?

傳統VPN在遠程辦公中面臨的挑戰

VPN作為一種網絡產品誕生于90年代,但近30年來技術的本質沒有發生大的變化。而隨著移動互聯網時代、云時代的到來,企業網絡邊界變得越來越模糊,業務場景變得越來越復雜,安全問題越來越嚴峻,傳統的VPN技術越來越難以幫助企業過渡到網絡新時代。具體而言,傳統VPN技術在當代遠程辦公場景下面臨如下挑戰:

● 安全性差:

VPN作為一種網絡接入產品天生缺乏安全基因,用戶的證書/密碼一旦被盜,就意味著企業整個內網都面臨被黑客入侵的風險,攻擊者會通過VPN在企業網絡里攻擊核心資產,盜竊數據等。

● 管理難度大

VPN不能對接入終端的安全性進行檢查,只能記錄用戶的登錄/登出日志,無法對用戶的具體訪問行為進行細粒度的跟蹤和分析,使管理上存在很大的盲點。

● 用戶體驗差

用戶訪問內網應用時,需要打開VPN。因為地址路由等問題,訪問外網網站時又需要關閉VPN,來回的開關切換讓用戶煩不勝煩,加上VPN線路的穩定性差、時延大等問題,給用戶帶來很差的使用體驗。

● 配置復雜

VPN需要基于IP配置安全策略,通常需要配置幾百條策略才能形成有效的安全防護,配置繁瑣復雜,而且策略是靜態的,靈活性差。

 解決從這里開始,任子行安全遠程辦公解決方案

基于零信任的安全遠程辦公解決方案(ZTrust-based Secure Telecommuting Solution)

任子行安全遠程辦公解決方案是一款基于零信任安全理念和軟件定義邊界(SDP)技術模型的自主研發的業務系統。系統由企業專屬安全瀏覽器、零信任安全網關、綜合安全管控平臺三大產品組成。

企業專屬安全瀏覽器

在用戶終端建立統一的辦公入口,進行多因子身份驗證、設備驗證、數據安全防護(數字水印、防打印、防復制、防下載等);個性化Portal頁面作為遠程辦公工作臺,可以滿足各類用戶Web業務訪問(OA、CRM等)、遠程研發(通過瀏覽器遠程桌面訪問公司內網主機)、遠程運維(通過瀏覽器SSH工具訪問公司內網設備)等多種需求。

零信任安全網關

具備將企業內網應用隱身功能,只有安全瀏覽器才能與零信任網關建立加密連接,非授權的用戶、應用均無法連接零信任網關。此外,基于按需授權、最小訪問權限原則,零信任網關對用戶的訪問進行嚴格的控制,在滿足辦公業務正常開展的前提下,將企業內網應用暴露的攻擊面降到最低。

綜合安全管控平臺

是系統的安全大腦對安全瀏覽器的用戶和設備進行全方位認證,可方便對接企業已有的身份管理系統;可為不同用戶配置不同的安全策略,并且基于零信任模型對用戶的訪問風險進行實時評估,動態調整其安全策略;此外,管控平臺還通過AI技術對瀏覽器、安全網關上報的各類行為審計日志進行大數據智能分析,幫助用戶進行全局的辦公安全態勢感知,及時發現用戶的異常登錄和異常訪問行為。

綜上所述,與傳統VPN相比,基于零信任的安全遠程辦公解決方案可以完全滿足企業用戶在云和移動時代所需要的更安全、更高效的辦公需求,為用戶提供極致體驗。

 VPN在現代遠程辦公中面臨的挑戰
下載產品手冊

方案的六大優勢Six advantages of the scheme

任子行安全遠程辦公解決方案是為企業遠程接入,身份認證,訪問防控,信任評估,應用防護,應急響應,安全運維的綜合安全防護解決方案,在不改變企業原有的網絡架構下能夠輕松應對差旅辦公、家庭辦公、協同開發,運維外包等各類應用場景的安全問題.解決方案集成了企業專屬安全瀏覽器、零信任安全網關、綜合安全管控平臺,從云、管、端形成三維一體的零信任安全體系。

