無法滿足新型安全需求，亟需新的安全能力提供全面保障。對此，零信任安全理念成為了解決上述問題的最佳方案之一。

關(guān)鍵詞：北京安全運(yùn)營解決方案公司、北京安全運(yùn)營、北京安全運(yùn)營廠商、北京安全運(yùn)營公司、北京安全運(yùn)營中心

網(wǎng)御星云遠(yuǎn)程辦公零信任解決方案

零信任(ZeroTrust)是一組安全理念，其核心思想是默認(rèn)不信任何人和設(shè)備，經(jīng)過驗(yàn)證后才能獲得信任，允許訪問資源和應(yīng)用。零信任的理念包含先認(rèn)證再訪問、最小權(quán)限、訪問行為持續(xù)評估、多因素風(fēng)險確認(rèn)、根據(jù)風(fēng)險動態(tài)調(diào)整訪問控制策略等。

網(wǎng)御星云基于零信任安全理念，對企業(yè)遠(yuǎn)程辦公場景進(jìn)行全新設(shè)計(jì)，旨在幫助企業(yè)建立可信、可管、可控的動態(tài)安全保障體系，解決網(wǎng)絡(luò)邊界泛化的安全問題，收斂網(wǎng)絡(luò)暴露面，實(shí)現(xiàn)業(yè)務(wù)和數(shù)據(jù)的安全訪問，并滿足網(wǎng)絡(luò)安全合規(guī)監(jiān)管要求。

整體方案采用零信任SDP技術(shù)實(shí)現(xiàn)員工訪問辦公資源過程中身份、設(shè)備、鏈路、權(quán)限、資源等每個要素的安全，加強(qiáng)辦公場景的安全動態(tài)管控，收斂暴露面，構(gòu)建動態(tài)主動安全防御體系。

遠(yuǎn)程辦公場景安全設(shè)計(jì)如圖所示：

圖1遠(yuǎn)程辦公場景安全設(shè)計(jì)圖

在遠(yuǎn)程辦公場景安全設(shè)計(jì)中，我們將暴露后端的郵件、OA、CRM、運(yùn)維、開發(fā)測試等系統(tǒng)隱藏起來，通過“五個可信”(即可信身份、可信環(huán)境、可信鏈路、可信權(quán)限、可信應(yīng)用)確保遠(yuǎn)程或本地辦公人員訪問資源的全過程安全。

1)可信接入客戶端及環(huán)境感知：在用戶辦公設(shè)備上安裝客戶端軟件，實(shí)現(xiàn)終端安全接入認(rèn)證、SAP敲門協(xié)商、傳輸加密、安全基線掃描、環(huán)境感知數(shù)據(jù)上報等功能，保證接入終端的可靠性，數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。

2)可信接入代理：在對應(yīng)辦公訪問資源前端部署代理網(wǎng)關(guān)，統(tǒng)一資源對外訪問入口，收斂資源暴露面，實(shí)現(xiàn)對客戶端到應(yīng)用訪問過程中的端口動態(tài)開放、傳輸加密、應(yīng)用代理訪問等功能，實(shí)現(xiàn)網(wǎng)絡(luò)隱身極大降低網(wǎng)絡(luò)的暴露面。

3)可信接入控制器：可信接入控制器聯(lián)動身份、權(quán)限等基礎(chǔ)設(shè)施實(shí)現(xiàn)對接入主體身份、設(shè)備身份、設(shè)備運(yùn)行環(huán)境身份等多維一體的身份驗(yàn)證與權(quán)限鑒別;控制器可匯聚客戶端采集上報的終端信息，并實(shí)時研判打分，進(jìn)行信任評估;當(dāng)接入主體信任度發(fā)生變化，控制器可依據(jù)事先定義的策略，動態(tài)生成訪問控制規(guī)則，下發(fā)至可信接入代理，實(shí)現(xiàn)用戶訪問業(yè)務(wù)的動態(tài)授權(quán)。

4)零信任安全管控平臺：集身份中心、認(rèn)證中心、權(quán)限中心、審計(jì)中心、環(huán)境感知中心、威脅情報中心UEBA等于一身，是零信任安全的基礎(chǔ)設(shè)施及安全控制“大腦”，動態(tài)建立用戶與資源的信任鏈條，達(dá)到用戶可信、可管、可控。

△ 安全合規(guī)：滿足等級保護(hù)及國家密碼測評相關(guān)合規(guī)性要求。

△ 可信訪問：基于零信任安全理念，先認(rèn)證后連接，通過持續(xù)認(rèn)證、動態(tài)授權(quán)、業(yè)務(wù)審計(jì)等技術(shù)手段，實(shí)現(xiàn)用戶設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)的可信訪問。

△ 應(yīng)用隱身：基于SPA單包授權(quán)技術(shù)，可有效隱藏網(wǎng)絡(luò)端口，實(shí)現(xiàn)應(yīng)用隱身，大面積減少攻擊暴露面。

隨著新冠疫情防控成為常態(tài)化的趨勢，如何做好“遠(yuǎn)程+現(xiàn)場”辦公的雙安全，是企業(yè)應(yīng)考慮的重點(diǎn)問題之一。網(wǎng)御星云遠(yuǎn)程辦公零信任解決方案聚焦遠(yuǎn)程辦公場景下的多維因素，可為多種用戶場景提供全方位安全防護(hù)，助力企業(yè)建立遠(yuǎn)程辦公“新常態(tài)”下可信、可管、可控的動態(tài)安全保障體系