【零信任落地案例】上海云盾贵州白山云科技股份有限公司 应用可信访问

1方案背景

1. 1方案背景

随着云计算、大数据、物联网、移动互联网等技术的兴起，适用于不同行业 的“私有云”或者“公有云"解决方案层出不穷，很多政务系统、0A系统、重 要业务系统以及其他对外信息发布系统逐渐向“云"端迁移。这无疑加快了很多 企业的战略转型升级，企业的业务架构和网络环境也随之发生了重大的变化。

目前，绝大多数企业都还是采用传统的网络分区和隔离的安全模型，用边界 防护设备划分出企业内网和外网，并以此构建企业安全体系。在传统的安全体系 下，内网用户默认享有较高的网络权限，而外网用户如异地办公员工、分支机构 接入企业内网都需要通过VPN。不可否认传统的网络安全架构在过去发挥了积极 的作用，但是在高级网络攻击肆虐、内部恶意事件频发的今天，传统基于边界防 护的网络安全架构很难适应新环境，对于一些高级持续性威胁攻击无法有效防御, 内网安全事故也频频发生。传统安全架构已不能满足企业的数字化转型需求，传统的网络安全架构需要迭代升级。

1.2风险分析

2.1过度信任防火墙 防火墙提供了划分网络边界、隔离阻断边界之间的流量的一种方式，通过防 火墙可以提供简单、快速有效的隔离能力。然而传统防火墙是基于IP、VLAN手 工配置访问策略，这意味着管理员需要将所有的防火墙策略进行持续维护，不但 工作量巨大容易出错，而且基于区域隔离的ACL授权太严格，限制了生产力。一 旦攻击者使用合法权限（如口令、访问票据等）绕过防护机制，则内网安全防护 形同虚设。

1.2.2内网粗颗粒度的隔离 我们知道风险已不只来自于企业外部，甚至更多是来自于内部。而传统的基 于网络位置的信任体系，所有策略都是针对边界之外的威胁，在网络内部没有安 全控制点，导致边界一旦被攻破之后，既无法应对攻击者在企业内部的横移，也 无法有效控制“合法用户"造成的内部威胁。

1.2.3远程办公背后的挑战 近年来APT攻击、勒索病毒、窃密事件、漏洞攻击层出不穷，日趋泛滥，云 化和虚拟化的发展，移动办公、远程访问、云服务形式又突破了企业的物理网络 边界，而接入网络的人员、设备、系统的多样性呈指数型增加，参差不齐的终端 接入设备和系统，具有极大的不确定性，各种接入人员的身份和权限管理混乱， 更使安全战场不断扩大，信任区域日趋复杂。企业同时面临着安全与效率的双重 挑战，边界消失已经成为必然。

1.2.4攻击面暴露 随着公有云市场占有率不断提升、企业上云是共同的趋势。在这一趋势下， 企业的关键业务会越来越多地部署在公有云上，那么其暴露面和攻击面势必变大,原本只能在内网访问的高敏感度的业务系统不得不对互联网开放。与此同时军工 级攻击工具的平民化，又让风险不断加剧。

2方案概述和应用场景

2. 1平台架构

YUNDUN-应用可信访问解决方案提供零信架构中“无边界可信访问"的核心 能力。基于“从不信任、始终校验''的架构，重构企业安全能力建设，将过去的 基于网络边界的模型，转变为以身份为核心的新的安全边界，助力企业数字化转 型。

​2.2应用场景

2.2.1无边界移动办公场景

据第三方调查数据显示，2020年春节期间，中国有超过3亿人远程办公， 以前只能在办公室开展的工作全部搬回了员工的家中，不仅仅局限在日常工作协 同沟通、视频会议等，越来越多的企业将很多IT功能都搬上了远程办公平台， 远程开发，远程运维，远程客服，远程教学等等都已变成现实。为了支撑远程移 动办公，原本只能在内网访问的高敏感度的业务系统不得不对互联网开放。目前 远程移动办公使用最多的是两种接入方式，一种是通过端口映射将业务系统直接 开放公网访问；一种是使用VPN打通远程网络通道。无论哪种方式，都是对原本 脆弱的网络边界打上了更多的“洞"，敏锐的攻击者一定不会放过这些暴露面。

在YUNDUN零信任解决方案中，默认网络无边界，无论访问人员在哪里，使 用什么终端设备，访问是内网办公应用或是业务资源，都无需使用VPN，同时支 持细粒度的鉴权访问控制，真正实现无边界化安全办公场景。

