亿格云：数字企业的零信任SASE落地最佳实践（22页）.pdf

1、数字企业业务安全现状分析数字企业业务安全现状分析总结面临的三大安全挑战数据泄露数据泄露难管控难管控数据风险不可知、不可控防护见效慢，缺少合规实践混合办公混合办公安全防护难安全防护难远程接入，安全隐患大安全覆盖成本高，体验差逐渐消失的逐渐消失的企业安全边界企业安全边界多方协作、外包、客服多云、多分支、多元设备121212任何位置任何设备任何人员总部分支SOHO差旅公司设备BYOD外包员工公司员工生态伙伴公共云SAAS应用互联网IDC数字化企业的办公现状传统安全模型的困境传统安全体系面临困境10+碎片化产品硬件难扩展数据割裂过去的安全防护与运营体系已无法满足数字企业的需求过去的安全防护与运营体系已

2、无法满足数字企业的需求挑战一：逐渐消失的企业安全边界挑战一：逐渐消失的企业安全边界数据和业务只在本地固定的公司办公地业务很少对外开放内外网严格隔离，边界清晰明确多多云战略：云战略：数据和业务同时在本地或云端、甚至多云场景移动办公、多分支成常态：移动办公、多分支成常态：多分支办公、移动办公等数字化转型：数字化转型：多方协同、互联网、SaaS业务快速接入等边界模糊化：边界模糊化：内部终端能同时访问互联网和业务系统网络边界过去现在Internet总部总部企业员工生态伙伴分支，移动SaaS互联网公共云私有云PaaS最佳实践最佳实践-重构数字企业安全边界重构数字企业安全边界以网络边界为中心以网络边界为中

3、心以身份为中心以身份为中心将安全边界从“网络”升级到每一个人和终端，建立端到端的安全边界姓名：李X婷角色：研发主管设备：MacOs11.xHighMediumLow健康状态：高风险客户端：存在勒索病毒禁止访问并强制隔离恶意软件所在位置：中国深圳最后登录时间：15:10，深圳本次登录位置：新加坡合规风险：低访问时间：14：21网络环境：非公司网络部门：深圳研发一部最佳实践：仅可信员工最佳实践：仅可信员工/可信终端才能访问内网可信终端才能访问内网所属权：公司电脑最佳实践最佳实践-基于威胁分析的零信任动态访问控制策略基于威胁分析的零信任动态访问控制策略基于多元访问条件的访问控制机制动态的安全防护机制

4、企业门户客户端常用登录地公司可信网络AndroidiOSMacOSWindows多源身份认证多因子认证自定义身份身份安全设备安全物理或虚拟网络环境安全访问方式安全运行/禁止访问限制访问二次认证禁止下载权限自动化吊销/降级公有云私有云IDC机器学习机器学习分析分析策略中心策略中心实时的安全防护实时的安全防护零信任策略零信任策略持续动态风险评持续动态风险评估估可信身份可信身份可信设备可信设备可信环境可信环境可信方式可信方式企业分支 终端离开公司离开公司内网，没有网络安全的覆盖，容易被入侵，并且数据泄露风险加剧 终端众多众多AgentAgent，影响用户体验挑战二：混合办公挑战二：混合办公/远程办公

5、互联网安全防护远程办公互联网安全防护企业总部物理边界DMZMPLS专线多个终端多个终端AgentAgent，多个硬件设备部署在，多个硬件设备部署在DMZDMZ防入侵检测DNS 安全上网行为管理数据防泄漏DLP终端安全终端DLP防病毒桌面管理居家办公移动办公最佳实践最佳实践-访问互联网场景的访问互联网场景的统一统一安全管理实践安全管理实践企业分支单一agent，覆盖终端桌面管理，防病毒和终端DLP，并牵引流量到云上DMZ，进行安全防护覆盖终端离开公司内网，没有网络安全的覆盖，容易被入侵，并且数据泄露风险增加终端众多agent，影响用户体验企业总部物理边界DMZMPLS专线多个终端Agent，多个

6、硬件设备部署在DMZ防入侵检测DNS 安全上网行为管理数据防泄漏DLP终端安全终端DLP防病毒桌面管理居家办公移动办公企业安全网络节点软件定义DMZ上云1个终端Agent，无需硬件部署防入侵检测DNS 安全上网行为管理数据防泄漏DLP终端DLP防病毒桌面管理挑战二：混合办公挑战二：混合办公/远程办公内网安全防护远程办公内网安全防护VPNDATACENTER/HQCloud 1、远程运维如何安全接入？5、访问设备可信吗？4、如何实现访问行为可视化？3、如何收敛暴露在互联网上的应用？2、VPN漏洞如何防护？VPNVPNVPN基于账户密码的安全隐患如何规避？500+已知漏洞和未知漏洞如何防护？VPN