安全解讀 | 零信任身份治理保障遠(yuǎn)程辦公安全

往年此時，你一天的節(jié)奏應(yīng)該是這樣的：起床，坐車到公司，處理郵件，協(xié)調(diào)工作，不定時微信交流溝通，會議室開會，連線遠(yuǎn)程同事......再和同事約個午餐，和朋友下班小聚，忙中有序。

今年此時，我們的生活和工作被一場突如其來的疫情所打亂。為了確保員工安全，不給戰(zhàn)“疫”添亂，很多企業(yè)積極響應(yīng)國家和政府的號召，安排員工在家辦公。頓時，遠(yuǎn)程辦公成為新的生產(chǎn)力。視頻會議、文檔協(xié)同、遠(yuǎn)程接入等各種遠(yuǎn)程辦公工具成為“網(wǎng)紅”，為遠(yuǎn)程辦公提供效率和便捷性。這種“宅家”模式的遠(yuǎn)程辦公，會不會產(chǎn)生新的問題呢？

答案是肯定的。大量的遠(yuǎn)程辦公需求，對訪問安全、數(shù)據(jù)安全、終端安全、個人隱私保護等都帶來的挑戰(zhàn)。

從訪問安全的角度來看，遠(yuǎn)程辦公打破了傳統(tǒng)網(wǎng)絡(luò)安全的防護邊界，無邊界的業(yè)務(wù)訪問越來越多，企業(yè)經(jīng)營數(shù)據(jù)、辦公流程、網(wǎng)絡(luò)資源都面臨身份識別、認(rèn)證鑒權(quán)、合規(guī)審計各方面的安全風(fēng)險和隱患，需要實現(xiàn)高級別的安全可信。

由此，基于“零信任”架構(gòu)的安全機制和解決方案，將為企業(yè)的遠(yuǎn)程辦公加強防護，保護企業(yè)信息安全。

隨著遠(yuǎn)程辦公的開展，企業(yè)信息安全將面臨安全邊界的模糊化、訪問設(shè)備的可信度缺失、大量的第三方外部訪問、海量的運維量，而企業(yè)的基礎(chǔ)架構(gòu)卻無法瞬時改變，運維人員數(shù)量也無法馬上提升，現(xiàn)有的傳統(tǒng)安全架構(gòu)無法滿足當(dāng)下的業(yè)務(wù)及系統(tǒng)需求，基于“零信任”架構(gòu)的安全方案，能很好的滿足遠(yuǎn)程辦公對信息安全的需求。

什么是零信任安全？

零信任是一個安全概念，中心思想是企業(yè)不應(yīng)自動信任內(nèi)部或外部的任何人/事/物，應(yīng)在授權(quán)前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進行驗證。

“零信任”安全的本質(zhì)就是以身份為中心的訪問控制，擺脫原有企業(yè)以網(wǎng)絡(luò)為中心的安全防護體系，建立基于身份安全的企業(yè)身份邊界，并基于用戶-設(shè)備的認(rèn)證突破企業(yè)安全網(wǎng)絡(luò)邊界的限制，重建企業(yè)信息化信任體系。

基于“零信任”架構(gòu)的身份安全

企業(yè)在進行“零信任”架構(gòu)的建設(shè)時，身份安全則是其最核心的部分?；凇傲阈湃巍奔軜?gòu)的身份安全，能滿足以下遠(yuǎn)程辦公場景：

1. 企業(yè)移動平臺辦公：企業(yè)員工通過移動接入、遠(yuǎn)程接入應(yīng)用系統(tǒng)，確保訪問安全和應(yīng)用安全。

2. 企業(yè)遠(yuǎn)程管理應(yīng)用和服務(wù)：企業(yè)運維人員的賬號，通常屬于特權(quán)賬號，一旦泄露，信息安全風(fēng)險極大，企業(yè)需要加強對特權(quán)賬號遠(yuǎn)程訪問行為的管理，保障這些賬號的訪問安全和行為追溯。

3. 企業(yè)云平臺辦公：現(xiàn)在，基于SaaS平臺的應(yīng)用越來越多，為遠(yuǎn)程辦公帶來可極大的便捷性。同時，這些應(yīng)用都部署在外網(wǎng)上，部署一套基于IDaaS的云身份管理平臺，將成為保障SaaS登錄安全和應(yīng)用訪問安全的有效途徑。

企業(yè)移動平臺辦公的身份安全

在企業(yè)基于邊界網(wǎng)絡(luò)下，風(fēng)險還處在可控范圍，一旦企業(yè)應(yīng)用系統(tǒng)開放至互聯(lián)網(wǎng)，這些問題帶來的安全風(fēng)險將會以指數(shù)級增加。

