在數(shù)字化辦公不斷發(fā)展的當(dāng)下，釘釘、微信、企業(yè)微信等社交化平臺(tái)成為企業(yè)內(nèi)部溝通協(xié)作的重要工具，同時(shí)該類(lèi)社交工具的工作臺(tái)承載著企業(yè)大量業(yè)務(wù)系統(tǒng)。工作臺(tái)作為企業(yè)移動(dòng)辦公的統(tǒng)一入口，受傳統(tǒng)網(wǎng)絡(luò)邊界防護(hù)模式的限制，如需隨時(shí)隨地訪問(wèn)到工作臺(tái)的業(yè)務(wù)系統(tǒng)，便需要通過(guò)邊界防火墻將各個(gè)業(yè)務(wù)系統(tǒng)映射在互聯(lián)網(wǎng)上，這將面臨由于長(zhǎng)期端口暴露及0day漏洞等問(wèn)題帶來(lái)的安全風(fēng)險(xiǎn)。因此引入零信任架構(gòu)與業(yè)務(wù)及社交化平臺(tái)三方面深度集成的方案，可幫助企業(yè)收斂工作臺(tái)業(yè)務(wù)系統(tǒng)暴露面，提升安全防護(hù)能力。

傳統(tǒng)的身份認(rèn)證方式，如 “用戶(hù)名 + 靜態(tài)密碼”，存在諸多弊端。用戶(hù)需要記憶多個(gè)賬號(hào)密碼，容易遺忘或混淆，且密碼安全意識(shí)淡薄、加密技術(shù)漏洞等問(wèn)題，使得網(wǎng)絡(luò)安全風(fēng)險(xiǎn)日益增加。而社交化認(rèn)證借助社交平臺(tái)的廣泛應(yīng)用和強(qiáng)大功能，為解決這些問(wèn)題提供了新的思路，以目前較為普遍的“免密登錄”為例，實(shí)際上就從一定程度上，解決了靜態(tài)密碼容易泄露帶來(lái)的安全風(fēng)險(xiǎn)，而市面上各個(gè)廠商實(shí)現(xiàn)免密登錄的邏輯也大致不同，同時(shí)基于業(yè)務(wù)系統(tǒng)及認(rèn)證源的不同，也分為不同的認(rèn)證方式。大致可分為業(yè)務(wù)系統(tǒng)直接與社交平臺(tái)的身份進(jìn)行集成，以及業(yè)務(wù)平臺(tái)與SSO集成，SSO調(diào)用社交化平臺(tái)做身份認(rèn)證。

在技術(shù)實(shí)現(xiàn)上，社交化認(rèn)證與業(yè)務(wù)系統(tǒng)的集成涉及多個(gè)環(huán)節(jié)。以微信公眾平臺(tái)開(kāi)發(fā)為例，開(kāi)發(fā)者申請(qǐng)服務(wù)號(hào)后，通過(guò)填寫(xiě)正確的接入信息，如線上服務(wù)器 URL 和 token，實(shí)現(xiàn)與業(yè)務(wù)系統(tǒng)的對(duì)接。每個(gè)用戶(hù)在公眾號(hào)產(chǎn)生的唯一 OpenID，可與業(yè)務(wù)系統(tǒng)中的用戶(hù)賬號(hào)進(jìn)行關(guān)聯(lián)綁定，從而識(shí)別用戶(hù)身份。當(dāng)用戶(hù)選擇微信掃碼登錄時(shí)，系統(tǒng)本地生成包含特定信息的 URL，經(jīng)js 代碼轉(zhuǎn)換為二維碼顯示在頁(yè)面上。用戶(hù)掃碼后，通過(guò)微信服務(wù)器獲取 OpenID 并傳遞給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器據(jù)此進(jìn)行授權(quán)驗(yàn)證，實(shí)現(xiàn)登錄功能。這一過(guò)程借助微信公眾平臺(tái)的通信接口和業(yè)務(wù)系統(tǒng)配置的接口，實(shí)現(xiàn)了數(shù)據(jù)的安全交互。這種深度集成還為業(yè)務(wù)系統(tǒng)帶來(lái)了豐富的功能拓展。在業(yè)務(wù)系統(tǒng)中，認(rèn)證平臺(tái)與微信的集成，實(shí)現(xiàn)了用戶(hù)管理、應(yīng)用管理、訪問(wèn)風(fēng)險(xiǎn)管理等功能。管理員可以通過(guò)系統(tǒng)對(duì)用戶(hù)進(jìn)行增刪改查操作，對(duì)應(yīng)用系統(tǒng)進(jìn)行參數(shù)配置和管理，提升了辦公效率。然而，社交化認(rèn)證與業(yè)務(wù)系統(tǒng)深度集成之后，對(duì)于業(yè)務(wù)系統(tǒng)是否可長(zhǎng)期暴露在互聯(lián)網(wǎng)上提出了新的安全挑戰(zhàn)。

結(jié)合零信任平臺(tái)可以構(gòu)建更加安全、可靠的系統(tǒng)架構(gòu)。具體架構(gòu)設(shè)計(jì)如下：

集成身份認(rèn)證：

用社交化平臺(tái)的認(rèn)證機(jī)制作為零信任架構(gòu)中的身份認(rèn)證層。當(dāng)用戶(hù)通過(guò)社交化平臺(tái)發(fā)起訪問(wèn)請(qǐng)求時(shí)，首先由社交化平臺(tái)對(duì)用戶(hù)的身份進(jìn)行驗(yàn)證，只有通過(guò)驗(yàn)證的用戶(hù)才能獲得由社交化平臺(tái)頒發(fā)的數(shù)字身份憑證。這個(gè)數(shù)字身份憑證將作為用戶(hù)在零信任環(huán)境中的唯一身份標(biāo)識(shí)，用于后續(xù)的訪問(wèn)控制和授權(quán)決策。

