- 解决方案 - 任子行-网络空间数据治理专家


传统VPN在远程办公中面临的挑战

VPN作为一种网络产品诞生于90年代,但近30年来技术的本质没有发生大的变化。而随着移动互联网时代、云时代的到来,企业网络边界变得越来越模糊,业务场景变得越来越复杂,安全问题越来越严峻,传统的VPN技术越来越难以帮助企业过渡到网络新时代。具体而言,传统VPN技术在当代远程办公场景下面临如下挑战:

● 安全性差:

VPN作为一种网络接入产品天生缺乏安全基因,用户的证书/密码一旦被盗,就意味着企业整个内网都面临被黑客入侵的风险,攻击者会通过VPN在企业网络里攻击核心资产,盗窃数据等。

● 管理难度大

VPN不能对接入终端的安全性进行检查,只能记录用户的登录/登出日志,无法对用户的具体访问行为进行细粒度的跟踪和分析,使管理上存在很大的盲点。

● 用户体验差

用户访问内网应用时,需要打开VPN。因为地址路由等问题,访问外网网站时又需要关闭VPN,来回的开关切换让用户烦不胜烦,加上VPN线路的稳定性差、时延大等问题,给用户带来很差的使用体验。

● 配置复杂

VPN需要基于IP配置安全策略,通常需要配置几百条策略才能形成有效的安全防护,配置繁琐复杂,而且策略是静态的,灵活性差。

 解决从这里开始,任子行安全远程办公解决方案

基于零信任的安全远程办公解决方案(ZTrust-based Secure Telecommuting Solution)

任子行安全远程办公解决方案是一款基于零信任安全理念和软件定义边界(SDP)技术模型的自主研发的业务系统。系统由企业专属安全浏览器、零信任安全网关、综合安全管控平台三大产品组成。

企业专属安全浏览器

在用户终端建立统一的办公入口,进行多因子身份验证、设备验证、数据安全防护(数字水印、防打印、防复制、防下载等);个性化Portal页面作为远程办公工作台,可以满足各类用户Web业务访问(OA、CRM等)、远程研发(通过浏览器远程桌面访问公司内网主机)、远程运维(通过浏览器SSH工具访问公司内网设备)等多种需求。

零信任安全网关

具备将企业内网应用隐身功能,只有安全浏览器才能与零信任网关建立加密连接,非授权的用户、应用均无法连接零信任网关。此外,基于按需授权、最小访问权限原则,零信任网关对用户的访问进行严格的控制,在满足办公业务正常开展的前提下,将企业内网应用暴露的攻击面降到最低。

综合安全管控平台

是系统的安全大脑对安全浏览器的用户和设备进行全方位认证,可方便对接企业已有的身份管理系统;可为不同用户配置不同的安全策略,并且基于零信任模型对用户的访问风险进行实时评估,动态调整其安全策略;此外,管控平台还通过AI技术对浏览器、安全网关上报的各类行为审计日志进行大数据智能分析,帮助用户进行全局的办公安全态势感知,及时发现用户的异常登录和异常访问行为。

综上所述,与传统VPN相比,基于零信任的安全远程办公解决方案可以完全满足企业用户在云和移动时代所需要的更安全、更高效的办公需求,为用户提供极致体验。

 VPN在现代远程办公中面临的挑战
下载产品手册

方案的六大优势Six advantages of the scheme

任子行安全远程办公解决方案是为企业远程接入,身份认证,访问防控,信任评估,应用防护,应急响应,安全运维的综合安全防护解决方案,在不改变企业原有的网络架构下能够轻松应对差旅办公、家庭办公、协同开发,运维外包等各类应用场景的安全问题。解决方案集成了企业专属安全浏览器、零信任安全网关、综合安全管控平台,从云、管、端形成三维一体的零信任安全体系。

  • 企业应用隐身

     企业内网应用隐匿于零信任安全网关之后,非授权的用户、设备、工具均无法连接零信任安全网关,可实现最细粒度的应用隔离。

    详细介绍
  • 综合安全防护

     对企业的业务系统在“云、管、端”三方面进行立体式防护。端:安全浏览器进行多因子认证;管:安全网关过滤攻击URL; 云:基于大数据分析的办公安全态势感知。

    详细介绍
  • 极致用户体验

     访问速度远超VPN● 浏览器Chrome+IE双核支持,无缝切换●一站式个性化工作台方便用户使用●满足所有远程办公需求

    详细介绍
  • 简单灵活部署

     综合管控平台可以SaaS形式提供,申请企业账号即可使用;安全网关提供纯软虚拟机镜像和硬件设备;安全浏览器支持多种操作系统。全套系统支持私有化部署。

    详细介绍
  • 动态按需授权

     系统基于零信安全理念先认证再接入网络,根据最小权限原则,接入用户只能看见允许其访问的业务系统;信用模型对用户的访问风险进行实时评估,动态调整其安全策略

    详细介绍
  • 高效智能运维

     支持多个安全网关接入,用户负载均衡,网关互为备份。感知中心实时显示用户活跃情况和业务系统使用情况,第一时间发现故障,降低运维压力和风险。

    详细介绍
 


企业应用隐身

零信任安全网关具备将企业内网应用隐身功能,只有安全浏览器才能与零信任网关建立加密连接,非授权的用户、工具均无法连接零信任网关。此外,核心应用可以配置为只接受来自零信任安全网关的连接,这样即使在同一网络内的非授权用户也无法扫描到核心应用,从而实现了最细粒度的应用隔离。


