零信任身份治理保障遠(yuǎn)程辦公安全

員工、外包人員、合作伙伴等各類人員，使用家用PC、個(gè)人移動(dòng)終端、企業(yè)管理設(shè)備等，從任何時(shí)間、任何地點(diǎn)遠(yuǎn)程訪問業(yè)務(wù)。各種接入人員的身份和權(quán)限管理混亂，弱密碼屢禁不止；接入設(shè)備的安全性參差不齊，接入程序漏洞無法避免等，帶來極大的風(fēng)險(xiǎn)。

企業(yè)資源可能位于企業(yè)內(nèi)網(wǎng)服務(wù)器，也可能被企業(yè)托管在公有云上的數(shù)據(jù)中心；企業(yè)服務(wù)通常需要在不同的服務(wù)器之間交互，包括部署在內(nèi)網(wǎng)、公有云、私有云中的服務(wù)器。一個(gè)典型的場(chǎng)景，公有云上的網(wǎng)站服務(wù)器與內(nèi)網(wǎng)應(yīng)用程序服務(wù)器通信后，應(yīng)用程序服務(wù)器檢索獲得內(nèi)網(wǎng)數(shù)據(jù)，返回給網(wǎng)站服務(wù)器。資源信息基礎(chǔ)設(shè)施與應(yīng)用服務(wù)之間的關(guān)系越復(fù)雜，引入的系統(tǒng)風(fēng)險(xiǎn)越高。

在遠(yuǎn)程辦公過程中，企業(yè)的業(yè)務(wù)數(shù)據(jù)會(huì)在不同的人員、設(shè)備、系統(tǒng)之間頻繁流動(dòng)，原本只能存放于企業(yè)數(shù)據(jù)中心的數(shù)據(jù)也不得不面臨在員工個(gè)人終端留存的問題。同時(shí)，數(shù)據(jù)移動(dòng)增加了數(shù)據(jù)“意外”泄露的風(fēng)險(xiǎn)，安全措施相對(duì)較弱的智能手機(jī)頻繁訪問企業(yè)數(shù)據(jù)也將對(duì)企業(yè)數(shù)據(jù)的機(jī)密性造成威脅。

SDP旨在通過軟件的方式，在移動(dòng)+云的時(shí)代背景下，為企業(yè)構(gòu)建起一個(gè)虛擬邊界，利用基于身份的訪問控制機(jī)制，通過完備的權(quán)限認(rèn)證機(jī)制，為企業(yè)應(yīng)用和服務(wù)提供隱身保護(hù)，使網(wǎng)絡(luò)黑客因看不到目標(biāo)而無法對(duì)企業(yè)的資源發(fā)動(dòng)攻擊，有效保護(hù)企業(yè)的數(shù)據(jù)安全，核心功能包括SPA單包認(rèn)證、MTLS雙向加密、網(wǎng)絡(luò)代理、風(fēng)險(xiǎn)控制、資源隱藏等。

階段一：對(duì)設(shè)備、賬號(hào)、應(yīng)用的信任鏈進(jìn)行鑒權(quán)，通過后建立SSL雙向加密會(huì)話；

階段二：每一次對(duì)資源的請(qǐng)求，需要重走鑒權(quán)階段進(jìn)行重新鑒權(quán)，如果過程中發(fā)現(xiàn)變化會(huì)禁止對(duì)資源的訪問，資源訪問方式由web網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。

SDP方式實(shí)現(xiàn)取代傳統(tǒng)VPN方式遠(yuǎn)程接入模式不再僅基于網(wǎng)絡(luò)邊界進(jìn)行信任訪問，而以用戶為中心進(jìn)行賬號(hào)、設(shè)備、應(yīng)用的權(quán)限關(guān)系進(jìn)行安全考量，其SDP優(yōu)勢(shì)主要體現(xiàn)在以下方面：

移動(dòng)設(shè)備及應(yīng)用通過SPD網(wǎng)關(guān)實(shí)現(xiàn)認(rèn)證接入，主要由API網(wǎng)關(guān)進(jìn)行設(shè)備信息的認(rèn)證、被訪問移動(dòng)應(yīng)用的權(quán)限鑒別和風(fēng)險(xiǎn)分析；

被訪問移動(dòng)應(yīng)用主要針對(duì)統(tǒng)一移動(dòng)門戶、獨(dú)立APP、H5頁面進(jìn)行業(yè)務(wù)邏輯關(guān)系的微隔離分組，確保東西流量的安全保障機(jī)制。

使用SDP，運(yùn)維管理人員可以由運(yùn)維網(wǎng)關(guān)安全的向經(jīng)過認(rèn)證和授權(quán)的選定業(yè)務(wù)用戶開放服務(wù)器端口（如22、23、3389等端口），對(duì)于其它用戶，服務(wù)器則保持不可見；

使用SDP，可減少維護(hù)VDI基礎(chǔ)架構(gòu)的成本，為運(yùn)維管理人員節(jié)省日常遠(yuǎn)程登錄桌面的步驟， IT基礎(chǔ)設(shè)施的預(yù)算也隨之減少。

