1.企业背景

随着信息化和办公模式的发展与变化，导致传统IT架构发生很大变化。一方面，随着云计算的发展，私有云和公有云上会存在大量的关键应用服务和数据的分布，涉及到外部的公有云上面的服务跟数据脱离了传统的安全边界管控的范畴；另一方面，访问关键应用服务和数据的终端发生了较大变化。这种访问模式的巨大变化，让企业原有IT场景安全方案面临重大挑战。

2. 用户痛点：

(1) 第三方终端设备进入默认信任程度更高的企业内网环境，如缺乏有效管控，易增加内网恶意代码爆发、恶意认为攻击、数据泄露等安全风险。

(2) 更多的BYOD终端从内外网访问企业关键业务应用，无法进行设备级安全管控，易发生业务数据在终端侧的泄露。

(3) 更多的互联网端口暴露，存在安全漏洞，发生入侵攻击的风险大大增加。

(4) 互联网终端访问公有云服务的行为，直接在互联网环境发生，不经过重兵设防的企业互联网边界，需要额外的安全控制。

(5) 承担安全远程接入的SSL、VPN在性能、安全性方面无法适应越来越多的远程/移动访问需求。

(6) 默认信任级别更高的内网环境中，网络访问控制机制不够严格，给恶意攻击者在内网的横向移动提供可乘之机。

(7) 默认信任级别更高的内网环境中，安全通信机制缺失，易发生网络流量劫持，导致账户、权限、敏感数据泄露。

 3.解决思路：

指掌易聚焦问题根源，提出了针对性的解决思路。

传统IT安全架构带来冲击的原因是访问模式的变化，而无论访问模式如何变化，终端都是需要通过网络的管道来访问云端的的关键服务和数据资源，因此解决方案应着手在终端数据安全保护和可信接入层面。基于此，指掌易率先提出一种建设思路：

01 在终端数据防护层面面对业务数据在BYOD（自带设备办公）设备上留存使用——不管控不行、强管控则与个人信息保护要求相违背的现状。企业需要一款轻量化的产品在终端（包括桌面终端和移动终端）实现数据保护与用户体验兼顾的的目的。此产品在终端上提供移动沙箱技术，隔离出安全工作空间，作为业务数据在终端上的安全保护边界，以期实现控制数据泄露、同时兼顾终端设备上的个人信息保护等目的。

02 在可信接入访问层面可使用SDP（软件定义边界）技术，该技术基于零信任理念，为企业建立安全接入网关，对访问主体的身份可信度进行持续评估和动态访问控制，同时实现业务应用服务隐藏和数据安全传输。再和终端数据安全方案集合起来形成一个完整的闭环保护方案，可满足收敛暴露面、可信访问控制以及数据链路安全保障等核心诉求。

4.方案介绍

指掌易EDTA企业数据可信访问解决方案

指掌易EDTA(企业数据可信访问)解决方案可满足客户的主要核心需求，其中主要包含EDP（端点数据边界）和SDP（软件定义边界）两个组成部分。

EDP主要针对BYOD场景下的设备管理。采用沙箱技术作为核心技术的EDP，可通过虚拟化的方式来隔离设备上面的个人数据与工作数据，在专属的工作空间内，保护内部企业应用和数据资源，并在数据隔离的基础上，提供一系列DLP数据防泄露的控制能力(包括数据的透明加解密、防复制粘贴截屏、以及数据进程水印等一系列的控制特性)，以上安全策略可通过统一的平台去管控下发，实现安全、高效、灵活的管理。除此之外，EDP产品还可与SDP组件无缝集成，形成完整闭环的数据保护机制。

SDP（软件定义边界）产品是基于零信任安全架构而来，该产品包含了控制器、网关和客户端。工作原理是将控制层面和数据层面进行分离，用控制层面来建立信任关系，在信任关系通过的情况下再用数据层面来处理数据的通信。另外，SDP在可信用户使用过程中，通过持续信任评估及时应对风险因素的变化做出响应动作，实现动态的访问策略控制。

EDTA解决方案优势及特点

01 可信的运行环境

基于移动端EDP、桌面端EDP构建一个可信的企业应用和数据运行使用环境，保证企业数据在终端设备上的安全可控的使用。

02 综合的身份认证

从“零”开始，基于可信设备、可信身份、可信时间、可信网络、可信位置等综合因素判断登录身份的合法性，建立初始信任，并进行最小化授权，控制通道与数据通道分离，实现先认证后连接。

03 安全的传输通道

数据传输采用高强度加密算法和安全密钥交换更新机制，确保通信数据安全。

04 隐身的网络资源

使用SPA单包授权机制，将安全接入系统服务和所有业务应用服务在互联网上“隐身”，不开放任何TCP端口，不为黑客提供任何端口扫描和攻击的机会。

05 持续的访问控制

使用过程中，持续对设备状态、网络环境、使用行为的合法性进行综合评分，基于评分和应用安全等级动态调整用户的访问权限。

06支持信创环境并满足实战演练需求

指掌易作为信创工委会的会员单位，已经积累了自身产品方案针对主流国产化操作系统和数据库软件的兼容适配能力，并获取了产品互认证证书，能够直接适应信创使用场景的需要；且针对当前“网络安全实战攻防演练”背景下的客户收缩暴露面的需求，SDP系统具备非常有效的适用性。

行业实践案例：

01 某省级运营商案例

从该运营商集团层面来讲，无论是风险控制的要求还是参与“网络安全实战攻防演练”行动的需要，集团层面一开始就下发过相关的文件，明确的提到非面向外部用户的应用服务是不允许直接向互联网开放的，需要退回内网，并通过安全接入的机制来保证该服务本身不受影响。该运营商客户，通过部署指掌易安全工作空间，通过对安卓应用和iOS应用进行容器化处理，对全省一万多用户和2万多台设备进行数据防泄露的有效控制。另外还建设了SDP安全网关，把原来互联网上对员工开放的移动应用的服务全部退回内网，并通过SDP网关为十多个移动业务应用的服务来提供安全的代理访问接入，从而大幅的收敛了服务的暴露面，有效的支撑了省内的“网络安全实战攻防演练”活动。

 02 某城商行客户

该客户在远程运维的场景中采用了指掌易SDP安全网关方案。远程运维所使用的运维账号要访问的相关服务，敏感性很高，对安全性的要求也会更高。通过部署SDP安全网关方案，让运维人员在个人终端上面先登录SDP系统，然后在SDP系统保护下登录运维堡垒机，再去做相应的运维操作。指掌易SDP安全网关方案既保证了客户运维支撑的效率，同时也因为有SDP系统的保护，保障了使用敏感特权账号对重要IT资源的远程维护操作的安全性。