訪問(wèn)控制層：

在零信任平臺(tái)的訪問(wèn)控制層，根據(jù)用戶(hù)的數(shù)字身份憑證、訪問(wèn)請(qǐng)求的資源類(lèi)型以及預(yù)設(shè)的訪問(wèn)策略，對(duì)用戶(hù)的訪問(wèn)請(qǐng)求進(jìn)行動(dòng)態(tài)授權(quán)。訪問(wèn)策略可以根據(jù)不同的業(yè)務(wù)場(chǎng)景和安全需求進(jìn)行靈活配置，例如，對(duì)于敏感資源的訪問(wèn)可能需要更高級(jí)別的授權(quán)，而對(duì)于普通資源的訪問(wèn)則可以相對(duì)寬松一些。通過(guò)這種方式，可以實(shí)現(xiàn)對(duì)用戶(hù)訪問(wèn)行為的精細(xì)化管理，確保只有合法、合規(guī)的訪問(wèn)請(qǐng)求才能被允許通過(guò)。

數(shù)據(jù)加密層：

為了保護(hù)數(shù)據(jù)在傳輸過(guò)程中的安全性，在零信任架構(gòu)中引入數(shù)據(jù)加密層。無(wú)論是用戶(hù)與社交化平臺(tái)之間的通信，還是業(yè)務(wù)系統(tǒng)內(nèi)部各組件之間的數(shù)據(jù)傳輸，都應(yīng)采用加密技術(shù)進(jìn)行加密處理。這樣可以防止數(shù)據(jù)在傳輸過(guò)程中被竊取或篡改，保障數(shù)據(jù)的機(jī)密性和完整性。

持續(xù)監(jiān)測(cè)與分析層：

零信任平臺(tái)還應(yīng)具備持續(xù)監(jiān)測(cè)與分析的功能，實(shí)時(shí)收集和分析網(wǎng)絡(luò)流量、用戶(hù)行為等數(shù)據(jù)，以便及時(shí)發(fā)現(xiàn)潛在的安全威脅和異常行為。通過(guò)對(duì)這些數(shù)據(jù)的深入分析，可以識(shí)別出可能存在的攻擊模式和安全漏洞，并采取相應(yīng)的措施進(jìn)行防范和應(yīng)對(duì)。

零信任優(yōu)勢(shì)賦能

● 提升安全性：

通過(guò)零信任平臺(tái)的嚴(yán)格身份驗(yàn)證和訪問(wèn)控制機(jī)制，可以有效防止未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露事件的發(fā)生。即使企業(yè)的網(wǎng)絡(luò)邊界被突破，攻擊者也無(wú)法輕易獲取到業(yè)務(wù)系統(tǒng)中的核心數(shù)據(jù)，因?yàn)槊恳粋€(gè)訪問(wèn)請(qǐng)求都需要經(jīng)過(guò)多重驗(yàn)證和授權(quán)。

● 收斂系統(tǒng)暴露面：

零信任平臺(tái)打破了傳統(tǒng)網(wǎng)絡(luò)邊界的概念，不再依賴(lài)于固定的網(wǎng)絡(luò)邊界來(lái)進(jìn)行安全防護(hù)。這意味著業(yè)務(wù)系統(tǒng)不再需要將大量的服務(wù)和資源暴露在互聯(lián)網(wǎng)上，從而減少了被攻擊的可能性。同時(shí)，通過(guò)動(dòng)態(tài)授權(quán)的方式，只向用戶(hù)提供其所需的最小權(quán)限訪問(wèn)資源，進(jìn)一步縮小了系統(tǒng)的暴露面。

● 滿(mǎn)足合規(guī)要求：

隨著數(shù)據(jù)安全法規(guī)的日益嚴(yán)格，企業(yè)需要采取更加有效的措施來(lái)保護(hù)用戶(hù)數(shù)據(jù)的安全和隱私。零信任平臺(tái)的設(shè)計(jì)理念符合相關(guān)法規(guī)的要求，通過(guò)加密傳輸、訪問(wèn)控制等技術(shù)手段，可以更好地保障用戶(hù)數(shù)據(jù)的安全性和合規(guī)性，避免因數(shù)據(jù)泄露而面臨的法律風(fēng)險(xiǎn)。將業(yè)務(wù)系統(tǒng)與釘釘、微信、企業(yè)微信這類(lèi)社交化平臺(tái)進(jìn)行深度融合，實(shí)現(xiàn)免密登錄，并結(jié)合零信任平臺(tái)，是企業(yè)在數(shù)字化轉(zhuǎn)型過(guò)程中提升用戶(hù)體驗(yàn)和安全性的重要舉措。通過(guò)這種融合方案，企業(yè)可以為用戶(hù)提供更加便捷、高效的登錄方式，增強(qiáng)用戶(hù)粘性和滿(mǎn)意度；同時(shí)，借助零信任平臺(tái)的強(qiáng)大安全防護(hù)能力，有效收斂系統(tǒng)的暴露面，保障業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。在未來(lái)的發(fā)展中，隨著技術(shù)的不斷進(jìn)步和企業(yè)安全需求的持續(xù)升級(jí)，這種融合模式將不斷完善和發(fā)展，為企業(yè)的數(shù)字化轉(zhuǎn)型提供更加有力的支持。

審核編輯 黃宇