  • 企業應用隱身

     企業內網應用隱匿于零信任安全網關之后,非授權的用戶、設備、工具均無法連接零信任安全網關,可實現最細粒度的應用隔離。

    詳細介紹
  • 綜合安全防護

     對企業的業務系統在“云、管、端”三方面進行立體式防護。端:安全瀏覽器進行多因子認證;管:安全網關過濾攻擊URL; 云:基于大數據分析的辦公安全態勢感知。

    詳細介紹
  • 極致用戶體驗

     訪問速度遠超VPN● 瀏覽器Chrome+IE雙核支持,無縫切換●一站式個性化工作臺方便用戶使用●滿足所有遠程辦公需求

    詳細介紹
  • 簡單靈活部署

     綜合管控平臺可以SaaS形式提供,申請企業賬號即可使用;安全網關提供純軟虛擬機鏡像和硬件設備;安全瀏覽器支持多種操作系統。全套系統支持私有化部署。

    詳細介紹
  • 動態按需授權

     系統基于零信安全理念先認證再接入網絡,根據最小權限原則,接入用戶只能看見允許其訪問的業務系統;信用模型對用戶的訪問風險進行實時評估,動態調整其安全策略

    詳細介紹
  • 高效智能運維

     支持多個安全網關接入,用戶負載均衡,網關互為備份。感知中心實時顯示用戶活躍情況和業務系統使用情況,第一時間發現故障,降低運維壓力和風險。

    詳細介紹
 


企業應用隱身

零信任安全網關具備將企業內網應用隱身功能,只有安全瀏覽器才能與零信任網關建立加密連接,非授權的用戶、工具均無法連接零信任網關。此外,核心應用可以配置為只接受來自零信任安全網關的連接,這樣即使在同一網絡內的非授權用戶也無法掃描到核心應用,從而實現了最細粒度的應用隔離。


綜合安全防護

方案對企業業務系統的防護是“云、管、端”立體式,全方位的。在接入終端上,安全瀏覽器可對用戶身份進行多因子認證(賬號/密碼,手機短信、人臉識別等)。還可以對接入設備進行特征認證,只允許系統中配置的指定設備連接零信任安全網關。在零信任網關接入側,網關可以對用戶訪問URL實時檢查過濾,防止黑客利用安全瀏覽器對企業應用進行SQL注入、cookie劫持等Web攻擊。在綜合管控平臺上,態勢感知中心通過AI和大數據技術對安全瀏覽器、安全網關上報的各類行為審計日志進行智能分析,幫助用戶進行全局的辦公安全態勢感知;此外,平臺基于UEBA分析模型建立用戶行為畫像,及時發現用戶的異常登錄和異常訪問等行為。此外,平臺還可以將用戶的細粒度訪問日志可輸出給SIEM等安全設備分析,通過可信API可接受其它安全設備的訪問控制指令,從而幫助用戶建立統一的安全防護體系。


極致用戶體驗

● 訪問速度快

安全瀏覽器與零信任安全網關之間的通信采用加密壓縮技術,在保證安全的前提下極大提升了通信效率,訪問速度遠超VPN。

● Chrome + IE雙核支持

支持Chrome+IE雙內核,可以配置瀏覽器模式/文檔模式,最小粒度為URL,可以自動檢測網頁所需的內核,無縫切換,完美解決業務系統兼容性問題。

● 一站式個性化工作臺

個性化Portal頁面作為遠程辦公工作臺,可以滿足各類用戶Web業務訪問(OA、CRM等)、遠程研發(通過瀏覽器遠程桌面訪問公司內網主機)、遠程運維(通過瀏覽器SSH工具訪問公司內網設備)等多種需求。

● 使用方便

安全瀏覽器可以隨時無縫訪問內外網,根本體驗不到內網、外網有什么區別,不必像VPN那樣來回切換,大大提高工作效率。 系統支持SSO單點登錄,讓用戶不必切換賬號,直接無縫訪問多個環境的應用。


簡單靈活部署

綜合管控平臺提供SaaS服務,用戶可以開通企業賬號使用,在云平臺上直接進行用戶賬號導入和安全策略配置,對安全瀏覽器和安全網關進行管理。此外,管控平臺也支持本地私有化部署,可對接企業內已有的認證系統。

