白山云實踐零信任解決方案，構筑數字化時代安全堡壘

根據相關調查顯示，伴隨各行業加速拓展線上業務并采用遠程辦公模式，企業面臨的安全風險已遠超以往，網絡安全形式異常嚴峻。在此背景下白山云積極推動零信任遠程訪問項目落地，不僅有效構建了安全訪問新方向，更是為企業數據安全提供了全新的保障。

因自身存在多地分支機構、業務系統多樣、可信用戶位置不確定、組織職能分級結構復雜等特性，白山云選擇用零信任架構來保障企業安全，即白山云作為甲方零信任實施者，是落地及驗證零信任解決方案的典型案例與實踐。

有效解決下列場景與挑戰：

八個分支分布在全球不同區域，客戶遍布全球各地，基于業務發展需求，員工隨時隨地可能通過VPN方式遠程開展工作，受限于接入方式和接入環境，在接入工作前需要執行終端安全檢查，避免處于風險的網絡環境，工作效率受到很大的影響；

員工遠程訪問企業內部服務，存在一定安全隱患，一是可能受賬密脆弱性影響，導致被竊取或撞庫風險，二是BYOD可能被監聽或劫持，導致內部數據存在泄露風險；

不同員工職能不同，具有不同的業務環境訪問需求，業務系統繁多，既有云上SaaS服務，又有企業內部自建服務，以粗粒度方式管理員工應用訪問授權，每個應用都有一個獨立訪問路徑和賬戶體系，給管理員帶來極大挑戰。

白山云零信任遠程訪問實踐項目完成了白山云內部應用的ZTNA改造，涉及到白山云內部自建系統及SaaS服務，同時還有Linux、Windows服務的SSH、RDP、VPN等協議應用。兼顧高可用訪問和安全可信訪問，提供統一管控平臺，實現業務按需隱藏，幫助白山云建立身份認證體系、高效便捷的接入方式、標準化資源控制、降低IT復雜度，全面強化安全。

一方面針對全員近千人，幾十種職能角色，實現由單一本地化辦公模式，拓展至支持依托ZTNA的遠程訪問方式，大大提升遠程辦公體驗、效率和安全性；另一方面針對用戶、訪問鏈路、應用、數據等各個環節進行全局統一管控，構筑可管控、可審計的零信任安全訪問閉環。

項目部署基于零信任架構和理念，構建“訪問端、身份、應用端”三元合一的可信訪問實體，實現在非特權網絡中對業務資源和數據的安全、穩定、高效的訪問。采用SaaS模式，無需復雜的部署和安裝，所要求的功能可以在產品上自主通過可視化界面配置，平臺使用B/S設計架構，不需要安裝任何軟件和代理，可以通過瀏覽器遠程使用。

邊緣網關充當業務應用的訪問入口，最大化地降低了業務應用被暴露在互聯網中遭受各類攻擊的風險，無法被外部掃描滲透，不再被動地修復漏洞，實現了對源站應用的隱身保護；

訪問可信檢測：基于每個訪問連接施行動態授權，輔以用戶行為分析，更好地透視與管控企業應用安全，按需限制或拒絕存在安全性風險的訪問請求；

訪問控制引擎：根據特定用戶/用戶組的身份、職能、需求授予訪問權限，實行最小權限原則，更好地保護敏感生產環境的訪問安全；

身份信任管理：提供身份生命周期管理，包括OTP動態口令、企業微信、OIDC、SAML等多種身份驗證方式；

應用可信接入：提供上千種SaaS應用接入模板，集中SaaS應用訪問入口；提供SSH、RDP、VNC等協議應用遠程安全接入；提供內網僅出站連接的單向隧道，實現內網應用 SaaS化。

項目實踐具體效果如下：

整體工作接入效率提升3-5倍，具有更強的安全體系和更便捷的管理工作；

建立集中身份信任服務，形成統一的身份認證中心、SSO和多因子認證，輔助建立多層次防御，加強身份驗證的安全性；

可通過統一門戶接入，提升用戶體驗，內網應用快速SaaS化，集中管控云上SaaS應用，保障所有終端同時在線的情況下穩定、高效、安全的辦公，提高員工生產力；

標準化資源控制、隱藏資產攻擊面，無法被外部掃描滲透，不再被動地修復漏洞，擺脫對防火墻、設備的依賴，降低IT維護成本；

細粒度訪問控制手段，可視化的策略管理能力，云原生安全平臺防護能力，多維度的強化網絡安全。

現如今零信任已成為全球網絡安全領域的共識，相信在白山云的技術探索和落地推動下，通過構建開放式邊緣安全架構，實現與傳統成熟安全產品的便捷接入，能夠更好地推動白山云零信任遠程訪問項目迎來提速發展，為各大企業構筑數字化時代全新的安全堡壘。

轉自：中華網

　　【版權及免責聲明】凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊，僅代表作者個人觀點，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