新冠疫情防控常態(tài)化的當(dāng)下，遠(yuǎn)程辦公成為企業(yè)“新常態(tài)”。由于遠(yuǎn)程辦公的地點(diǎn)具有分散性，使得網(wǎng)絡(luò)邊界擴(kuò)大、接入終端復(fù)雜、內(nèi)部資源暴露，增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)，網(wǎng)絡(luò)攻擊事件也大幅度增長(zhǎng)。2021年5月，黑客組織DarkSide利用公司員工遠(yuǎn)程辦公VPN存在的漏洞竊取賬號(hào)信息，控制了某國(guó)輸油管道廠商管道控制系統(tǒng)，使其感染了勒索病毒，竊取并劫持了近100GB的數(shù)據(jù)，導(dǎo)致其輸油管道停運(yùn)8天。該事件給遠(yuǎn)程辦公安全敲響了警鐘，全面考慮遠(yuǎn)程辦公風(fēng)險(xiǎn)，提升安全防護(hù)能力刻不容緩。

遠(yuǎn)程辦公安全需求分析

在傳統(tǒng)辦公模式下，企業(yè)基本采用VPN方式實(shí)現(xiàn)遠(yuǎn)程辦公，員工通過(guò)VPN賬號(hào)，接入公司內(nèi)部網(wǎng)絡(luò)，就可以訪(fǎng)問(wèn)所需的應(yīng)用資源。在新的辦公場(chǎng)景下，如果還延續(xù)傳統(tǒng)基于網(wǎng)絡(luò)位置的訪(fǎng)問(wèn)管理模式，無(wú)疑打開(kāi)了一個(gè)更大的網(wǎng)絡(luò)安全潘多拉魔盒，各路潛在攻擊魚(yú)貫而出，防不勝防。

當(dāng)遠(yuǎn)程辦公場(chǎng)景逐漸復(fù)雜化，傳統(tǒng)遠(yuǎn)程辦公存在的安全缺陷便暴露無(wú)遺，而傳統(tǒng)邊界安全理念無(wú)法滿(mǎn)足新型安全需求，亟需新的安全能力提供全面保障。對(duì)此，零信任安全理念成為了解決上述問(wèn)題的最佳方案之一。

關(guān)鍵詞：北京安全運(yùn)營(yíng)解決方案公司、北京安全運(yùn)營(yíng)、北京安全運(yùn)營(yíng)廠商、北京安全運(yùn)營(yíng)公司、北京安全運(yùn)營(yíng)中心

網(wǎng)御星云遠(yuǎn)程辦公零信任解決方案

零信任(ZeroTrust)是一組安全理念，其核心思想是默認(rèn)不信任何人和設(shè)備，經(jīng)過(guò)驗(yàn)證后才能獲得信任，允許訪(fǎng)問(wèn)資源和應(yīng)用。零信任的理念包含先認(rèn)證再訪(fǎng)問(wèn)、最小權(quán)限、訪(fǎng)問(wèn)行為持續(xù)評(píng)估、多因素風(fēng)險(xiǎn)確認(rèn)、根據(jù)風(fēng)險(xiǎn)動(dòng)態(tài)調(diào)整訪(fǎng)問(wèn)控制策略等。

網(wǎng)御星云基于零信任安全理念，對(duì)企業(yè)遠(yuǎn)程辦公場(chǎng)景進(jìn)行全新設(shè)計(jì)，旨在幫助企業(yè)建立可信、可管、可控的動(dòng)態(tài)安全保障體系，解決網(wǎng)絡(luò)邊界泛化的安全問(wèn)題，收斂網(wǎng)絡(luò)暴露面，實(shí)現(xiàn)業(yè)務(wù)和數(shù)據(jù)的安全訪(fǎng)問(wèn)，并滿(mǎn)足網(wǎng)絡(luò)安全合規(guī)監(jiān)管要求。

整體方案采用零信任SDP技術(shù)實(shí)現(xiàn)員工訪(fǎng)問(wèn)辦公資源過(guò)程中身份、設(shè)備、鏈路、權(quán)限、資源等每個(gè)要素的安全，加強(qiáng)辦公場(chǎng)景的安全動(dòng)態(tài)管控，收斂暴露面，構(gòu)建動(dòng)態(tài)主動(dòng)安全防御體系。

