深信服远程办公安全接入解决方案_零信任访问控制系统aTrust-云巴巴 -云巴巴

深信服远程办公安全接入解决方案

以“平台+组件+服务”的方式提供远程业务安全接入解决方案，部署一体化安全客户端，融合杀毒、准入、远程业务访问等能力，结合ZTA平台（控制中心+分析中心）实现用户、认证、权限、策略的统一管理，满足远程业务接入场景下终端用户的多样安全防护需求，轻松应对办公网热门威胁，保障用户流畅远程业务访问。

立即咨询

远程办公的接入规模升级 icon

受疫情、集约化、云化、数字化、移动化等因素影响，大量的企业开始尝试开放大规模/全员远程办公，大规模/全员远程办公的时代已经到来。

疫情开启了全员远程办公，2020是远程办公元年

集约化建设带来了大规模分支的远程访问

业务上云后带来了全员远程访问的需求

信息化让企业具备了线上远程办公的基础能力

数字化让业务走向开放，带来了更多的远程访问需求

移动应用带来了全员远程办公

企业无线、4G让网络边界走向模糊化

远程办公的安全风险升级 icon

收缩互联网暴露面、加强安全防护能力、以及数据防泄漏能力的建设成为远程办公迫切需要解决的问题

零信任架构的理论框架模型 icon

2020年，NIST发布了《零信任架构标准》明确定义了零信任理论架构模型；零信任架构体系通过专注于保护企业资源，以身份为基石，以业务为中心重塑网络安全边界；网络位置（如：内部网络）不再被视为业务安全访问的主要手段，取而代之的是身份、环境、行为多源的持续信任评估与动态访问控制。

深信服零信任远程办公解决方案 icon

深信服零信任架构 - 【白+黑】保护机制 icon

基础保护：网络（白名单访问机制-业务隐藏） icon

白名单模式下的边界防护、网络接入机制：从“先访问再认证”到“先认证再访问”，过滤掉大量攻击行为；业务隐藏在零信任检控网关之后，只允许身份合法且有权限的用户访问到业务系统，缩小暴露面；不改造应用，不改变用户使用习惯，免安装客户端，跨平台跨浏览器，随时随地安全办公；

基础保护：终端（终端环境检测与准入） icon

终端标准化

All in one客户端：实时检测终端环境，要求满足公司标准化合规要求的终端才允许登录和访问业务系统，（防止通过失陷终端做为跳板攻击业务服务器），同时满足有线、无线、互联网、分支多场景的准入控制需求。

阻止中毒终端登录和访问业务系统

要求终端必需打齐操作系统补丁；要求终端必需安装指定/运行软件才允许访问报销系统；要求终端必需加入域控、必须在内网上才允许访问财务系统；

基础保护：身份

双因子认证，防止身份冒用，并结合环境、行为，自适应调整认证强度，平衡安全与体验

基础保护：数据（解决远程访问场景的数据泄露问题） icon

持续运营：持续风险评估 & 动态访问控制 icon

动态访问控制：基于身份、环境、行为多源信任评估结果，动态调整访问权限，对于明确风险行为进行阻断，对于疑似风险行为进行挑战认证/告警，应对已知和未知威胁。

核心优势

收缩风险暴露面
SDP可信接入网关将所有业务收缩到内网，对外隐藏网络拓扑，避免恶意扫描探测，只有满足安全基线的终端才能访问业务，缩小业务系统的暴露面。

灵活联动处置
ZTA平台对身份、终端、网络位置、行为等进行持续信任评估及动态权限控制，并可联动各类组件，实现增强认证、智能降权、联动阻断，高效管控风险。

优质用户体验
基于SDP+VDI+UEM形成的WorkSpace方案，构建分级数据保护能力，实现高、中、低密级业务一致的WorkSpace访问体验。

随心可控、省心便捷
All In One客户端集成可信的安全接入、准入管控、终端安全防护、实现端点远程业务接入随心可控、办公一触即达，一次操作完成多端安装，降低实施难度和实施成本。

典型部署方案交付组件 icon

必选组件

SDP（零信任外网检控网关—零信任网关）：隐藏业务，实现外网接入与访问控制；SDPC（零信任控制器）：用于集中控制多台SDP与AF，统一管理身份与访问权限；EDR（终端安全检测响应平台）：用户保护终端环境安全。一体化客户端：集成零信任接入、统一门户、EDR等多种能力。

可选组件

IDTrust（统一身份管理）：用户身份认证、用户管理、业务系统单点登录、统一门户。SIP（态势感知平台）：基于SDP镜像的解密后流量和AF的流量，进行动态风险评估。STA（流量探针）：接收SDP镜像出来的解密流量，解析后同步给SIP进行检测分析。Adesk（桌面云）：保障业务访问的数据不落地。

