前言

隨著企業(yè)業(yè)務(wù)發(fā)展以及數(shù)字化轉(zhuǎn)型的需要，遠程辦公已成為業(yè)內(nèi)必不可缺的辦公手段，且已逐步常態(tài)化，除遠程辦公外，也包括遠程運維、遠程開發(fā)、開發(fā)眾測、面向合作伙伴的業(yè)務(wù)開放等。

為了支撐遠程訪問，原本只能在內(nèi)網(wǎng)訪問的高敏感度的業(yè)務(wù)系統(tǒng)不得不對互聯(lián)網(wǎng)開放。無論是通過端口映射將業(yè)務(wù)系統(tǒng)直接開放公網(wǎng)訪問，還是使用VPN打通遠程網(wǎng)絡(luò)通道，都擴大了網(wǎng)絡(luò)的暴露面，將業(yè)務(wù)系統(tǒng)置于更危險的境地之中。

同時，接入網(wǎng)絡(luò)的人員、設(shè)備、系統(tǒng)的多樣性呈指數(shù)型增加。遠程訪問模式允許員工、外包人員、合作伙伴等各類人員，使用家用PC、個人終端，從任何時間、任何地點遠程訪問業(yè)務(wù)。

參差不齊的終端接入設(shè)備和系統(tǒng)，具有極大的不確定性，各種接入人員的身份和權(quán)限管理混亂，弱密碼屢禁不止，這些都會給企業(yè)網(wǎng)絡(luò)帶來了極大的風險。員工使用的終端除了派發(fā)終端還包括私有終端，安全狀態(tài)不同，存在遠控軟件、惡意應(yīng)用、病毒木馬、多人圍觀等風險，給內(nèi)網(wǎng)業(yè)務(wù)帶來了極大的安全隱患。此外，攻擊者利用VPN漏洞極易繞過VPN用戶驗證，直接進入VPN后臺將VPN作為滲透內(nèi)網(wǎng)的跳板，進行肆意橫向移動。

一、核心需求分析

面對日益復雜的遠程訪問環(huán)境，企業(yè)在數(shù)字化轉(zhuǎn)型過程中面臨三大核心安全挑戰(zhàn)：

• 業(yè)務(wù)暴露面管控需求迫切：傳統(tǒng)VPN架構(gòu)下，業(yè)務(wù)系統(tǒng)直接暴露在公網(wǎng)，極易遭受端口掃描、漏洞利用和惡意攻擊，亟需通過新型安全架構(gòu)實現(xiàn)業(yè)務(wù)隱身和訪問收斂。
• 身份與訪問管理亟待強化：混合辦公模式下，接入人員類型復雜、設(shè)備多樣，傳統(tǒng)基于邊界的安全模型難以應(yīng)對身份冒用、權(quán)限濫用等風險，需要建立貫穿全生命周期的身份治理體系。
• 安全與體驗需要平衡：企業(yè)在追求安全性的同時，不能以犧牲工作效率為代價。員工期望獲得簡單便捷的訪問體驗，而管理員則需要細粒度的管控能力和完整的審計追溯手段。

這些需求共同指向了以“從不信任，始終驗證”為核心的零信任架構(gòu)，為企業(yè)遠程辦公安全建設(shè)指明了方向。

二、有安全保障的“遠程辦公”解決方案

云邊云科技零信任客戶端遵循零信任體系化的安全框架，圍繞終端設(shè)備管理，身份識別與訪問管理，多因素認證自主編排、認證及訪問安全策略編排等多個技術(shù)領(lǐng)域，為客戶提供完整的可落地的零信任遠程訪問安全解決方案，解決遠程辦公環(huán)境下企業(yè)業(yè)務(wù)暴露在互聯(lián)網(wǎng)上而引發(fā)的安全性難以保障問題，互聯(lián)網(wǎng)暴露面收斂精準貼合當下中小型企業(yè)的數(shù)字化IT建設(shè)需求。

云邊云科技零信任客戶端邏輯上劃分為數(shù)據(jù)平面和控制平面。數(shù)據(jù)平面是指用戶訪問應(yīng)用系統(tǒng)的業(yè)務(wù)平面，通過客戶端和安全認證網(wǎng)關(guān)從訪問用戶到訪問應(yīng)用系統(tǒng)之間，建立安全訪問通道?？刂破矫孀鳛榭偡治龊涂刂?a target="_blank">中心，由統(tǒng)一決策平臺、控制中心、統(tǒng)一身份管理組成，構(gòu)建風險和信任綜合分析能力，策略決策響應(yīng)能力，實現(xiàn)縱深防御。