零信任安全網關提供純軟虛擬機鏡像和硬件設備,滿足不同的客戶場景需求,可根據企業員工數量靈活選擇不同的型號配置。安全網關為傻瓜化配置,在網關上只需要配置管理平臺地址,其它的安全管控策略均可在管控平臺配置并自動同步。

安全瀏覽器可為企業用戶定制專屬名稱和Logo,支持自動更新,瀏覽器已通過360衛士安全檢測,過白,支持Windows、Mac、Android和IOS等主流操作系統。


動態按需授權

方案基于零信任安全理念,不自動信任網絡的安全性,先任何訪問用戶身份及其設備都先進行認證后再接入,對于接入的授權用戶,根據最小權限原則只允許用戶訪問其允許訪問的業務系統。例如,只允許財務部的員工訪問財務系統,不允許訪問CRM系統。從而避免了用戶被過度授權,大大減少攻擊面,也降低了員工泄密的可能。除了應用的維度之外,還可以對用戶的訪問設備、訪問位置、訪問時間等維度進行安全限制。系統可為不同用戶配置不同的安全策略,并且基于來自終端環境、身份信息、審計日志等多源數據建立用戶的信任模型,對用戶的訪問風險進行實時評估,根據結果動態調整其安全策略。


高效智能運維

系統具備高可靠性,支持多個安全網關同時接入服務,可按區域對用戶接入進行負載均衡。同時安全網關之間可以互為備份,當一個網關出現問題時,安全瀏覽器可以自動切換到另一個網關,保證用戶訪問的連續性。

管控平臺感知中心統計并展示實時活躍用戶、系統激活用戶及設備數量、當前在線用戶數、用戶訪問次數以及攔截訪問次數,協助運維人員快速了解員工訪問情況。智能報表通過對每日、每周或每月數據對比,展示每日訪問量變化最大的應用系統和活躍度變化最大的用戶,以此幫助企業了解業務應用系統訪問壓力變化,急時發現業務應用異常,急時根據實際情況調節業務系統性能。

管控平臺對所有注冊瀏覽器進行統一管控、自動安全檢查、統一插件下發,設備狀態實時監控可在第一時間發現安全瀏覽器或安全網關故障并向運維人員報警,從而降低運維壓力及風險。

應用案例The application case

案例背景痛點需求方案部署方案效果

被譽為“網絡空間數據治理專家”的任子行作為一家典型的科技型企業,在全國擁有30多個分支機構,1000余名員工,大部分員工都是采用VPN遠程訪問企業內部資源,疫情期間傳統VPN的各種問題對企業的安全管理提出了嚴峻挑戰,企業急需一套更安全便捷的遠程辦公解決方案。

與谷歌BeyondCorp采用類似的方法,任子行在公司內部率先應用實踐自己研發的基于零信任的安全遠程辦公解決方案。通過方案的實施,任子行實現了員工的統一快捷辦公和企業的統一安全管控,將員工的辦公體驗、辦公效率和企業的安全管理提升到了新的高度。


“我們僅用了三天的時間就在全公司范圍內部署了零信任安全遠程辦公解決方案,來替代傳統的VPN。實際使用效果看,產品不僅有效的解決了VPN的安全盲點問題,還通過細粒度的日志分析功能,對公司的辦公態勢有全面的掌握,提高了員工的工作效率”

——信息部主管

任子行龐大的研發團隊遍布多地(深圳總部、北京、武漢、成都),銷售團隊更是遍布全國,企業辦公方式為內網辦公和VPN遠程訪問,這種方式主要存在以下3點問題:

  • 01
    安全隱患

    員工的賬號/密碼有失竊的風險,或者某些員工使用弱口令密碼,一旦員工密碼泄露,整個公司內網的防護將蕩然無存,黑客可以輕易的攻擊核心資產,竊取企業數據。而且,由于VPN系統有價值的審計日志很少,對于攻擊往往極難發現和追蹤。

