前言

隨著企業(yè)業(yè)務(wù)發(fā)展以及數(shù)字化轉(zhuǎn)型的需要，遠(yuǎn)程辦公已成為業(yè)內(nèi)必不可缺的辦公手段，且已逐步常態(tài)化，除遠(yuǎn)程辦公外，也包括遠(yuǎn)程運(yùn)維、遠(yuǎn)程開發(fā)、開發(fā)眾測、面向合作伙伴的業(yè)務(wù)開放等。

為了支撐遠(yuǎn)程訪問，原本只能在內(nèi)網(wǎng)訪問的高敏感度的業(yè)務(wù)系統(tǒng)不得不對互聯(lián)網(wǎng)開放。無論是通過端口映射將業(yè)務(wù)系統(tǒng)直接開放公網(wǎng)訪問，還是使用VPN打通遠(yuǎn)程網(wǎng)絡(luò)通道，都擴(kuò)大了網(wǎng)絡(luò)的暴露面，將業(yè)務(wù)系統(tǒng)置于更危險(xiǎn)的境地之中。

同時(shí)，接入網(wǎng)絡(luò)的人員、設(shè)備、系統(tǒng)的多樣性呈指數(shù)型增加。遠(yuǎn)程訪問模式允許員工、外包人員、合作伙伴等各類人員，使用家用PC、個(gè)人終端，從任何時(shí)間、任何地點(diǎn)遠(yuǎn)程訪問業(yè)務(wù)。

參差不齊的終端接入設(shè)備和系統(tǒng)，具有極大的不確定性，各種接入人員的身份和權(quán)限管理混亂，弱密碼屢禁不止，這些都會給企業(yè)網(wǎng)絡(luò)帶來了極大的風(fēng)險(xiǎn)。員工使用的終端除了派發(fā)終端還包括私有終端，安全狀態(tài)不同，存在遠(yuǎn)控軟件、惡意應(yīng)用、病毒木馬、多人圍觀等風(fēng)險(xiǎn)，給內(nèi)網(wǎng)業(yè)務(wù)帶來了極大的安全隱患。此外，攻擊者利用VPN漏洞極易繞過VPN用戶驗(yàn)證，直接進(jìn)入VPN后臺將VPN作為滲透內(nèi)網(wǎng)的跳板，進(jìn)行肆意橫向移動。

一、核心需求分析

面對日益復(fù)雜的遠(yuǎn)程訪問環(huán)境，企業(yè)在數(shù)字化轉(zhuǎn)型過程中面臨三大核心安全挑戰(zhàn)：

• 業(yè)務(wù)暴露面管控需求迫切：傳統(tǒng)VPN架構(gòu)下，業(yè)務(wù)系統(tǒng)直接暴露在公網(wǎng)，極易遭受端口掃描、漏洞利用和惡意攻擊，亟需通過新型安全架構(gòu)實(shí)現(xiàn)業(yè)務(wù)隱身和訪問收斂。
• 身份與訪問管理亟待強(qiáng)化：混合辦公模式下，接入人員類型復(fù)雜、設(shè)備多樣，傳統(tǒng)基于邊界的安全模型難以應(yīng)對身份冒用、權(quán)限濫用等風(fēng)險(xiǎn)，需要建立貫穿全生命周期的身份治理體系。
• 安全與體驗(yàn)需要平衡：企業(yè)在追求安全性的同時(shí)，不能以犧牲工作效率為代價(jià)。員工期望獲得簡單便捷的訪問體驗(yàn)，而管理員則需要細(xì)粒度的管控能力和完整的審計(jì)追溯手段。

這些需求共同指向了以“從不信任，始終驗(yàn)證”為核心的零信任架構(gòu)，為企業(yè)遠(yuǎn)程辦公安全建設(shè)指明了方向。

二、有安全保障的“遠(yuǎn)程辦公”解決方案

云邊云科技零信任客戶端遵循零信任體系化的安全框架，圍繞終端設(shè)備管理，身份識別與訪問管理，多因素認(rèn)證自主編排、認(rèn)證及訪問安全策略編排等多個(gè)技術(shù)領(lǐng)域，為客戶提供完整的可落地的零信任遠(yuǎn)程訪問安全解決方案，解決遠(yuǎn)程辦公環(huán)境下企業(yè)業(yè)務(wù)暴露在互聯(lián)網(wǎng)上而引發(fā)的安全性難以保障問題，互聯(lián)網(wǎng)暴露面收斂精準(zhǔn)貼合當(dāng)下中小型企業(yè)的數(shù)字化IT建設(shè)需求。

云邊云科技零信任客戶端邏輯上劃分為數(shù)據(jù)平面和控制平面。數(shù)據(jù)平面是指用戶訪問應(yīng)用系統(tǒng)的業(yè)務(wù)平面，通過客戶端和安全認(rèn)證網(wǎng)關(guān)從訪問用戶到訪問應(yīng)用系統(tǒng)之間，建立安全訪問通道。控制平面作為總分析和控制中心，由統(tǒng)一決策平臺、控制中心、統(tǒng)一身份管理組成，構(gòu)建風(fēng)險(xiǎn)和信任綜合分析能力，策略決策響應(yīng)能力，實(shí)現(xiàn)縱深防御。