零信任客戶端通過安全設(shè)備管理和強制用戶認證，集成分析和驗證信任關(guān)系，從而構(gòu)建主動防御的安全架構(gòu)。產(chǎn)品能力基于業(yè)務(wù)流的身份認證技術(shù)，細顆粒度應(yīng)用訪問授權(quán)技術(shù)，面向用戶認證訪問策略的自主編排技術(shù)，完成從安全認證、異常分析到資源管控的安全閉環(huán)管理，實現(xiàn)如下四大核心能力：

最小化授信

強制性驗證

用戶異常行為告警

用戶、應(yīng)用及設(shè)備管理

三、產(chǎn)品核心能力

身份管理：

支持用戶和組織的全生命周期管理，包括創(chuàng)建、修改、鎖定和撤銷等各個環(huán)節(jié)的操作，確保在整個生命周期內(nèi)對用戶和組織的信息進行有效的跟蹤和管理。同時，提供基于角色和組織結(jié)構(gòu)的訪問授權(quán)機制，可以根據(jù)用戶的角色和所在組織來動態(tài)分配相應(yīng)的權(quán)限，從而實現(xiàn)細粒度的訪問控制。

安全策略：

支持認證策略、終端策略、訪問控制策略等多個維度的安全策略編排，可以綜合運用多種安全措施來構(gòu)建多層次的防護體系。通過這些多維度的安全策略編排，以實現(xiàn)精細化的安全管理，確保只有符合預設(shè)條件的用戶和設(shè)備才能訪問特定的資源，從而有效降低安全風險，保護企業(yè)的重要信息資產(chǎn)。

審計回溯：

支持行為日志的查詢、下載與備份功能，使得管理員能夠全面追蹤和審查用戶的訪問行為，確保每一項操作都有據(jù)可查，便于后續(xù)的審計與回溯。通過詳細記錄用戶的所有活動，系統(tǒng)不僅能夠幫助識別潛在的安全威脅或違規(guī)行為，還能夠在發(fā)生安全事件時提供關(guān)鍵證據(jù)。

四、成功實踐案例

建設(shè)背景

◆ 原有VPN系統(tǒng)穩(wěn)定性差，員工遠程接入后頻繁掉線，影響工作效率；
◆ 業(yè)務(wù)系統(tǒng)直接暴露在公網(wǎng)，頻繁遭受惡意掃描和爬蟲攻擊，存在數(shù)據(jù)泄露風險；
◆ 缺乏統(tǒng)一的身份管理和訪問審計機制，難以滿足合規(guī)要求。

客戶需求

◆ 替換傳統(tǒng)VPN，實現(xiàn)業(yè)務(wù)系統(tǒng)隱身，收斂互聯(lián)網(wǎng)暴露面；
◆ 實現(xiàn)一次認證，無縫訪問所有授權(quán)業(yè)務(wù)系統(tǒng)；
◆ 建立完整的用戶身份與設(shè)備生命周期管理機制。

實施效果

◆ 暴露面有效收斂：通過“先認證后連接”機制，所有訪問請求必須經(jīng)過身份驗證，業(yè)務(wù)系統(tǒng)對外隱身，有效抵御掃描和漏洞利用攻擊；

◆ 系統(tǒng)穩(wěn)定性顯著提升：采用智能短連接與鏈路優(yōu)化技術(shù)，保障通信穩(wěn)定高效，提升員工遠程辦公體驗；

◆ 統(tǒng)一身份與策略管理：實現(xiàn)用戶、設(shè)備、應(yīng)用的統(tǒng)一管控，支持細粒度權(quán)限分配與實時行為審計。

◆ 出海業(yè)務(wù)訪問支撐：搭載全球骨干網(wǎng)絡(luò)，用戶可訪問海外SaaS業(yè)務(wù)應(yīng)用或部署在海外的私有應(yīng)用，包含各類AI應(yīng)用等，滿足企業(yè)全球供應(yīng)鏈和營銷需求。

客戶價值

◆ 降低安全風險：默認不信任所有訪問請求，通過動態(tài)策略與多重驗證機制，有效防范身份冒用與越權(quán)訪問。

◆ 減少攻擊暴露面：業(yè)務(wù)系統(tǒng)隱藏于安全網(wǎng)關(guān)之后，僅對已驗證用戶可見，極大縮小攻擊界面。

◆ 提升訪問體驗與效率：結(jié)合單點登錄與多因素認證，實現(xiàn)便捷安全的統(tǒng)一入口訪問，顯著提升員工工作效率。

◆ 全面審計與追溯：完整記錄用戶登錄、操作行為，支持實時分析與事后追溯，助力企業(yè)合規(guī)與安全運營。