遠(yuǎn)程辦公場(chǎng)景安全設(shè)計(jì)如圖所示：

圖1遠(yuǎn)程辦公場(chǎng)景安全設(shè)計(jì)圖

在遠(yuǎn)程辦公場(chǎng)景安全設(shè)計(jì)中，我們將暴露后端的郵件、OA、CRM、運(yùn)維、開(kāi)發(fā)測(cè)試等系統(tǒng)隱藏起來(lái)，通過(guò)“五個(gè)可信”(即可信身份、可信環(huán)境、可信鏈路、可信權(quán)限、可信應(yīng)用)確保遠(yuǎn)程或本地辦公人員訪(fǎng)問(wèn)資源的全過(guò)程安全。

1)可信接入客戶(hù)端及環(huán)境感知：在用戶(hù)辦公設(shè)備上安裝客戶(hù)端軟件，實(shí)現(xiàn)終端安全接入認(rèn)證、SAP敲門(mén)協(xié)商、傳輸加密、安全基線(xiàn)掃描、環(huán)境感知數(shù)據(jù)上報(bào)等功能，保證接入終端的可靠性，數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。

2)可信接入代理：在對(duì)應(yīng)辦公訪(fǎng)問(wèn)資源前端部署代理網(wǎng)關(guān)，統(tǒng)一資源對(duì)外訪(fǎng)問(wèn)入口，收斂資源暴露面，實(shí)現(xiàn)對(duì)客戶(hù)端到應(yīng)用訪(fǎng)問(wèn)過(guò)程中的端口動(dòng)態(tài)開(kāi)放、傳輸加密、應(yīng)用代理訪(fǎng)問(wèn)等功能，實(shí)現(xiàn)網(wǎng)絡(luò)隱身極大降低網(wǎng)絡(luò)的暴露面。

3)可信接入控制器：可信接入控制器聯(lián)動(dòng)身份、權(quán)限等基礎(chǔ)設(shè)施實(shí)現(xiàn)對(duì)接入主體身份、設(shè)備身份、設(shè)備運(yùn)行環(huán)境身份等多維一體的身份驗(yàn)證與權(quán)限鑒別;控制器可匯聚客戶(hù)端采集上報(bào)的終端信息，并實(shí)時(shí)研判打分，進(jìn)行信任評(píng)估;當(dāng)接入主體信任度發(fā)生變化，控制器可依據(jù)事先定義的策略，動(dòng)態(tài)生成訪(fǎng)問(wèn)控制規(guī)則，下發(fā)至可信接入代理，實(shí)現(xiàn)用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)的動(dòng)態(tài)授權(quán)。

4)零信任安全管控平臺(tái)：集身份中心、認(rèn)證中心、權(quán)限中心、審計(jì)中心、環(huán)境感知中心、威脅情報(bào)中心UEBA等于一身，是零信任安全的基礎(chǔ)設(shè)施及安全控制“大腦”，動(dòng)態(tài)建立用戶(hù)與資源的信任鏈條，達(dá)到用戶(hù)可信、可管、可控。

△ 安全合規(guī)：滿(mǎn)足等級(jí)保護(hù)及國(guó)家密碼測(cè)評(píng)相關(guān)合規(guī)性要求。

△ 可信訪(fǎng)問(wèn)：基于零信任安全理念，先認(rèn)證后連接，通過(guò)持續(xù)認(rèn)證、動(dòng)態(tài)授權(quán)、業(yè)務(wù)審計(jì)等技術(shù)手段，實(shí)現(xiàn)用戶(hù)設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)的可信訪(fǎng)問(wèn)。

△ 應(yīng)用隱身：基于SPA單包授權(quán)技術(shù)，可有效隱藏網(wǎng)絡(luò)端口，實(shí)現(xiàn)應(yīng)用隱身，大面積減少攻擊暴露面。

隨著新冠疫情防控成為常態(tài)化的趨勢(shì)，如何做好“遠(yuǎn)程+現(xiàn)場(chǎng)”辦公的雙安全，是企業(yè)應(yīng)考慮的重點(diǎn)問(wèn)題之一。網(wǎng)御星云遠(yuǎn)程辦公零信任解決方案聚焦遠(yuǎn)程辦公場(chǎng)景下的多維因素，可為多種用戶(hù)場(chǎng)景提供全方位安全防護(hù)，助力企業(yè)建立遠(yuǎn)程辦公“新常態(tài)”下可信、可管、可控的動(dòng)態(tài)安全保障體系