零信任客戶端通過安全設(shè)備管理和強(qiáng)制用戶認(rèn)證，集成分析和驗(yàn)證信任關(guān)系，從而構(gòu)建主動防御的安全架構(gòu)。產(chǎn)品能力基于業(yè)務(wù)流的身份認(rèn)證技術(shù)，細(xì)顆粒度應(yīng)用訪問授權(quán)技術(shù)，面向用戶認(rèn)證訪問策略的自主編排技術(shù)，完成從安全認(rèn)證、異常分析到資源管控的安全閉環(huán)管理，實(shí)現(xiàn)如下四大核心能力：

最小化授信

強(qiáng)制性驗(yàn)證

用戶異常行為告警

用戶、應(yīng)用及設(shè)備管理

三、產(chǎn)品核心能力

身份管理：

支持用戶和組織的全生命周期管理，包括創(chuàng)建、修改、鎖定和撤銷等各個(gè)環(huán)節(jié)的操作，確保在整個(gè)生命周期內(nèi)對用戶和組織的信息進(jìn)行有效的跟蹤和管理。同時(shí)，提供基于角色和組織結(jié)構(gòu)的訪問授權(quán)機(jī)制，可以根據(jù)用戶的角色和所在組織來動態(tài)分配相應(yīng)的權(quán)限，從而實(shí)現(xiàn)細(xì)粒度的訪問控制。

安全策略：

支持認(rèn)證策略、終端策略、訪問控制策略等多個(gè)維度的安全策略編排，可以綜合運(yùn)用多種安全措施來構(gòu)建多層次的防護(hù)體系。通過這些多維度的安全策略編排，以實(shí)現(xiàn)精細(xì)化的安全管理，確保只有符合預(yù)設(shè)條件的用戶和設(shè)備才能訪問特定的資源，從而有效降低安全風(fēng)險(xiǎn)，保護(hù)企業(yè)的重要信息資產(chǎn)。

審計(jì)回溯：

支持行為日志的查詢、下載與備份功能，使得管理員能夠全面追蹤和審查用戶的訪問行為，確保每一項(xiàng)操作都有據(jù)可查，便于后續(xù)的審計(jì)與回溯。通過詳細(xì)記錄用戶的所有活動，系統(tǒng)不僅能夠幫助識別潛在的安全威脅或違規(guī)行為，還能夠在發(fā)生安全事件時(shí)提供關(guān)鍵證據(jù)。

四、成功實(shí)踐案例

建設(shè)背景

◆ 原有VPN系統(tǒng)穩(wěn)定性差，員工遠(yuǎn)程接入后頻繁掉線，影響工作效率；
◆ 業(yè)務(wù)系統(tǒng)直接暴露在公網(wǎng)，頻繁遭受惡意掃描和爬蟲攻擊，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)；
◆ 缺乏統(tǒng)一的身份管理和訪問審計(jì)機(jī)制，難以滿足合規(guī)要求。

客戶需求

◆ 替換傳統(tǒng)VPN，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)隱身，收斂互聯(lián)網(wǎng)暴露面；
◆ 實(shí)現(xiàn)一次認(rèn)證，無縫訪問所有授權(quán)業(yè)務(wù)系統(tǒng)；
◆ 建立完整的用戶身份與設(shè)備生命周期管理機(jī)制。

實(shí)施效果

◆ 暴露面有效收斂：通過“先認(rèn)證后連接”機(jī)制，所有訪問請求必須經(jīng)過身份驗(yàn)證，業(yè)務(wù)系統(tǒng)對外隱身，有效抵御掃描和漏洞利用攻擊；

◆ 系統(tǒng)穩(wěn)定性顯著提升：采用智能短連接與鏈路優(yōu)化技術(shù)，保障通信穩(wěn)定高效，提升員工遠(yuǎn)程辦公體驗(yàn)；

◆ 統(tǒng)一身份與策略管理：實(shí)現(xiàn)用戶、設(shè)備、應(yīng)用的統(tǒng)一管控，支持細(xì)粒度權(quán)限分配與實(shí)時(shí)行為審計(jì)。

◆ 出海業(yè)務(wù)訪問支撐：搭載全球骨干網(wǎng)絡(luò)，用戶可訪問海外SaaS業(yè)務(wù)應(yīng)用或部署在海外的私有應(yīng)用，包含各類AI應(yīng)用等，滿足企業(yè)全球供應(yīng)鏈和營銷需求。

客戶價(jià)值

◆ 降低安全風(fēng)險(xiǎn)：默認(rèn)不信任所有訪問請求，通過動態(tài)策略與多重驗(yàn)證機(jī)制，有效防范身份冒用與越權(quán)訪問。

◆ 減少攻擊暴露面：業(yè)務(wù)系統(tǒng)隱藏于安全網(wǎng)關(guān)之后，僅對已驗(yàn)證用戶可見，極大縮小攻擊界面。

◆ 提升訪問體驗(yàn)與效率：結(jié)合單點(diǎn)登錄與多因素認(rèn)證，實(shí)現(xiàn)便捷安全的統(tǒng)一入口訪問，顯著提升員工工作效率。

◆ 全面審計(jì)與追溯：完整記錄用戶登錄、操作行為，支持實(shí)時(shí)分析與事后追溯，助力企業(yè)合規(guī)與安全運(yùn)營。