基于零信任的安全远程办公解决方案(ZeroTrust Based Remote Working Security)

RWS(Remote Working Security)是任子行基于业界最新的“零信任安全”和“软件定义边界”理念自主研发的、安全远程办公产品套件,包括企业专用安全浏览器、零信任安全网关、企业安全远程办公管控平台三个产品组成。

RWS套件的研制就是为了解决传统的、以VPN技术为核心的远程办公方案所不可克服的三大安全问题:

     ● VPN成为攻击者绕过企业边界防护措施的后门;

     ● VPN无法对用户在内网的访问权限做精确管控;

     ● VPN无法对用户在内网的操作做精细监控与审计。

保障远程办公安全的产品“三剑客”

● 企业专用安全浏览器

为用户提供个性化办公导航页,根据用户权限呈现内网信息系统登陆入口。 对用户身份、终端设备做严格验证,确保用户账号安全、设备安全。 满足数据安全防护要求,具备数字水印、防打印、防复制、防下载等功能。 具备通用浏览器的一切功能,不影响用户访问互联网其他资源。

● 零信任安全网关

将企业内网的一切信息系统“网页”化,通过且只能通过企业专用安全浏览器进行流畅、原汁原味的访问和操作。按照用户对内网信息系统的访问权和权限时效性,动态地建立访问通道。根据企业安全远程办公管控平台的安全策略,动态阻断不安全的异常访问行为。

● 企业安全远程办公管控平台

对用户的企业专用安全浏览器账号和终端设备进行全方位认证,无缝对接企业已有的身份认证系统。为不同用户配置不同的安全策略、不同的企业内网资源,配置操作简洁、易掌握。基于零信任模型对用户的访问风险进行实时评估,向零信任安全网关动态更新安全策略,及时阻断可疑访问。对用户上网行为和内网信息系统状态进行实时监测和智能分析,帮助IT管理者及时、准确掌握企业远程办公安全态势,及时发现用户的异常登录和异常访问行为,并对违规行为进行记录审计。

解决方案的六大特色Features

任子行安全远程办公解决方案是为企业远程接入,身份认证,访问防控,信任评估,应用防护,应急响应,安全运维的综合安全防护解决方案,在不改变企业原有的网络架构下能够轻松应对差旅办公、家庭办公、协同开发,运维外包等各类应用场景的安全问题。解决方案集成了企业专用安全浏览器、零信任安全网关、企业安全远程办公管控平台,从云、管、端形成三维一体的零信任安全体系。

  • 简单灵活部署

      无需改变企业现有网络拓扑结构,无需在企业信息系统和用户终端设备上安装任何探针或控件。

      企业安全远程办公管控平台有公有云版本,企业申请账号即可使用;此外也有软件版本,企业可在本地安装。

      零信任安全网关既有软件版本也有硬件版本,安装简单,企业可根据自身需求选择使用。

      企业专用安全浏览器支持多种操作系统,安装和使用操作习惯与通用浏览器完全一致。

  • 综合安全防护

      对企业的业务系统在“云、管、端”三方面进行立体式防护。端:安全浏览器进行多因子认证;管:安全网关过滤攻击URL; 云:基于大数据分析的办公安全态势感知。

      与企业安全远程办公管控平台等产品协同联动,更加全面、准确地发现和应对安全风险。

  • 企业应用隐身

      企业内网信息系统完全隐匿于零信任安全网关之后,只向特定的、已授权的用户呈现,而且只能通过企业专用安全浏览器访问。

      即便是授权用户也只能看到权限范围内的系统,无法探查、访问其他信息系统。

      非授权用户即便安装了企业专用安全浏览器,也无法连通零信任安全网关。

  • 极致用户体验

     访问速度和稳定性远超VPN产品。

     企业专用安全浏览器采用Chrome+IE双核,完全满足通常的互联网访问需求,用户无需根据办公和上网用途而切换浏览器。

     满足包括协同办公、代码研发、IT运维等不同类型的远程办公需求。

  • 按需精细授权

     支持对账户、应用、时间三个维度的细粒度访问权限管理,对于部门多、员工多、内网系统多的企业尤为适用。

     系统基于零信任安全理念,用户先完成身份认证后再接入网络,并且只能看见允许其访问的业务系统。

     系统对用户的访问风险进行实时评估,动态调整其安全策略,及时阻断异常访问或要求用户追加认证身份。

  • 高效智能运维

     支持多个零信任安全网关并联接入,实现负载均衡和高可用备份。

     企业安全远程办公管控平台实时显示用户活跃情况和业务系统使用情况,第一时间发现故障,降低运维压力和风险。

 


