泛身份动态认证 打造零信任远程办公体系
  • 2021.11.30
  • 3428
  • 北京九州云腾科技有限公司
一、方案背景
2020 年,突发疫情,企业纷纷开启远程办公模式。

对在线教育企业来说,则面临着更加严峻的挑战。大量学生,“停课不停学”,更加频繁的通过在线教育平台进行学习,企业的业务比非疫情期间还要繁忙。

某知名在线教育企业,数万员工集体远程办公,超过二十万台设备接入企业内网,企业面临着诸多的安全挑战:
  1. 大量员工远程办公,缺少有效的安全管控体系,存在数据泄漏风险;
  2. 有 20 多个应用,包括本地部署应用和 SaaS 应用。员工远程办公,通过公网在多个系统间切换,重复登录验证体验差。弱口令、重复口令,存在着巨大的安全隐患;
  3. 大量使用 iPad 移动终端授课,现有的 IT 方案,无法自动识别并进行有效管理;
  4. 员工数量众多,安全力量有限,员工入职、调岗、离职权限管理压力巨大, 稍有不慎,则会带来巨大的安全隐患;
  5. 如何在最短的时间内,以最小的改动,满足疫情下的远程办公需求,兼顾安全与效率,是该企业必须全盘考虑的问题。
九州云腾远程办公零信任解决方案,以身份认证为基石,通过细粒度的动态的身份验证及授权,确保仅有授权的用户可以访问授权的业务。丰富的应用模块,可快速对接各类企业应用,实现系统的快速上线,满足企业需求。

另一方面,九州云腾丰富的超大规模客户经验,可轻松应对各类场景下的大规模访问及认证请求。良好的扩展性,为企业零信任战略的推进,提供坚实的身份基础。

 二、方案概述和应用场景
九州云腾远程办公零信任解决方案,以可信、动态为核心,经过可信认证体系的 IP、设备、应用,在进入办公网络进行权限获取和数据调用时,凭借可信认证获取权限,实现动态安全检测防护。
 
 


图 1 零信任远程办公方案
1.远程终端安全管理
提供终端的可信认证以及身份管理,通过认证才能访问内部系统。同时采集分析终端安全数据,实时而非静态的判断入网设备的安全性。客户网络直播课程中,为保证网络传输速度,提出了需要通过有线网络连接大规模大批量使用 iPad的终端资产管理和网络安全需求,解决方案通过控制入网组网,实现了对移动设备转接头入网情况的突破性识别,同时监控设备状态,针对设备可能出现的异常状态做好动态分级的权限管理,结合终端安全检测与杀毒,实现全生态的移动设备管理。
 
2.云端动态决策管控
多因素强认证,采用包括人脸识别、指纹识别、人声识别、动态二维码、手机短信、令牌等交叉安全认证方式来提升整个身份认证的强度。并以智能模型分析可信验证结果,综合判断访问身份的可信等级,实现用户权限的动态分配。例如:若某位员工偏离了日常登录地址,突然有一天显示海外登录,那么系统就会给出不同的身份认证,匹配不同的访问权限。
 
3. 统一可信网络
通过 IDaaS 产品打通了不同应用系统间的账户认证和授权体系,通过智能管理中心和多种安全管控节点,实现集中权限管理以及全面审计能力,使企业的所有应用系统可信接入办公网络,帮助企业提升安全性与便利性。
 
4. 动态最小授权
对进入系统的任何人和动作进行持续的安全监控和审计,无需配置内网准入和 VPN,使用公网即可接入办公网络,避免了繁琐配置和技术本身限制带来的网络延迟。
九州云腾远程办公零信任解决方案,通过 IDaaS 打通所有的员工和应用,并通过安装在设备上的客户端,实现终端的安全检查,通过可信身份、可信设备、可信网络、可信应用、可信链路,构建零信任可信远程办公体系,让员工随时随地安全接入内部业务,在安全和效率之间达到最佳的平衡。

 

三、优势特点和应用价值

九州云腾远程办公零信任解决方案,在不改变客户原有网络架构的基础上, 快速实现大规模的远程办公部署:
 
1. 自动覆盖所有员工,联动管理
基于 IDaaS 平台的集中式身份管理服务,为客户建立统一身份管理中心,基于设备和人的绑定关系,批量覆盖所有员工的联动管理,确保员工所有访问行为的可视、可管、可审。
 
2. 跨应用免验证高速切换提升体验
IDaaS 平台内预置了多种模板应用,同时平台自带开发者服务功能模块,可快速与企业的各类应用对接,实现对各种业务的统一免密验证登录,员工在应用之间无缝切换。并结合上网行为管理和终端数据防泄漏能力,确保落地数据安全。
 
3. 持续监控确保全链路可信
分段、隔离和控制网络的能力,仍然是零信任网络安全的关键点,九州云腾远程办公零信任策略组合利用了多种现有技术和方法,以持续的访问控制、安全监控和审计,帮助客户实现远程访问过程中网络链路的可信。
 
4. 分布式微服务设计,高性能,易扩展
分布式微服务设计,支持快速水平扩展,在系统访问量波峰波谷时段,都能保持一致的性能,满足各类突发场景下的需求。


四、经验总结

突发疫情,需要在极短的时间内,快速完成对接,实现数万员工的无感接入, 因此采用了最小集合的解决方案,通过可信终端+可信身份实现安全远程办公。
而这也刚好符合了企业推进零信任战略的逻辑,零信任不是部署一个统一身份认证,或一套 SDP,而是一套全新的安全理念和架构,需要基于企业的特点, 进行持续的升级改造,循序渐进的构建与业务需求匹配的安全又高效的信息安全体系。


 
本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