新冠疫情防控常態(tài)化的當(dāng)下，遠程辦公成為企業(yè)“新常態(tài)”。由于遠程辦公的地點具有分散性，使得網(wǎng)絡(luò)邊界擴大、接入終端復(fù)雜、內(nèi)部資源暴露，增加了數(shù)據(jù)泄露的風(fēng)險，網(wǎng)絡(luò)攻擊事件也大幅度增長。2021年5月，黑客組織DarkSide利用公司員工遠程辦公VPN存在的漏洞竊取賬號信息，控制了某國輸油管道廠商管道控制系統(tǒng)，使其感染了勒索病毒，竊取并劫持了近100GB的數(shù)據(jù)，導(dǎo)致其輸油管道停運8天。該事件給遠程辦公安全敲響了警鐘，全面考慮遠程辦公風(fēng)險，提升安全防護能力刻不容緩。

遠程辦公安全需求分析

在傳統(tǒng)辦公模式下，企業(yè)基本采用VPN方式實現(xiàn)遠程辦公，員工通過VPN賬號，接入公司內(nèi)部網(wǎng)絡(luò)，就可以訪問所需的應(yīng)用資源。在新的辦公場景下，如果還延續(xù)傳統(tǒng)基于網(wǎng)絡(luò)位置的訪問管理模式，無疑打開了一個更大的網(wǎng)絡(luò)安全潘多拉魔盒，各路潛在攻擊魚貫而出，防不勝防。

當(dāng)遠程辦公場景逐漸復(fù)雜化，傳統(tǒng)遠程辦公存在的安全缺陷便暴露無遺，而傳統(tǒng)邊界安全理念無法滿足新型安全需求，亟需新的安全能力提供全面保障。對此，零信任安全理念成為了解決上述問題的最佳方案之一。

關(guān)鍵詞：北京安全運營解決方案公司、北京安全運營、北京安全運營廠商、北京安全運營公司、北京安全運營中心

網(wǎng)御星云遠程辦公零信任解決方案

零信任(ZeroTrust)是一組安全理念，其核心思想是默認不信任何人和設(shè)備，經(jīng)過驗證后才能獲得信任，允許訪問資源和應(yīng)用。零信任的理念包含先認證再訪問、最小權(quán)限、訪問行為持續(xù)評估、多因素風(fēng)險確認、根據(jù)風(fēng)險動態(tài)調(diào)整訪問控制策略等。

網(wǎng)御星云基于零信任安全理念，對企業(yè)遠程辦公場景進行全新設(shè)計，旨在幫助企業(yè)建立可信、可管、可控的動態(tài)安全保障體系，解決網(wǎng)絡(luò)邊界泛化的安全問題，收斂網(wǎng)絡(luò)暴露面，實現(xiàn)業(yè)務(wù)和數(shù)據(jù)的安全訪問，并滿足網(wǎng)絡(luò)安全合規(guī)監(jiān)管要求。

整體方案采用零信任SDP技術(shù)實現(xiàn)員工訪問辦公資源過程中身份、設(shè)備、鏈路、權(quán)限、資源等每個要素的安全，加強辦公場景的安全動態(tài)管控，收斂暴露面，構(gòu)建動態(tài)主動安全防御體系。

遠程辦公場景安全設(shè)計如圖所示：

圖1遠程辦公場景安全設(shè)計圖

在遠程辦公場景安全設(shè)計中，我們將暴露后端的郵件、OA、CRM、運維、開發(fā)測試等系統(tǒng)隱藏起來，通過“五個可信”(即可信身份、可信環(huán)境、可信鏈路、可信權(quán)限、可信應(yīng)用)確保遠程或本地辦公人員訪問資源的全過程安全。

1)可信接入客戶端及環(huán)境感知：在用戶辦公設(shè)備上安裝客戶端軟件，實現(xiàn)終端安全接入認證、SAP敲門協(xié)商、傳輸加密、安全基線掃描、環(huán)境感知數(shù)據(jù)上報等功能，保證接入終端的可靠性，數(shù)據(jù)傳輸?shù)臋C密性和完整性。

2)可信接入代理：在對應(yīng)辦公訪問資源前端部署代理網(wǎng)關(guān)，統(tǒng)一資源對外訪問入口，收斂資源暴露面，實現(xiàn)對客戶端到應(yīng)用訪問過程中的端口動態(tài)開放、傳輸加密、應(yīng)用代理訪問等功能，實現(xiàn)網(wǎng)絡(luò)隱身極大降低網(wǎng)絡(luò)的暴露面。

3)可信接入控制器：可信接入控制器聯(lián)動身份、權(quán)限等基礎(chǔ)設(shè)施實現(xiàn)對接入主體身份、設(shè)備身份、設(shè)備運行環(huán)境身份等多維一體的身份驗證與權(quán)限鑒別;控制器可匯聚客戶端采集上報的終端信息，并實時研判打分，進行信任評估;當(dāng)接入主體信任度發(fā)生變化，控制器可依據(jù)事先定義的策略，動態(tài)生成訪問控制規(guī)則，下發(fā)至可信接入代理，實現(xiàn)用戶訪問業(yè)務(wù)的動態(tài)授權(quán)。

4)零信任安全管控平臺：集身份中心、認證中心、權(quán)限中心、審計中心、環(huán)境感知中心、威脅情報中心UEBA等于一身，是零信任安全的基礎(chǔ)設(shè)施及安全控制“大腦”，動態(tài)建立用戶與資源的信任鏈條，達到用戶可信、可管、可控。

△ 安全合規(guī)：滿足等級保護及國家密碼測評相關(guān)合規(guī)性要求。

△ 可信訪問：基于零信任安全理念，先認證后連接，通過持續(xù)認證、動態(tài)授權(quán)、業(yè)務(wù)審計等技術(shù)手段，實現(xiàn)用戶設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)的可信訪問。

△ 應(yīng)用隱身：基于SPA單包授權(quán)技術(shù)，可有效隱藏網(wǎng)絡(luò)端口，實現(xiàn)應(yīng)用隱身，大面積減少攻擊暴露面。

隨著新冠疫情防控成為常態(tài)化的趨勢，如何做好“遠程+現(xiàn)場”辦公的雙安全，是企業(yè)應(yīng)考慮的重點問題之一。網(wǎng)御星云遠程辦公零信任解決方案聚焦遠程辦公場景下的多維因素，可為多種用戶場景提供全方位安全防護，助力企業(yè)建立遠程辦公“新常態(tài)”下可信、可管、可控的動態(tài)安全保障體系