阿里云零信任办公安全平台SASE_办公安全管控平台

阿里云零信任办公安全平台SASE

阿里云零信任办公安全平台SASE，一键开启，无需部署，云网络深度集成，CEN、VBR等网络一键打通；线下、异构云三方业务资源，封装式简易配置；跨账号场景统一管控。可随业务需求随时弹性扩/缩容，实时适应业务增长、回退需求。无需服务器单独部署维护，有效控制资源投入。

立即咨询

首页 > 产品中心 > 云安全 > 阿里云零信任办公安全平台SASE

企业当前面临的办公安全挑战是什么？ icon

经多家互联网客户和企业客户对零信任架构的需求调研总结如下场景和痛点

TOP1：远程办公/运维

痛点：疫情期间VPN的高并发扩容、故障维护带来了极大的不便；有些业务只能本地运维，体验和响应速度大大降低；为了提供便捷的服务，直接将业务发布在公网，任何人任何地点都能访问。

TOP2：海内外多分支安全接入

痛点：分支机构多接入点多，攻击面大爆炸半径大；专线部署成本高，VPN自身安全性和稳定性相对不高；业务类型多，访问协议种类多，VPN策略常处于非常宽松的状态，安全性差；海内外访问的链路质量得不到有效的保障，影响体验。

TOP3：办公环境安全性低

痛点：端或账号失陷后，请求办公业务默认认为是安全的；端环境安全复杂，被攻击后风险高，希望在端上进行加固和防护；应用软件的分发和管理也是减小端上可能存在被入侵和利用风险可能性的手段之一；BYOD和第三方人员可控性低，安全风险相对高。

TOP4：身份体系零散希望统一管理

痛点：业务系统烟囱式建设，身份体系不统一，管理和运维成本高，容易造成僵尸账号、离职账号、间谍账号等存在数据泄露的风险；用户工作界面不统一，系统零散，安全意识松懈容易导致核心账号泄露；账号管理和授权花费的成本更高。

TOP5：应用安全访问

痛点：应用访问场景多，API调用、web访问等形式，接口开放得不到很好的管控；访问过程中没有全部强制的进行身份鉴权和安全验证的手段。

TOP6：数据安全保护

痛点：企业核心资产（研发数据、原型、demo等）应该被持续的保护和安全的访问；数据落盘后被非法外发如何有效的保护和监控；三方人员、内部员工可能会出现主动或被动的数据泄露行为；国家监管压力大，对于企业核心数据要进行分类分级的保护。

SASE – 轻端重云，安全即服务 icon

Gartner在2019年8月发布《The Future of Network Security Is in the Cloud》，边缘安全访问服务（SASE）是一种的服务，它将广域网与网络安全结合起来，从而满足数字化企业的动态安全访问需求。它可以基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。

安全问题

零信任机制解决远程办公安全性

各分支机构安全能力统一，规避安全死角

效率问题

各分支机构统一管理和运维，提升运维效率

缩短访问路径，提升内外网的业务访问效率

成本问题

各分支机构无需部署硬件安全设备，Saas模式，弹性扩展

提升运维效率，节省人力运维成本

办公数据安全的未来在云上 icon

1. 终端\账号\策略全生命周期管理;2. 零信任理念，减小暴露面；3. 正确的产品组合配置与持续运营；4. 终端敏感数据安全防护；5. 高速接入能力保证极致用户体验；6. 服务端数据自动分类分级保护。

轻端重云，是零信任方案落地的关键 icon

云端引擎，持续更新，动态扩容，无限算力；基于上下文的动态准入策略；多云、多IDC统一接入，应用隐身；计算都放在云端，解放终端生产力。

账号、角色、设备安全基线管理 icon

面对外来人员及非安全设备的访问，如何管控保证内网访问安全，防止泄露？

员工总部、外包多角色员工隔离配置多种身份源定义，短信验证码、二维码扫码、人脸识别、指纹等多种方式二次认证防仿冒访问

设备可对终端类型、WIFl、进程、防火墙等基线进行检查，保障连接终端的安全性

权限定义什么人、什么时间、使用什么设备，可以访问什么应用

安全针对应用web入侵防御，进行SQL注入、XSS跨站， webshell上传、命令注入、后门隔离、常见应用漏洞攻击等通用的web攻击进行防护

轻松支持高并发的远程办公 icon

远程办公内网业务安全、高速访问，面对无边界型的办公模式增加，业务多区域覆盖、出差、居家办公的普遍场景，SASE可提供高速、安全的网络访问通道，保障任意场景业务的无差别快速内网访问。遍布全国300+个POP接入点，保证随时随地业务就近接入。阿里云专属BGP网络，不区分运营商保障网络高速访问。基于零信任基础，实现应用隐身无暴露、访问管控更安全。免部署、弹性扩容，随时应对业务激增场景。阿里云业务一键打通，其它业务安全连接。