成功案例 - 京东集团 icon

客户背景

JD过去采购了我司SSLVPN设备(24台)，并发最高3万点，分布全球 12个集群；随着用户接入规模的不断扩大，原有SSL VPN架构已经难以支撑业务发展的需求，需要进行架构更新升级，经过长期论证后选择了我司的零信任方案架构，并从过去的远程接入扩展到内外网统一接入与访问控制；

零信任分期建设步骤

一期：替换SSL VPN，满足大规模远程办公需求和混合办公需求；并结合上网管控、USB管控满足安全上网与数据防泄露需求；结合工单流程对接满足运维需求；全球分布式集群部署、两地三中心控制器部署满足全球化就近快速接入与容灾需求；二期：安全能力增强，结合EDR保护终端安全，结合UEM沙箱进一步加强保护数据安全；三期：最小访问权限，通过资产梳理、权限梳理进一步满足零信任最小化访问权限。四期：安全运营，结合NGSOC实现持续风险&信任评估，自动化访问控制，应对高级威胁。

成功案例 – 某国务院直属机构 icon

客户需求背景

为迎接建党100周年，某单位需要完成相关机构（覆盖至县一级）的系统、设备、线路、机房等的具体情况摸查。负责情况摸查的监测监管系统遍及全国334个地市，本级及下属单位（覆盖到地市级）的相关信息通过专网上报，但是，县一级数据无法通过专网上报，只能由全国几万用户以各种各样的格式人为上报上百万条数据。为落实相关筹备工作，该单位决定将相关业务系统开放在互联网，县级单位通过互联网进行填报，地市及以上单位通过专网进行填报。

客户希望解决的问题

暴露面过大：直接发布在公网随时可能被扫描、爆破、DDOS攻击等；传输不安全性：通过互联网传输，数据难以避免被窃取、窥探；用户数量大：全国填报人员数量庞大，缺乏专业的身份管理和统一认证系统；终端类型多：用户使用的终端类型多样，涉及的操作系统和浏览器类型复杂，同时希望避免因安装客户端带来运维压力。

客户认可的方案价值

收缩暴露面：通过aTrust将监测监管系统收缩在内网，并实现传输过程加密，有效抵御来自互联网的恶意扫描、攻击破坏等行为。免客户端安全访问：将监测监管系统配置成WEB资源，实现免客户端访问。统一身份管理和单点登录：通过IDTrust管理全国所有录入人员的身份信息，并实现aTrust与监测监管系统的单点登录。灵活部署，快速简单落地：3周完成试点省份测试并正式上线，帮助客户提前完成全国20000+用户、百万级数据的监测监管支撑工作。

成功案例 – 中国外汇交易中心 icon

需求背景

信息化建设使得内部的沟通效率变得越来越高，员工的移动办公的需求也越来越旺盛。因此外汇需要建立新的一套满足移动办公安全、数据访问安全、行为安全控制的安全架构来匹配快速发展的业务需求并满足信息安全建设需求。开发测试部存在大量外包人员，希望能够实现外包人员远程接入内网桌面云系统进行开发测试的安全管控和实时监测；当前通过手机接入泛微OA、邮箱等系统时，都需要先拨通VPN之后才能访问，用户体验十分差；手机在外网环境下，无法接收到邮件通知，导致有时候会错过重要邮件，影响工作效率；用户访问业务系统时，需要经过多道认证，没有统一的认证入口，系统之间相互完全割裂，且员工需要记住多套账号密码，体验非常差且系统存在绕过风险。

解决方案

办公网：移动办公改造，部署手机沙箱；构建身份中台外对接各大业务系统；邮件自动推送通过将outlook邮箱的推送模块与代理SG进行对接，实现新邮件的统一代理推送；信创桌面改造部署信创桌面云，实现信创改造的同时，也可以提高员工办公网安全加固以及数据安全能力，并且通过IDTrust实现单点登录；生产网外包远程接入SDP建设。

解决方案

通过零信任SDP对接，最大限度地减少数据暴露面和攻击面，提高审计和合规性可见性，并降低企业的风险，能有效解决企业数字化转型过程中带来的复杂性和成本；通过移动沙箱结合VPN一体化的方式，解决了用户手机办公体验差的问题，提高了用户的办公效率和体验；构建全网身份中台，对接现网的业务系统、桌面云、VPN等，实现了全网的身份管理，实现用户全生命周期管理；

客户案例