零信任安全云安全工业互联网安全数据安全与隐私保护移动安全物联网安全智慧城市安全 5G安全 AI安全 SASE 其他发布需求

泛身份动态认证打造零信任远程办公体系

2021.11.30
2710
北京九州云腾科技有限公司

一、方案背景
2020 年，突发疫情，企业纷纷开启远程办公模式。

对在线教育企业来说，则面临着更加严峻的挑战。大量学生，“停课不停学”，更加频繁的通过在线教育平台进行学习，企业的业务比非疫情期间还要繁忙。

某知名在线教育企业，数万员工集体远程办公，超过二十万台设备接入企业内网，企业面临着诸多的安全挑战：

大量员工远程办公，缺少有效的安全管控体系，存在数据泄漏风险；
有 20 多个应用，包括本地部署应用和 SaaS 应用。员工远程办公，通过公网在多个系统间切换，重复登录验证体验差。弱口令、重复口令，存在着巨大的安全隐患；
大量使用 iPad 移动终端授课，现有的 IT 方案，无法自动识别并进行有效管理；
员工数量众多，安全力量有限，员工入职、调岗、离职权限管理压力巨大，稍有不慎，则会带来巨大的安全隐患；
如何在最短的时间内，以最小的改动，满足疫情下的远程办公需求，兼顾安全与效率，是该企业必须全盘考虑的问题。

九州云腾远程办公零信任解决方案，以身份认证为基石，通过细粒度的动态的身份验证及授权，确保仅有授权的用户可以访问授权的业务。丰富的应用模块，可快速对接各类企业应用，实现系统的快速上线，满足企业需求。

另一方面，九州云腾丰富的超大规模客户经验，可轻松应对各类场景下的大规模访问及认证请求。良好的扩展性，为企业零信任战略的推进，提供坚实的身份基础。

二、方案概述和应用场景
九州云腾远程办公零信任解决方案，以可信、动态为核心，经过可信认证体系的 IP、设备、应用，在进入办公网络进行权限获取和数据调用时，凭借可信认证获取权限，实现动态安全检测防护。

图 1 零信任远程办公方案

1.远程终端安全管理

提供终端的可信认证以及身份管理，通过认证才能访问内部系统。同时采集分析终端安全数据，实时而非静态的判断入网设备的安全性。客户网络直播课程中，为保证网络传输速度，提出了需要通过有线网络连接大规模大批量使用 iPad的终端资产管理和网络安全需求，解决方案通过控制入网组网，实现了对移动设备转接头入网情况的突破性识别，同时监控设备状态，针对设备可能出现的异常状态做好动态分级的权限管理，结合终端安全检测与杀毒，实现全生态的移动设备管理。

2.云端动态决策管控

多因素强认证，采用包括人脸识别、指纹识别、人声识别、动态二维码、手机短信、令牌等交叉安全认证方式来提升整个身份认证的强度。并以智能模型分析可信验证结果，综合判断访问身份的可信等级，实现用户权限的动态分配。例如：若某位员工偏离了日常登录地址，突然有一天显示海外登录，那么系统就会给出不同的身份认证，匹配不同的访问权限。

3. 统一可信网络

通过 IDaaS 产品打通了不同应用系统间的账户认证和授权体系，通过智能管理中心和多种安全管控节点，实现集中权限管理以及全面审计能力，使企业的所有应用系统可信接入办公网络，帮助企业提升安全性与便利性。

4. 动态最小授权

对进入系统的任何人和动作进行持续的安全监控和审计，无需配置内网准入和 VPN，使用公网即可接入办公网络，避免了繁琐配置和技术本身限制带来的网络延迟。
九州云腾远程办公零信任解决方案，通过 IDaaS 打通所有的员工和应用，并通过安装在设备上的客户端，实现终端的安全检查，通过可信身份、可信设备、可信网络、可信应用、可信链路，构建零信任可信远程办公体系，让员工随时随地安全接入内部业务，在安全和效率之间达到最佳的平衡。

三、优势特点和应用价值

九州云腾远程办公零信任解决方案，在不改变客户原有网络架构的基础上，快速实现大规模的远程办公部署：

1. 自动覆盖所有员工，联动管理

基于 IDaaS 平台的集中式身份管理服务，为客户建立统一身份管理中心，基于设备和人的绑定关系，批量覆盖所有员工的联动管理，确保员工所有访问行为的可视、可管、可审。

2. 跨应用免验证高速切换提升体验

IDaaS 平台内预置了多种模板应用，同时平台自带开发者服务功能模块，可快速与企业的各类应用对接，实现对各种业务的统一免密验证登录，员工在应用之间无缝切换。并结合上网行为管理和终端数据防泄漏能力，确保落地数据安全。

3. 持续监控确保全链路可信

分段、隔离和控制网络的能力，仍然是零信任网络安全的关键点，九州云腾远程办公零信任策略组合利用了多种现有技术和方法，以持续的访问控制、安全监控和审计，帮助客户实现远程访问过程中网络链路的可信。

4. 分布式微服务设计，高性能，易扩展

分布式微服务设计，支持快速水平扩展，在系统访问量波峰波谷时段，都能保持一致的性能，满足各类突发场景下的需求。

四、经验总结

突发疫情，需要在极短的时间内，快速完成对接，实现数万员工的无感接入，因此采用了最小集合的解决方案，通过可信终端+可信身份实现安全远程办公。
而这也刚好符合了企业推进零信任战略的逻辑，零信任不是部署一个统一身份认证，或一套 SDP，而是一套全新的安全理念和架构，需要基于企业的特点，进行持续的升级改造，循序渐进的构建与业务需求匹配的安全又高效的信息安全体系。

上一篇：某大型汽车企业数字化全域身份管理实践案例

下一篇：基于商用密码的零信任安全应用案例