派拉身份安全平臺可以從以下幾點為企業(yè)解決這些風(fēng)險：

1. 賬戶全生命周期自動管理：身份安全平臺圍繞企業(yè)用戶的人事管理場景，通過接口和人力系統(tǒng)、應(yīng)用系統(tǒng)實現(xiàn)對接，實現(xiàn)企業(yè)應(yīng)用系統(tǒng)用戶賬戶與人事管理場景自動同步，實現(xiàn)用戶賬戶全生命周期管理和應(yīng)用賬戶自動化管理，避免企業(yè)系統(tǒng)出現(xiàn)離職未禁用、使用完畢未回收的賬戶安全風(fēng)險。

2. 集中安全認(rèn)證：身份安全平臺為用戶訪問應(yīng)用提供統(tǒng)一入口，并提供多種高強度安全認(rèn)證手段、安全認(rèn)證協(xié)議保障認(rèn)證安全。同時，結(jié)合“大數(shù)據(jù)+AI”的方式構(gòu)建起“用戶-設(shè)備-認(rèn)證習(xí)慣”的認(rèn)證風(fēng)險體系，最大限度提升企業(yè)應(yīng)用系統(tǒng)訪問安全性。

3. 統(tǒng)一權(quán)限體系：身份安全平臺對企業(yè)信息系統(tǒng)進行統(tǒng)一授權(quán)，通過一體化授權(quán)給企業(yè)信息系統(tǒng)進行權(quán)限統(tǒng)一供給，構(gòu)建企業(yè)完善的權(quán)限體系。

4. 應(yīng)用安全防護：結(jié)合我司安全網(wǎng)關(guān)平臺，可以實現(xiàn)對企業(yè)所有應(yīng)用API接口進行安全防護，將來自外部不可信的訪問進行過濾為可信訪問，提升應(yīng)用服務(wù)安全性。

5. 可視化審計：身份安全平臺對賬戶管理的情況、認(rèn)證的情況、授權(quán)的情況、平臺工作的現(xiàn)狀、面臨的風(fēng)險進行記錄，并進行可視化分析，更好的控制企業(yè)身份安全的風(fēng)險，有效的幫助企業(yè)規(guī)避風(fēng)險。

在移動辦公的時候，企業(yè)運維人員也需要訪問我們的基礎(chǔ)設(shè)施進行日常運維， 而作為企業(yè)信息建設(shè)的基礎(chǔ)設(shè)施，一旦開放至互聯(lián)網(wǎng)，隨之而來的黑客攻擊、滲透攻擊等都將威脅到這些基礎(chǔ)設(shè)施，進而影響整個企業(yè)的信息系統(tǒng)穩(wěn)定性。

派拉特權(quán)賬號管理平臺，可以從以下幾點為企業(yè)解決這些風(fēng)險：

1. 運維人員管理：企業(yè)對于運維人員需要進行明確的職責(zé)和角色的劃分，并且通過特權(quán)賬號管理平臺可以對運維人員提供身份信息管理、身份信息同步，運維人員賬戶全生命周期管理。

2. 特權(quán)權(quán)限管理：特權(quán)賬號管理平臺可以對基礎(chǔ)設(shè)施、應(yīng)用的特權(quán)賬戶進行集中管理和訪問控制，基于運維人員的職責(zé)和角色進行基于角色的臨時授權(quán)，能夠?qū)崿F(xiàn)特權(quán)賬戶的申請、授權(quán)、改密等全場景。并支持對于運維過程中關(guān)鍵命令的集中控制，可以進行按需臨時授權(quán)，也可以進行二次驗證授權(quán)，最大限度保障特權(quán)使用安全。

3. 統(tǒng)一認(rèn)證管理：特權(quán)賬號管理平臺為運維人員運維提供統(tǒng)一入口，并提供多種高強度安全認(rèn)證手段、安全的認(rèn)證協(xié)議保障認(rèn)證安全，同時特權(quán)賬號管理平臺也支持基于策略的認(rèn)證管理，最大限度提升企業(yè)基礎(chǔ)設(shè)施、應(yīng)用運維安全性。

當(dāng)下，越來越多的企業(yè)選擇將應(yīng)用部署在云端，或者直接選擇SaaS應(yīng)用，比如我們常見騰訊企業(yè)郵件、釘釘、企業(yè)微信等等，我們?nèi)绾谓y(tǒng)一管理這些云端應(yīng)用賬號？如何實現(xiàn)單點登錄？如何解決云端數(shù)據(jù)與內(nèi)網(wǎng)數(shù)據(jù)的互聯(lián)互通？如何確保云端應(yīng)用接口的安全性？成為了很多企業(yè)在部署云端應(yīng)用的安全痛點。

派拉SSO360云身份管理平臺可以從以下幾點為企業(yè)解決這些問題：