All in One 带来极致用户体验 icon

应用场景1 - 收敛攻击暴露面 icon

潜在风险

1、对访问人员、终端、行为没有限制；

2、资源对互联网暴露，存在被恶意扫描/探测、暴力破解的风险，甚至可能已经被攻破；

3、在家/差旅远程访问，无法通过IP白名单（安全组）过滤；

4、WAF、DDoS等防护措施是否齐全且持续有效

最佳实践

分步实施，平滑过渡：

1）继续开放公网服务，通过添加SASE服务的IP、企业网出口IP白名单减小暴露面；

2）同步授权SASE用户可直接使用内网地址访问；

3）待SASE普及后，关闭公网服务；

安全性提升：1）减小暴露面；2）终端安全基线；3）最小化授权

应用场景2 – 传统VPN的性能、安全瓶颈 icon

潜在风险或问题

1、VPN设施的0day漏洞问题（HW期间防守方第一动作就是关闭VPN）；2、VPN不校验终端安全基线，无法避免非授权访问；3、多VPN网关时需要频繁手动切换，使用不便；4、突发业务高峰时VPN成为性能瓶颈；5、跨运营商时的网络延迟大。

最佳实践

分布实施，平滑交付：1）暂时保留VPN访问路径；2）上线SASE零信任策略，关闭部分应用的VPN入口；3）SASE安装普及后关闭VPN入口；安全性提升：1）减小暴露面，拒绝0day漏洞；2）终端安全基线；3）最小化授权；易用性提升：1）更快的访问速度；2）动态扩缩容，无需运维；3）多云无需切换VPN网关。

应用场景3 - 从第1公里到最后1公里的全球加速 icon

遍布全球的POP接入点，智能选路，即使跨地域、跨运营商也稳定提供低延迟服务；合规备案，白名单控制、访问审计，安全、快速且合规。

应用场景4 – 运维测试人员远程切换测试环境 icon

需求描述

用户业务通过DNS来区分正式环境及预发环境，测试/开发人员远程办公时，使用常用VPN访问无法切换，影响业务使用。

• 办公区办公通过频繁修改本地host，操作复杂、效率低下；

• 居家办公时本地host无法生效，影响研发和测试效率。

解决方案

在家远程办公的同时，SASE可灵活适应业务需求，针对同一个域名，研发和测试团队，通过SASE APP切换不同DNS访问不同测试环境。

应用场景5 – 办公网准入NAC icon

面对外来人员及非安全设备的访问，如何管控保证内网访问安全，防止泄露？

入网合规检测

可验证合法用户、可信设备，访问资源后方可入网，保障入网合规

全类型设备防护

电脑、手机、哑终端、非标设备提供多种认证连接方式，满足全设备类型入网管控需求

便捷入网认证

自行下载并安装入网证书，后续无需输入账号密码，经过证书校验即可完成入网身份及设备的校验

本地灾备保护

本地灾备实例部署，当出现断网等极端情况时，可自动切换本地灾备实例进行准入验证，保障业务无影响。

应用场景6 – 软硬件资产信息统计 icon

员工权限管控

可一键引入企业多用户列表，并进行认证、访问权限管控。支持标准的SAML协议，可与钉钉、企业微信、飞书、LDAP、Windows AD、IDaaS、Okta打通并进行联动；可关联组织架构，便于企业进行组织架构层级管控。支持短信验证码认证、二维码扫码、人脸识别、指纹、OTP等方式进行登录。一键开启、关闭员工访问权限。

设备信息管控

统一盘点全网资产信息，了解资产分布及接入限制管控。资产盘点：盘点全资产数量、类型、状态等。设备权限管控：管控人员与设备绑定关系，限制设备接入数量，防止设备滥用。设备监控：统计所属部门、类型、型号、版本、Mac地址、流量使用情况等。

软件盘点梳理

一站式了解员工软件安装情况，及时发现风险软件及盗版非授权软件。全量统计安装软件名称、类型，了解员工软件部署情况。分析软件安装数量，及时排查授权超额等风险。统计软件安装率，分析常用软件排名。

应用场景7 – 办公数据保护DLP icon

办公中涉及众多敏感数据、文件，如何监控保障敏感信息外发安全？兼容WINDOS、Mac OS 全类型文件外发监控，蓝牙、U盘、打印等外设一键封闭及审计，内置多种敏感信息字典准确识别多企业场景敏感信息，百余种文件类型检测，实现全量文件敏感外发审计，内置近百种场景模板，满足企业场景配置需求搭配。