某银行行内主要是以办公大楼内部办公为主，员工通过内网访问日常工作所需的业务应用。为满足员工外出办公的需要，当前主要的业务流程是通常情况下， 用户申请 VPN+云桌面的权限，在审核通过后，管理员为用户开通权限范围内的应用。在远程访问时，员工采用账号密码方式登录 SSL VPN 客户端及云桌面拨入行内办公网络，访问行内办公系统。

随着该行业务发展以及数字化转型的需要，远程办公已经成了行内不可缺少的办公手段，并日渐成为该行常态化办公模式。同时，受疫情影响，使得行内有些业务必须对外开放远程访问。为了统筹考虑业务本身发展需求以及类似于此类疫情事件影响，该行着手远程办公整体规划设计。保证远程访问办公应用、业务应用、运维资源的安全性及易用性。

图 1 客户业务现状

业务痛点：

1.用户远程访问使用的设备存在安全隐患

员工使用的终端除了派发终端还包括私有终端，安全状态不同，存在远控软件、恶意应用、病毒木马、多人围观等风险，给内网业务带来了极大的安全隐患。

2.VPN 和云桌面自身存在安全漏洞

VPN 和云桌面产品漏洞层出不穷。尤其是传统 VPN 产品，攻击者利用 VPN 漏洞极易绕过 VPN 用户验证，直接进入 VPN 后台将 VPN 作为渗透内网的跳板，进行肆意横向移动。

3.静态授权机制无法实时响应风险

当前的网络接入都是预授权机制，当访问应用过程中发生。发生用户登录常用设备、访问地理位置、访问频次、访问时段、用户的异常操作、违规操作、越权访问、非授权访问等行为时，无法及时阻断访问降低风险。

为应对上述安全挑战，同时满足其远程访问的要求，奇安信基于“从不信任并始终验证”的零信任理念，为其构建“以身份为基石、业务安全访问、持续信任评估、动态访问控制”的核心能力，从设备、用户多个方面出发，通过立体化的设备可信检查、自适应的智能用户身份认证、细粒度的动态访问控制，可视化的访问统计溯源，模型化的访问行为分析，为为该行提供按需、动态的可信访问， 最终实现访问过程中用户的安全接入及数据安全访问。同时，结合其现有安全管控的能力，与现有的分析系统进行安全风险事件联动，进一步提供动态访问控制能力。

图 2 零信任远程访问整体解决方案逻辑图

图 3 零信任远程访问整体解决方案部署图

解决方案由可信访问控制台（TAC）、可信应用代理（TAP）、可信环境感知系统（TESS）等关键产品技术组件构成。该方案在访问的业务系统前部署可信应用代理 TAP，提供链路加密、业务隐藏、访问控制能力。通过部署可信环境感知产品提供终端风险感知作用，并通过可信访问控制台提供动态决策能力。

通过部署和使用奇安信零信任远程访问解决方案，该银行构建了安全、高效和合规的远程访问模式，实现了以最小信任度进行远程接入，对应用权限的“最小授权”，数据的安全传输，达到了远程访问的动态访问目的。

奇安信零信任远程访问解决方案适用于业务远程访问、远程运维、开放众测等多种业务场景，对应用、功能、接口各个层面形成纵深的动态访问控制机制， 既适用于传统办公访问场景，在云计算、大数据中心、物联网等新 IT 场景也具备普适性。

1. 用户价值

1）业务隐藏、收缩暴露面

可信应用代理 TAP 将云平台中数千个桌面云彻底“隐身”，不对外暴露桌面云的 IP、端口。同时，TAP 采用 SPA 单包授权技术，默认情况下全端口全隐身（连不上、ping 不通），只对合法用户合规终端开放网络端口。

2）终端检查、确保终端环境安全

通过可信环境感知系统 TESS 对用户访问终端进行全方面安全扫描（设备信息、病毒扫描、漏洞扫描、补丁检测、运行软件）和持续监测，不满足检测要求的终端将被禁止登录。