综合安全防护

方案对企业业务系统的防护是“云、管、端”立体式,全方位的。在接入终端上,安全浏览器可对用户身份进行多因子认证(账号/密码,手机短信、人脸识别等)。还可以对接入设备进行特征认证,只允许系统中配置的指定设备连接零信任安全网关。在零信任网关接入侧,网关可以对用户访问URL实时检查过滤,防止黑客利用安全浏览器对企业应用进行SQL注入、cookie劫持等Web攻击。在综合管控平台上,态势感知中心通过AI和大数据技术对安全浏览器、安全网关上报的各类行为审计日志进行智能分析,帮助用户进行全局的办公安全态势感知;此外,平台基于UEBA分析模型建立用户行为画像,及时发现用户的异常登录和异常访问等行为。此外,平台还可以将用户的细粒度访问日志可输出给SIEM等安全设备分析,通过可信API可接受其它安全设备的访问控制指令,从而帮助用户建立统一的安全防护体系。


极致用户体验

● 访问速度快

安全浏览器与零信任安全网关之间的通信采用加密压缩技术,在保证安全的前提下极大提升了通信效率,访问速度远超VPN。

● Chrome + IE双核支持

支持Chrome+IE双内核,可以配置浏览器模式/文档模式,最小粒度为URL,可以自动检测网页所需的内核,无缝切换,完美解决业务系统兼容性问题。

● 一站式个性化工作台

个性化Portal页面作为远程办公工作台,可以满足各类用户Web业务访问(OA、CRM等)、远程研发(通过浏览器远程桌面访问公司内网主机)、远程运维(通过浏览器SSH工具访问公司内网设备)等多种需求。

● 使用方便

安全浏览器可以随时无缝访问内外网,根本体验不到内网、外网有什么区别,不必像VPN那样来回切换,大大提高工作效率。 系统支持SSO单点登录,让用户不必切换账号,直接无缝访问多个环境的应用。


简单灵活部署

综合管控平台提供SaaS服务,用户可以开通企业账号使用,在云平台上直接进行用户账号导入和安全策略配置,对安全浏览器和安全网关进行管理。此外,管控平台也支持本地私有化部署,可对接企业内已有的认证系统。

零信任安全网关提供纯软虚拟机镜像和硬件设备,满足不同的客户场景需求,可根据企业员工数量灵活选择不同的型号配置。安全网关为傻瓜化配置,在网关上只需要配置管理平台地址,其它的安全管控策略均可在管控平台配置并自动同步。

安全浏览器可为企业用户定制专属名称和Logo,支持自动更新,浏览器已通过360卫士安全检测,过白,支持Windows、Mac、Android和IOS等主流操作系统。


动态按需授权

方案基于零信任安全理念,不自动信任网络的安全性,先任何访问用户身份及其设备都先进行认证后再接入,对于接入的授权用户,根据最小权限原则只允许用户访问其允许访问的业务系统。例如,只允许财务部的员工访问财务系统,不允许访问CRM系统。从而避免了用户被过度授权,大大减少攻击面,也降低了员工泄密的可能。除了应用的维度之外,还可以对用户的访问设备、访问位置、访问时间等维度进行安全限制。系统可为不同用户配置不同的安全策略,并且基于来自终端环境、身份信息、审计日志等多源数据建立用户的信任模型,对用户的访问风险进行实时评估,根据结果动态调整其安全策略。


高效智能运维

系统具备高可靠性,支持多个安全网关同时接入服务,可按区域对用户接入进行负载均衡。同时安全网关之间可以互为备份,当一个网关出现问题时,安全浏览器可以自动切换到另一个网关,保证用户访问的连续性。

管控平台感知中心统计并展示实时活跃用户、系统激活用户及设备数量、当前在线用户数、用户访问次数以及拦截访问次数,协助运维人员快速了解员工访问情况。智能报表通过对每日、每周或每月数据对比,展示每日访问量变化最大的应用系统和活跃度变化最大的用户,以此帮助企业了解业务应用系统访问压力变化,急时发现业务应用异常,急时根据实际情况调节业务系统性能。

管控平台对所有注册浏览器进行统一管控、自动安全检查、统一插件下发,设备状态实时监控可在第一时间发现安全浏览器或安全网关故障并向运维人员报警,从而降低运维压力及风险。

应用案例The application case

案例背景痛点需求方案部署方案效果

被誉为“网络空间数据治理专家”的任子行作为一家典型的科技型企业,在全国拥有30多个分支机构,1000余名员工,大部分员工都是采用VPN远程访问企业内部资源,疫情期间传统VPN的各种问题对企业的安全管理提出了严峻挑战,企业急需一套更安全便捷的远程办公解决方案。