企业应用隐身

零信任安全网关具备将企业内网应用隐身功能,只有安全浏览器才能与零信任安全网关建立加密连接,非授权的用户、工具均无法连接零信任安全网关。此外,核心应用可以配置为只接受来自零信任安全网关的连接,这样即使在同一网络内的非授权用户也无法扫描到核心应用,从而实现了最细粒度的应用隔离。


综合安全防护

方案对企业业务系统的防护是“云、管、端”立体式,全方位的。在接入终端上,安全浏览器可对用户身份进行多因子认证(账号/密码,手机短信、人脸识别等)。还可以对接入设备进行特征认证,只允许系统中配置的指定设备连接零信任安全网关。在零信任安全网关接入侧,网关可以对用户访问URL实时检查过滤,防止黑客利用安全浏览器对企业应用进行SQL注入、cookie劫持等Web攻击。在企业安全远程办公管控平台上,态势感知中心通过AI和大数据技术对安全浏览器、安全网关上报的各类行为审计日志进行智能分析,帮助用户进行全局的办公安全态势感知;此外,平台基于UEBA分析模型建立用户行为画像,及时发现用户的异常登录和异常访问等行为。此外,平台还可以将用户的细粒度访问日志可输出给SIEM等安全设备分析,通过可信API可接受其它安全设备的访问控制指令,从而帮助用户建立统一的安全防护体系。


极致用户体验

● 访问速度快

安全浏览器与零信任安全网关之间的通信采用加密压缩技术,在保证安全的前提下极大提升了通信效率,访问速度远超VPN。

● Chrome + IE双核支持

支持Chrome+IE双内核,可以配置浏览器模式/文档模式,最小粒度为URL,可以自动检测网页所需的内核,无缝切换,完美解决业务系统兼容性问题。

● 一站式个性化工作台

个性化Portal页面作为远程办公工作台,可以满足各类用户Web业务访问(OA、CRM等)、远程研发(通过浏览器远程桌面访问公司内网主机)、远程运维(通过浏览器SSH工具访问公司内网设备)等多种需求。

● 使用方便

安全浏览器可以随时无缝访问内外网,根本体验不到内网、外网有什么区别,不必像VPN那样来回切换,大大提高工作效率。 系统支持SSO单点登录,让用户不必切换账号,直接无缝访问多个环境的应用。


简单灵活部署

企业安全远程办公管控平台提供SaaS服务,用户可以开通企业账号使用,在云平台上直接进行用户账号导入和安全策略配置,对安全浏览器和安全网关进行管理。此外,管控平台也支持本地私有化部署,可对接企业内已有的认证系统。

零信任安全网关提供纯软虚拟机镜像和硬件设备,满足不同的客户场景需求,可根据企业员工数量灵活选择不同的型号配置。安全网关为傻瓜化配置,在网关上只需要配置管理平台地址,其它的安全管控策略均可在管控平台配置并自动同步。

安全浏览器可为企业用户定制专属名称和Logo,支持自动更新,浏览器已通过360卫士安全检测,过白,支持Windows、Mac、Android和IOS等主流操作系统。


动态按需授权

方案基于零信任安全理念,不自动信任网络的安全性,先任何访问用户身份及其设备都先进行认证后再接入,对于接入的授权用户,根据最小权限原则只允许用户访问其允许访问的业务系统。例如,只允许财务部的员工访问财务系统,不允许访问CRM系统。从而避免了用户被过度授权,大大减少攻击面,也降低了员工泄密的可能。除了应用的维度之外,还可以对用户的访问设备、访问位置、访问时间等维度进行安全限制。系统可为不同用户配置不同的安全策略,并且基于来自终端环境、身份信息、审计日志等多源数据建立用户的信任模型,对用户的访问风险进行实时评估,根据结果动态调整其安全策略。