  • 02
    員工體驗差

    高端的VPN產品價格昂貴,低端的VPN產品由極易受網絡影響,掉線頻繁,員工抱怨很多,但信息部排查解決問題困難。

  • 03
    難管理

    在VPN之上,企業員工辦公使用的瀏覽器五花八門,雖用起來簡單,但企業難以統一管控。員工對插件安裝權限的完全自主和對公司內部文件復制、粘貼、下載等行為的完全開放會給企業網絡安全、IT資產安全和企業機密安全造成很大風險。

因此,如何建立一種既讓員工快捷高效辦公、又讓企業統一安全管理的辦公模式是任子行迫在眉睫的需求。

我們在深圳辦公區和武漢辦公區的網絡出口處分別采用單臂模式部署了兩臺任子行零信任網關,綜合管控平臺采用云服務模式,企業員工根據所使用操作系統自行下載不同版本的安全瀏覽器。

員工通過安全瀏覽器進行身份認證,采用“就近”原則接入對應的零信任網關;在管控平臺上,可以以策略為核心對員工的遠程訪問進行按需授權,配置靈活方便,不同部門的員工授予不同的范圍策略,例如,財務部員工只允許訪問財務系統,銷售部門員工只允許訪問CRM系統,研發部門只允許訪問git, svn等系統。

同一部門的員工可批量使用相同的策略,也可以為每個員工制訂個性化策略。對于高級管理人員的高權限賬號,可綁定其使用的設備。實踐證明,即使某個員工的賬號被濫用,影響也只在該員工賦予的訪問權限只能,攻擊者無法橫向移動,擴大攻擊范圍。此外,不同的零信任安全網關互為備份,某個設備出現異常時,員工的訪問自動切換使用備用線路,更加保障了企業辦公質量,接到的員工訪問投訴大大減少。

員工使用體驗

無論員工上班、出差還是居家,都能夠直接通過瀏覽器訪問企業辦公內網。登陸瀏覽器,進入個人辦公主頁,企業和員工都可以根據需求定制個性化portal頁面。在個性化的portal主頁,員工可以快捷訪問常用的辦公系統。除了通用的辦公系統外,研發人員可以遠程訪問個人主機進行遠程研發,運維人員可以遠程訪問服務器、主機等進行遠程運維。任子行安全瀏覽器“零”學習成本,讓員工輕松上手,且通過智能專業的兼容技術和特有的隧道加密技術讓員工的辦公體驗極致流暢。

管理員體驗

信息部管理人員通過管控平臺接入原來身份管理系統數據,按需動態授權,以粒度化的最小訪問權限原則控制用戶授權。用戶權限的粒度化控制,更高效地保護了企業內網安全。

企業管理員在管控平臺通過策略引擎對員工進行粒度化到個人的安全策略配置,基于信任模型對員工的訪問風險進行實時動態地評估,系統即時預警和處置高風險行為。同時,通過UEBA技術對員工、瀏覽器、網關設備、內網資源等進行大數據智能分析,并大屏展示企業辦公安全態勢,企業管理者和IT管理員可以清晰地掌握企業辦公安全動態。管控平臺讓企業安全管理上升到了一個新的層面。

百企萬人推廣計劃介紹Introduction of one million enterprise promotion plan

當前國內疫情防控形勢持續向好,企業紛紛進入復工復產狀態,遠程辦公成為工作的主要形式之一。但全球新冠肺炎形勢嚴峻,確診逼近200萬例,在戰局扭轉之際,境外輸入成為戰“疫”新挑戰,2020年的抗擊疫情或將進入持久戰。疫情之下的遠程辦公持續升溫,如何保障企業不同組織能在不直接接觸的情況下正常辦公需求的同時,又能提高其辦公系統的安全防護能力,維護企業網絡安全,成為當下的痛點?;诖?,任子行推出“百企萬人”計劃,用半年時間,遴選支持100家企業,依托企業產品研發中心、實驗室等平臺,聚焦為100 家企業用新技術打造更加安全、快捷的遠程辦公環境,零費用、易部署、終身免費技術支持。

活動規則Activity rules

如有疑問,請聯系在線客服或撥打400 700 1218(全天候24小時)

● 本次百企萬人終身免費活動的最終解釋權在法律允許范圍內歸任子行所有

多重優惠Multiple preferential

立即加入