3）持续验证、提升身份可信

通过自适应多因子认证能力，根据人员、终端、环境、接入网络等因素动态调整认证策略，兼顾安全与易用，访问过程中，根据风险情况，持续验证用户身份是否可信。

4）按需授权、细粒度访问控制

遵循最小权限原则，基于场景化应用对业务人员进行细粒度的访问控制。基于角色、访问上下文、访问者的信任等级、实时风险事件动态调整访问权限。

5）安全加固，防止设备被打穿，自身安全

内置 WAF 模块，有效缓解漏洞注入、溢出攻击等威胁；内置 RASP 组件，可抵御基于传统签名方式无法有效保护的未知攻击，同时具备基于自学习的进程白名单和驱动级文件防纂改能力。

6）无缝体验

解决方案使得员工拥有内外网一致的办公体验，无需用户重复登录，不会因为网络的连通性而影响办公效率。

2.方案优势

1）访问控制基于身份而非网络位置

解决方案以身份为逻辑边界，基于身份而非网络位置构建访问控制体系，为网络中的人、设备、应用都赋予逻辑身份，将身份化的人和设备进行运行时组合构建访问主体，并为访问主体设定其所需的最小权限。基于身份进行细粒度的权限设置和判定，能够更好地适应多类终端接入、多方人员接入、混合计算环境下的数据安全访问及共享问题。

2）业务访问基于应用层代理而非网络层隧道

解决方案在应用层对所有访问请求进行认证、授权和加密传输，将业务暴露面极度收缩，避免网络层隧道导致的暴露面过大和权限过度开放。传统业务代理实现时由于业务暴露面过大，经常发生安全事故。

3）信任基于持续评估而非人为预置

解决方案对终端、用户等访问主体进行持续风险感知和信任评估，根据信任评估对访问权限进行动态调整。受控终端具备安全状态可信环境感知能力，能够根据终端上的各种安全状态信息，如漏洞修复情况、病毒木马情况、危险项情况、安全配置以及终端各种软硬件信息，采用“可信加权”原则，将所有风险项产生的权值进行相加，以百分制提供给可信访问控制台。

4）访问权限基于动态调整而非静态赋予

静态权限难以对风险进行实时响应和处理，解决方案基于持续信任评估和风险感知对权限进行动态调整，遵循基于持续信任评估的动态最小权限原则，实时对风险进行闭环处置。

在方案推进过程中，奇安信安全专家发现，其实产业界多数用户均已经在关注并认同零信任的核心理念，但在实际落地迁移中，确实也会存在一些顾虑。比如，目前政策导向不足，零信任建设能否得到公司领导层的有力支持；需要真正实现安全与业务的融合，对运维要求高，需具备一定的技术能力，又要熟悉自己的业务；认为零信任建设存在建设周期长、开发成本高的问题等等。

其实，企业何时、如何进行零信任工程规划和推进并无放之四海而皆准的标准。用户可根据自身的特点以及业务场景的需要，与方案供应商进行深入沟通和交流，共同设计满足自身安全需求的零信任解决方案，并根据方案选择相关产品或组件。引入零信任安全的最佳时机是和企业数字化转型保持相同的步伐，对于不更新基础设施的企业，遵循零信任安全基本理念，结合现状，逐步规划实施零信任；无论全新建设或者迁移，都需要基于零信任进行整体安全架构设计和规划；同时建议，至少由 CIO/CSO 或 CISO 级别的人员在公司高层决策者的支持下推动零信任项目，成立专门的组织（或虚拟组织）并指派具有足够权限的人作为负责人进行零信任迁移工作的整体推进，并取得所有参与人的理解和支持，尽量减少对员工工作的影响。此外，对于运维能力有一定的要求，需要运维人员掌握零信任的基本概念和产品组件，方案供应商也需要积极主动配合，才产生更好的安全效益。

以上案例由CSA大中华区理事单位奇安信提供