零信任混合办公解决方案

方案背景

随着混合办公模式的常态化以及本地、多云和云服务（如 SaaS）等应用程序部署模式的不断演进，持续推动组织加速从隐式信任模型过渡至零信任架构。无论何时何地，均能确保可靠的应用程序访问、一致的安全性和优化的用户体验，成为这一转变的关键驱动因素。然而，挑战在于，多数网络环境复杂且瞬息万变，应用程序分散部署于云和本地数据中心，而用户的办公地点也在居家环境和企业办公室之间不断切换。因此，部署零信任战略比许多组织最初预想的要复杂且困难得多。组织通常很少或根本无法从供应商处获得可靠的技术指导，且许多供应商仅提供基于云部署的安全解决方案。随着零信任细分市场的不断成熟，已开始实施零信任战略的组织必须全面整合其供应商及其解决方案，以打造跨多个环境，且支持将网络与安全性及高效访问融合至单一集成架构的解决方案。通过这种解决方案，组织可将零信任策略无缝扩展至位于网络任意位置的所有用户和应用程序，同时保持广泛的端到端可见性和控制能力。

混合办公面临的问题或痛点：

网络暴露面如何防护

企业通过将内网应用开放端口的方式来满足业务互联网访问的需求，暴露的端口或服务都极容易受到黑客攻击。

用户身份如何管理及识别

大多数企业通过VPN等方式进行远程访问，存在用户体系不统一，认证因素单一等问题，同时VPN在体验感和安全性都欠佳。

访问终端如何确保安全合规

访问企业内网的终端设备数量及类型多样，管理难度大，缺少对终端环境风险感知，极容易成为黑客攻击的跳板。

用户非法行为如何管控

企业员工访问权限无法做到按需授权，对于访问业务应用的行为缺少日志审计，以及发生风险无法做到实时管控。

数据如何保证防泄露

企业员工访问核心业务系统，敏感数据易被保存、拷贝、分享、截屏等，数据无法得到有效保护，存在泄露风险。

解决方案

混合办公的解决方案是基于三层安全架构：边界层、终端层和应用层。边界层主要是防御网络攻击和非法访问，如VPN、防火墙、入侵检测等；终端层主要是保护用户设备的安全，如移动设备管理、防病毒、数据加密等；应用层主要是保护应用程序的安全，如身份认证、授权、加密等。此外，还需要实现身份验证和访问控制，以确保只有经过授权的用户才能访问数据和网络资源。这可以通过多因素身份验证、访问控制列表（ACL）、安全组等方式实现。综上所述，实现零信任混合办公需要采用多层次、多角度的安全措施，以保护企业数据和网络安全。

面对企业混合办公场景下的安全挑战，芯盾时代推出混合办公解决方案，通过网络隐身、可信身份识别及认证、多维风险感知、持续自适应访问控制、终端数据安全空间五大能力，解决暴漏面过大、过度授权、数据泄露等安全风险，满足分支机构接入、多云或混合云场景下，内外网统一访问的安全需求。

​​​​​​​​​​​​​​网络隐身

基于UDP协议进行SPA单包授权和端口隐身技术，可以防止黑客的端口扫描等攻击，仅允许合法的请求完成身份认证及建立加密隧道，实现服务和网关对非法请求的双重隐身。

​​​​​​​可信身份识别及认证

通过针对访问的用户、设备、应用等进行数字化身份标识，实现可信身份的识别。

用户身份

通过对接企业4A或IAM，实现统一的用户体系管理，同时支持密码口令、短信、扫描、动态口令等多因素认证。

设备身份

通过高强度设备指纹及白盒密钥算法，确保设备的唯一性，可支持采用人工绑定、自动绑定等形式，实现用户使用可信设备进行业务系统访问。

应用身份

通过对业务服务进行自动梳理，实现用户访问业务系统的按需授权，防止过度授权。

​​​​​​​多维风险感知

通过持续感知终端设备的病毒、高危端口、操作系统补丁，以及用户访问行为（如地点、时间、高频操作等）等风险信息，以及支持对接第三方等风险系统（如态势感知、NDR等），整合分析输出用户、设备、行为等多维度的风险信号。

​​​​​​​持续自适应访问控制

根据多维风险感知的风险信号进行持续信任等级评估，对业务和数据等资源提供基于角色（RBAC）、策略（ABAC）的访问权限，同时根据不同的业务系统自定义配置增强认证、阻断等处置手段，实现业务系统的自适应访问控制。

​​​​​​​数据安全空间

将个人环境和企业环境隔离，实现数据的“本地级隔离”或“空间级隔离”，同时根据企业自身的需求，支持对用户的截图、打印、拷贝、外发等行为进行自定义策略控制。

用户可以根据业务场景选择有客户端和无客户端的方式进行零信任建设，有客户端方式是通过客户端提供SPA和加密隧道能力，主要用于远程接入、HW等场景。

无客户端方式是通过IP、浏览器设备指纹等技术实现动态接入管控，主要用于合规要求（审计、多因素认证）、轻4A等场景。