EISS-2023 零信任在企业中的落地实践-魏克.pdf

1、零信任在企业中的落地实践老虎国际 魏克目录我们的安全需求010203零信任的特点实践落地路线04零信任运营效果合规带来的性能负担为满足合规和安全管理要求，我们的电脑安装有VPN、防病毒软件、DLP软件和桌面管理软件等，不仅增加了管理成本，也让我们的终端有很大的负担。桌面终端管理终端防病毒数据防泄漏远程访问管理合规跨境办公需求全球职场一致的体验快速灵活随时随地，快速灵活的访问内部业务系统。一致体验办公区的体验和非办公区体验达到同样标准。快、稳。保障安全替换VPN，实现入网后细粒度访问控制，降低终端失陷后横向移动风险。管理需求统一集中管理安全管理需求同一个控制台的管理需求BYOD的安全需求软件正版

2、化管理需求数据防泄漏需求人员安全管理访问控制管理需求目录我们的安全需求010203零信任的特点实践落地路线04零信任运营效果零信任的特点以身份为中心SSO/AD身份认证飞书身份认证从不信任，持续验证持续身份认证持续设备校验持续合规校验最小授权使用实时和恰好足够的访问权限、基于风险的自适应策略和数据保护，来限制用户访问。动态访问控制根据授权访问系统的：人、设备、环境和资源，访问信任关系源自于对所有参与对象和行为的动态验证。选择零信任方案零公网暴露面员工较好体验非侵入式网络架构从网络隔离到应用隔离场景即配置，简单易用持续安全度量全面的行为可视全面的数据可视切面业务解偶架构高SLA保障远程办公移动办

3、公本地办公三方员工减少暴露面远程访问加速灵活接入反向连接应用隐身最小化数据权限防止横向移动应用隔离最小权限隔离应用发现权限梳理动态策略持续校验内网行为可视数据防泄漏数据防护7层访问可视API敏感数据发现内网DLPIDC应用公共云应用私有云应用SaaS应用文案就近接入多节点容灾应用自动网络选路身份绑定动态认证目录我们的安全需求010203零信任的特点实践落地路线04零信任运营效果总体规划，分布实施明确需求和方案部署零信任网络域名和接口梳理权限和访问控制策略梳理建立终端安全合规策略稳妥的推广部署运营和告警处置明确需求和方案远程办公安全性差：原来使用VPN远程办公，多次受高危漏洞影响，VPN拨号入网

4、后访问控制粒度粗，终端失陷后横向移动风险高。跨境办公网络质量差：国内访问海外SaaS应用、海外访问国内办公应用网络质量差。原DLP无法统管国内和海外：原DLP产品部署在国内，不支持国内海外一网统管，无法满足海外办公人员数据防泄漏需求。原DLP使用体验差：原DLP产品客户端太重，导致终端使用过程中经常卡顿。违规软件管理成本高：缺乏自动检测、分析、管理终端软件的手段，违规软件管理成本高。混合云部署：敏感数据组件均在本地IDC和云环境下部署。零信任网络访问：替换VPN，收敛办公应用的互联网暴露面，实现精细化和动态的访问控制，保障内网应用访问的安全性。跨境加速：快速构建全球办公加速网络，优化跨境访问应

5、用的体验。扩展数据防泄漏（XDLP）：替换原DLP产品，构建全球化、全链路数据防泄漏能力。终端软件管理：通过软件检测和分析功能，帮助IT快速定位企业内违规软件的分布，针对性进行处理。需求列举解决方案部署零信任网络Internet Access Private Access 互联网访问内网访问公有云互联网/SaaSIDC总部员工客户端TLS反向隧道Connector移动、员工居家客户端海外分支员工客户端私有云ConnectorConnectorTLS反向隧道TLS反向隧道内网应用隐身安全网络融合网络就近接入单一化Agent场景一致的高安全水位统一管控的网络和安全策略良好的网络和终端用户体验海外网

6、关广州网关北京网关零信任网络域名、端口梳理业务应用内网正式运维应用运维公共运维部门应用研发应用研发公共研发部门应用测试应用公共测试业务测试梳理权限并建立访问控制和终端策略依据部门为主要维度，做应用访问权限的梳理，给部门适当授权。授权逻辑是一级部门相对宽松，三级部门相对严格。当遇到个人需求的时候，需要走工单申请，然后增加对应的访问授权。权限部门维度一级部门二级部门三级部门个人维度权限申请宽严禁止使用个人U盘启动周期性病毒检测设备属性标记（公司设备、个人设备）电脑磁盘加密检测屏幕保护检测弱口令检测盗版软件检测紧急高危漏