2.2.2多云业务安全管控场景

越来越多的企业业务应用构建在云端大数据平台中，使得云端平台存储了大 量的高价值数据资源。业务和数据的集中造成了目标的集中和风险的集中，这自 然成为黑产最主要的攻击和窃取目标。从企业数字化转型和IT环境的演变来看, 云计算、移动互联的快速发展导致传统内外网边界模糊，企业无法基于传统的物 理边界构筑安全基础设施，基于网络边界的信任模型被打破，企业的安全边界正 在消失。

同时近年来外部攻击的规模、手段、目标等都在演化，有组织的、攻击武器 化、以数据及业务为攻击目标的高级持续攻击屡见不鲜，且总是能找到各种漏洞 突破企业的边界并横向移动，可以说企业的网络安全边界原本就已经很脆弱，而 随着“全云化“的覆盖可以说是让这种脆弱性雪上加霜。

YUNDUN-应用可信访问解决方案利用边缘安全网关技术隐藏用户的真实业务 资产，如真实IP、端口等等，用户在通过边缘安全网关访问业务时，会进行身 份认证，只有经过身份认证并授权访问的应用才被准许访问，这样就极大的隐藏 了攻击暴露面。保障业务部署于任何环境下的访问安全性，有效防御数据泄露、 DDoS攻击、APT攻击等安全威胁。

2.2.3统一身份、业务管理场景

单点登录要解决的就是，用户只需要登录一次就可以访问所有相互信任的应 用系统，目前，YUNDUN-应用可信访问解决方案已经支持与第三方身份认证如钉 钉、企业微信、微信等集成，同时支持标准的0IDC、SAML等协议，可与客户应 用轻松集成。云端控制台可进行精细的权限管控，保障权限最小化，访问控制策 略可实时下发至边缘安全网关。边缘安全网关可持续对用户的访问行为进行信任 评估，动态控制和调整用户访问权限。同时企业的应用将收敛于应用门户，统一 工作入口，方便统一管理。

3优势特点和应用价值

3. 1方案优势

3. 1.1 SaaS 部署

无需机房、服务器等开销，降低建设、维护硬件成本，使用浏览器就可以连 接到平台中，省时省力。

3. 1.2综合的解决方案及产品

YUNDUN-应用可信访问解决方案除了提供单独的应用可信访问功能，同时支 持灵活扩展，包含云WAF、云抗D、云加速、DNS防护等综合安全能力，全面提 高应用性能和可靠性。

3. 1.3安全检测分析平台联动

传统的边界防护模型通常不介入到业务中，因此难以还原所有的轨迹，不能 有效关联分析，导致安全检测容易出现盲点，应用可信访问平台支持针对所有访 问审计，UEBA异常行为分析弱身份凭据泄漏，同时支持与SOC/SIEM/Snort等平 台数据对接、联动分析、持续审计访问。

3. 2客户价值

3. 2.1传统VPN的缺陷

1. 安全性不足

仅一次用户鉴权，没有持续安全监测，当出现用户证书被盗或用户身份验证 强度不足的情况，无法解决合法用户的内部安全威胁；

2. 稳定性不足

当使用弱网络（如小运营商，丢包率高），海外网络（跨洋线路，延迟大） 时，频繁断线重连，访问体验差；

3. 灵活性不足

大部分企业的VPN产品是第三方采购，采购和部署周期长，容量，带宽也受 限于先前的规划，难以在突发需要的时候进行快速的弹性扩容。

整个方案目标旨在为用户提供更多场景的远程访问服务，内网应用快速 SaaS化访问，灵活性更强，同时拥有更强的身份认证和细粒度访问控制能力， 弥补了内部VPN安全性、稳定性、灵活性不足的问题。

3.2.2提高安全ROI，降低IT复杂度

整体方案基于零信任思想：“默认情况下不信任网络内部和外部的任何人/ 设备/系统，以身份为中心进行访问控制，身份是安全的绝对核心”将过去的基 于网络边界的模型，转变为以身份为核心的新的安全边界，无需做过多的改造， 降低IT复杂度。

3.2.3精细灵活的安全管理

管理员可对用户访问进行精细化控制，包括URL过滤、带宽控制、DN S过滤， 优先保证组织内重要商务应用的访问，提升企业办公效率，并可视化所有网络流 量，提供各维度统计报表，帮助管理员更好地实施合规策略。

4经验总结

产品是基于零信任这个概念，是国内最近才火起来的，客户接受度不高，市 场缺乏教育，以产品方式去推动时，客户更多的是处于观望和了解状态。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿（无水印版）