高效智能运维

系统具备高可靠性,支持多个安全网关同时接入服务,可按区域对用户接入进行负载均衡。同时安全网关之间可以互为备份,当一个网关出现问题时,安全浏览器可以自动切换到另一个网关,保证用户访问的连续性。

管控平台感知中心统计并展示实时活跃用户、系统激活用户及设备数量、当前在线用户数、用户访问次数以及拦截访问次数,协助运维人员快速了解员工访问情况。智能报表通过对每日、每周或每月数据对比,展示每日访问量变化最大的应用系统和活跃度变化最大的用户,以此帮助企业了解业务应用系统访问压力变化,急时发现业务应用异常,急时根据实际情况调节业务系统性能。

管控平台对所有注册浏览器进行统一管控、自动安全检查、统一插件下发,设备状态实时监控可在第一时间发现安全浏览器或安全网关故障并向运维人员报警,从而降低运维压力及风险。

应用案例User Case

案例背景痛点需求方案部署使用效果

作为国内为数不多的网络安全上市企业,以产品研发为主的任子行公司在全国有四大研发基地、30多个分支机构,1500余名员工。过去,员工在出差或者在家办公时都需要使用VPN客户端来远程接入企业内网。在疫情期间,员工不仅要在家使用OA等办公系统,甚至还要在家做产品研发、IT运维,这时VPN方案的安全性问题就成为严重的风险和阻碍了。

产品和IT部门协同联动,不断寻找、测试包括7层VPN产品在内的解决方案。在这个过程中,我们逐步认识到基于VPN技术的各种方案都无法满足复杂的远程办公的安全需求,必须要走其他技术路线。产品部门决定在过去技术积累基础上,借鉴零信任、SDP概念,快速研发一个能够既能满足各部门远程办公需求,又能够保障企业内网安全、数据安全的产品。

得益于多年技术的沉淀,更是得益于团队在疫情期间的拼搏钻研,安全远程办公所需的三个产品很快研发完成,并开始在公司内部小范围部署试用,效果超出预期。在修复若干产品bug后,公司决定该产品正式发布并在全公司正式部署,实现了员工的统一快捷办公和企业的统一安全管控,将员工的办公体验、办公效率和企业的安全管理提升到了新的高度。即便是目前疫情缓解,公司恢复了正常办公状态,安全远程办公产品仍然发挥着重要作用——研发、运维岗位员工在下班后或周末休息期间,可以随时接入业务系统,快速响应产品或运维问题;一些家中小孩尚未复课的员工,也可以在家办公兼顾照顾,等等。


“我们仅用了三天的时间就在全公司范围内部署了任子行安全远程办公解决方案,来替代传统的VPN。实际使用效果看,产品不仅有效的解决了VPN的安全盲点问题,还通过细粒度的日志分析功能,对公司的办公态势有全面的掌握,提高了员工的工作效率”

——信息部主管

任子行庞大的研发团队遍布多地(深圳总部、北京、武汉、成都),销售团队更是遍布全国,企业办公方式为内网办公和VPN远程访问,这种方式主要存在以下3点问题:

  • 01
    安全风险巨大

    员工的个人电脑安全性不齐,一旦电脑被黑客控制,或者员工的VPN账号/密码被黑客窃取,则黑客就可以通过VPN进入公司内网,进而轻易的攻击核心资产,窃取企业数据。特别是对于研发岗位和IT运维岗位的员工来讲,一旦他们的电脑或VPN账号出问题,公司的代码资产、IT资产都将遭受巨大损失。 此外,由于VPN系统在安全审计上的功能很弱,有价值的审计日志很少,对于攻击往往极难发现和追踪。

  • 02
    成本高体验差

    低端的VPN产品只有基础的三层隧道路由功能,由极易受网络影响,掉线频繁,员工抱怨很多,但信息部排查解决问题困难。 部分高端的VPN产品带有七层代理映像功能,但受其技术原理的约束,有些复杂的内网web系统的代理映像效果很不好;有些非web型的信息系统则需要安装专门的远程桌面产品来实现,进一步增加了操作复杂性和不稳定性。