用戶信息的創(chuàng)建、刪除、禁用/恢復(fù)、信息修改、口令設(shè)置、信息查詢等功能；支持模糊查詢；支持用戶信息的導(dǎo)入、導(dǎo)出；可與內(nèi)部流程管理平臺(tái)集成。IAM平臺(tái)通過與上游人事系統(tǒng)的無縫對(duì)接定期同步人員變更（入職、變更、離職）的信息，并通過IAM平臺(tái)實(shí)現(xiàn)集中對(duì)外部用戶的管理，達(dá)到構(gòu)建權(quán)威人員身份數(shù)據(jù)源的目的。實(shí)現(xiàn)以人為中心對(duì)員工入職，崗位調(diào)整，離職，外部用戶的入場(chǎng)、離場(chǎng)等對(duì)應(yīng)的身份生命周期的統(tǒng)一管理。

通過統(tǒng)一訪問控制，各應(yīng)用系統(tǒng)實(shí)現(xiàn)用戶統(tǒng)一認(rèn)證與控制，要能夠提供統(tǒng)一的認(rèn)證方式和認(rèn)證等級(jí)的管理；不同認(rèn)證方式下的不同種類的認(rèn)證憑證管理（靜態(tài)口令、動(dòng)態(tài)口令、證書等），包括認(rèn)證憑證的完整的生命周期管理和用戶使用認(rèn)證憑證的管理流程；提供與認(rèn)證相關(guān)的統(tǒng)一的認(rèn)證策略，以滿足不同系統(tǒng)認(rèn)證服務(wù)的業(yè)務(wù)規(guī)則的需要。

提供完整的模型體系，支持RBAC、ACL、ABAC、TBAC等多種權(quán)限模型，實(shí)現(xiàn)訪問控制的主體、客體、環(huán)境、行為的相關(guān)屬性作為策略依據(jù)，對(duì)系統(tǒng)內(nèi)部實(shí)體安全進(jìn)行統(tǒng)一建模，通過屬性關(guān)系的定義來描述授權(quán)和訪問控制約束，進(jìn)而支持細(xì)粒度和大規(guī)模的訪問控制。

提供風(fēng)險(xiǎn)自適應(yīng)、數(shù)據(jù)存儲(chǔ)、風(fēng)險(xiǎn)引擎識(shí)別及數(shù)據(jù)聚合功能，實(shí)現(xiàn)針對(duì)遠(yuǎn)程辦公過程中的已知和未知風(fēng)險(xiǎn)威脅、賬號(hào)失陷監(jiān)測(cè)、身份欺詐、滲透攻擊、賬號(hào)異常登錄、惡意行為攻擊、非可信設(shè)備檢查等場(chǎng)景應(yīng)用和分析。

引入特權(quán)管理模式，通過“多人制衡”的方式對(duì)高權(quán)限登錄及高風(fēng)險(xiǎn)操作進(jìn)行監(jiān)督和控制,針對(duì)不同業(yè)務(wù)場(chǎng)景，通過策略配置建立操作人員、運(yùn)維場(chǎng)景、協(xié)同操作人員的綁定關(guān)系。

通過實(shí)施“從不信任并始終驗(yàn)證”，不同類型用戶只能按照預(yù)先確定的信任級(jí)別，訪問預(yù)先申請(qǐng)的企業(yè)資源，未預(yù)先申請(qǐng)的企業(yè)資源將無法被訪問，阻止企業(yè)內(nèi)部“漫游”情況。

在實(shí)施“按需受控訪問”的基礎(chǔ)上，有效整合資源保護(hù)相關(guān)的數(shù)據(jù)加密、網(wǎng)絡(luò)分段、數(shù)據(jù)防泄露等技術(shù)，保護(hù)應(yīng)用資源、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲(chǔ)，并優(yōu)先保護(hù)高價(jià)值資源。

用戶通過訪問認(rèn)證之前，資源對(duì)用戶隱身；即便在用戶通過訪問認(rèn)證和授權(quán)，成功進(jìn)入網(wǎng)絡(luò)以后，零信任架構(gòu)也將阻止用戶漫游到未經(jīng)授權(quán)的區(qū)域。零信任思維從根本上降低了外部（互聯(lián)網(wǎng)可發(fā)現(xiàn)）和內(nèi)部（內(nèi)部威脅）攻擊面。

零信任架構(gòu)中，用戶只能按需獲得有限訪問權(quán)限，有助于限制違規(guī)操作、業(yè)務(wù)中斷、安全漏洞等的危害范圍和危害后果，降低了補(bǔ)救成本。

零信任架構(gòu)終結(jié)了安全防護(hù)手段各自為政的現(xiàn)狀，在零信任架構(gòu)實(shí)施時(shí)，可以通過與現(xiàn)有工具的集成，大幅度降低零信任潛在建設(shè)成本；零信任的“無邊界信任”思想減少了VPN的使用，簡(jiǎn)化了運(yùn)營(yíng)模式，縮減了安全管理成本。