一、方案背景
某公司是国家高新技术企业,主要从事复合材料与环保建材的研制、开发、生产、销售等,产品广泛用于房地产开发、旧城改造、民用建筑、工业厂房建设、室内外装修、城市公用配套设施等领域。秉承"善用资源,服务建设"的理念,坚持科学发展、和谐建设,经过十多年的发展历程,在国内外拥有多家合资合作公司,享有自营进出口权,是中国民用复合材料行业的领军企业。
随着该企业的数字化转型,同时业务也开始扩展到国内多个城市,分支机构对业务的访问和安全需求随之而来。同时,疫情导致的远程办公常态化,诸多内部员工采用远程访问的方式进行业务操作。
在此背景下,给该企业安全带来了双重挑战:
挑战 1:业务和数据的访问者超出了企业的传统边界。分支机构散布全国, 网络、人员、设备都无法精确识别与控制。
挑战 2:企业的业务和数据也超出了企业的认知边界。数据流向安全管理人员无法控制的范围。
二、方案概述和应用场景
以360连接云软件定义边界系统为核心,基于零信任架构,遵循零信任核心理念。包含环境感知、可信控制器、可信代理网关三大组件,具备以身份为基础、最小权限访问、业务隐藏、终端检测评估、动态授权控制等几大核心能力。实现企业终端统一管理、用户统一管理、应用统一管理、策略统一管理、数据统一管理、安全统一管理。
图1
三、优势特点和应用价值
1.方案效果
1)企业用户终端只能通过360安全浏览器进行身份认证,满足企业“轻办公”入口需求;
2)浏览器携带用户身份通过可信网关进行认证并建立国密数据通道;
3)可信网关根据用户权限鉴别开放其身份可见的业务系统;
4)用户浏览业务系统文件时实现了防复制、防截屏、防打印、防下载等数据安全能力;
2.方案价值
1)安全
| 端口隐藏,减少攻击暴露面;
| 国密数据通道加持,安全可靠;
| 数据不落地有效防止人为泄露;
2)高效
| 全面支持 SSO 单点登录,无需反复认证;
| 不改变用户使用习惯,打破无形的技术门槛;
| 统一用户访问入口,规范用户访问行为;
四、经验总结
零信任的环境感知持续评估对后期运维带来挑战:客户原有VPN用户认证成功后后续再无安全动作,零信任强调的持续感知会要求对访问终端的环境进行持续的评估,发现安全风险后可动态对访问进行干预,这导致刚开始推广时,运维管理员接到不少用户咨询访问被干预的原因。建议在落地前整理对应问题解决FAQ,并通过企业内部统一IT工作流进行问题上报/跟踪/处理整体流程。