与谷歌BeyondCorp采用类似的方法,任子行在公司内部率先应用实践自己研发的基于零信任的安全远程办公解决方案。通过方案的实施,任子行实现了员工的统一快捷办公和企业的统一安全管控,将员工的办公体验、办公效率和企业的安全管理提升到了新的高度。


“我们仅用了三天的时间就在全公司范围内部署了零信任安全远程办公解决方案,来替代传统的VPN。实际使用效果看,产品不仅有效的解决了VPN的安全盲点问题,还通过细粒度的日志分析功能,对公司的办公态势有全面的掌握,提高了员工的工作效率”

——信息部主管

任子行庞大的研发团队遍布多地(深圳总部、北京、武汉、成都),销售团队更是遍布全国,企业办公方式为内网办公和VPN远程访问,这种方式主要存在以下3点问题:

  • 01
    安全隐患

    员工的账号/密码有失窃的风险,或者某些员工使用弱口令密码,一旦员工密码泄露,整个公司内网的防护将荡然无存,黑客可以轻易的攻击核心资产,窃取企业数据。而且,由于VPN系统有价值的审计日志很少,对于攻击往往极难发现和追踪。

  • 02
    员工体验差

    高端的VPN产品价格昂贵,低端的VPN产品由极易受网络影响,掉线频繁,员工抱怨很多,但信息部排查解决问题困难。

  • 03
    难管理

    在VPN之上,企业员工办公使用的浏览器五花八门,虽用起来简单,但企业难以统一管控。员工对插件安装权限的完全自主和对公司内部文件复制、粘贴、下载等行为的完全开放会给企业网络安全、IT资产安全和企业机密安全造成很大风险。

因此,如何建立一种既让员工快捷高效办公、又让企业统一安全管理的办公模式是任子行迫在眉睫的需求。

我们在深圳办公区和武汉办公区的网络出口处分别采用单臂模式部署了两台任子行零信任网关,综合管控平台采用云服务模式,企业员工根据所使用操作系统自行下载不同版本的安全浏览器。

员工通过安全浏览器进行身份认证,采用“就近”原则接入对应的零信任网关;在管控平台上,可以以策略为核心对员工的远程访问进行按需授权,配置灵活方便,不同部门的员工授予不同的范围策略,例如,财务部员工只允许访问财务系统,销售部门员工只允许访问CRM系统,研发部门只允许访问git, svn等系统。

同一部门的员工可批量使用相同的策略,也可以为每个员工制订个性化策略。对于高级管理人员的高权限账号,可绑定其使用的设备。实践证明,即使某个员工的账号被滥用,影响也只在该员工赋予的访问权限只能,攻击者无法横向移动,扩大攻击范围。此外,不同的零信任安全网关互为备份,某个设备出现异常时,员工的访问自动切换使用备用线路,更加保障了企业办公质量,接到的员工访问投诉大大减少。

员工使用体验

无论员工上班、出差还是居家,都能够直接通过浏览器访问企业办公内网。登陆浏览器,进入个人办公主页,企业和员工都可以根据需求定制个性化portal页面。在个性化的portal主页,员工可以快捷访问常用的办公系统。除了通用的办公系统外,研发人员可以远程访问个人主机进行远程研发,运维人员可以远程访问服务器、主机等进行远程运维。任子行安全浏览器“零”学习成本,让员工轻松上手,且通过智能专业的兼容技术和特有的隧道加密技术让员工的办公体验极致流畅。

管理员体验

信息部管理人员通过管控平台接入原来身份管理系统数据,按需动态授权,以粒度化的最小访问权限原则控制用户授权。用户权限的粒度化控制,更高效地保护了企业内网安全。

企业管理员在管控平台通过策略引擎对员工进行粒度化到个人的安全策略配置,基于信任模型对员工的访问风险进行实时动态地评估,系统即时预警和处置高风险行为。同时,通过UEBA技术对员工、浏览器、网关设备、内网资源等进行大数据智能分析,并大屏展示企业办公安全态势,企业管理者和IT管理员可以清晰地掌握企业办公安全动态。管控平台让企业安全管理上升到了一个新的层面。

百企万人推广计划介绍Introduction of one million enterprise promotion plan

当前国内疫情防控形势持续向好,企业纷纷进入复工复产状态,远程办公成为工作的主要形式之一。但全球新冠肺炎形势严峻,确诊逼近200万例,在战局扭转之际,境外输入成为战“疫”新挑战,2020年的抗击疫情或将进入持久战。疫情之下的远程办公持续升温,如何保障企业不同组织能在不直接接触的情况下正常办公需求的同时,又能提高其办公系统的安全防护能力,维护企业网络安全,成为当下的痛点。基于此,任子行推出“百企万人”计划,用半年时间,遴选支持100家企业,依托企业产品研发中心、实验室等平台,聚焦为100 家企业用新技术打造更加安全、快捷的远程办公环境,零费用、易部署、终身免费技术支持。

活动规则Activity rules

如有疑问,请联系在线客服或拨打400 700 1218(全天候24小时)

● 本次百企万人终身免费活动的最终解释权在法律允许范围内归任子行所有

多重优惠Multiple preferential

立即加入