  • 03
    运维管理难

    在基于VPN的远程办公,员工使用的浏览器五花八门,对七层VPN来讲适配困难,而且,员工对插件的安装有自主权,IT运维部门难以统一管控。 由于是VPN接入,远程办公的员工在对公司内部文件复制、粘贴、下载时,IT运维部门是无法约束管理的,也很难监控和审计,从而带来很大的企业保密管理隐患。

因此,如何建立一种既让员工快捷高效办公、又让企业统一安全管理的办公模式是任子行的紧迫的需求。

我们在深圳办公区和武汉办公区的网络出口处分别采用单臂模式部署了两台任子行零信任安全网关,企业安全远程办公管控平台采用云服务模式,企业员工根据所使用操作系统自行下载不同版本的安全浏览器。

员工通过安全浏览器进行身份认证,采用“就近”原则接入对应的零信任安全网关;在企业安全远程办公管控平台上,可以以策略为核心对员工的远程访问进行按需授权,配置灵活方便,不同部门的员工授予不同的范围策略,例如,财务部员工只允许访问财务系统,销售部门员工只允许访问CRM系统,研发部门只允许访问git, svn等系统。

同一部门的员工可批量使用相同的策略,也可以为每个员工制订个性化策略。对于高级管理人员的高权限账号,可绑定其使用的设备。实践证明,即使某个员工的账号被滥用,影响也只在该员工赋予的访问权限只能,攻击者无法横向移动,扩大攻击范围。此外,不同的零信任安全网关互为备份,某个设备出现异常时,员工的访问自动切换使用备用线路,更加保障了企业办公质量,接到的员工访问投诉大大减少。

员工使用体验

无论员工上班、出差还是居家,都能够直接通过浏览器访问企业办公内网。登陆浏览器,进入个人办公主页,企业和员工都可以根据需求定制个性化portal页面。在个性化的portal主页,员工可以快捷访问常用的办公系统。除了通用的办公系统外,研发人员可以远程访问个人主机进行远程研发,运维人员可以远程访问服务器、主机等进行远程运维。企业专用安全浏览器“零”学习成本,让员工轻松上手,且通过智能专业的兼容技术和特有的隧道加密技术让员工的办公体验极致流畅。

管理员体验

信息部管理人员通过企业安全远程办公管控平台接入原来身份管理系统数据,按需动态授权,以粒度化的最小访问权限原则控制用户授权。用户权限的粒度化控制,更高效地保护了企业内网安全。

企业管理员在管控平台通过策略引擎对员工进行粒度化到个人的安全策略配置,基于信任模型对员工的访问风险进行实时动态地评估,系统即时预警和处置高风险行为。同时,通过UEBA技术对员工、浏览器、网关设备、内网资源等进行大数据智能分析,并大屏展示企业办公安全态势,企业管理者和IT管理员可以清晰地掌握企业办公安全动态。企业安全远程办公管控平台让企业安全管理上升到了一个新的层面。

百企万人免费计划介绍Introduction of one million enterprise promotion plan

● 虽然当前国内疫情防控取得阶段性胜利,但国外疫情仍然十分严峻,我国将在一定长时期内面临输入性疫情风险和偶发本地疫情风险。在复工复产的大形势下,远程办公与现场办公相结合的工作方式已经成为各企事业单位的一个长期选项。

● 任子行研制发布的安全远程办公解决方案已经在全公司做了部署应用,通过了全公司遍布全国的1500多名、不同岗位、不同业务类型员工的检验。我们相信,这个方案一定能够有效地解决更多行业、更多企事业单位的类似安全需求。为此,任子行决定推出“百企万人”免费计划,即在半年时间内,为最先申请并成功实施“任子行安全远程办公解决方案”的前100家企业用户提供一套定制型号的、至少满足100名员工使用的免费产品,并且提供终身免费技术支持服务。

● 我们希望能用我们最好的安全产品和技术能力,为各个企业的复工复产、安全运营尽一份力量!

活动规则Activity rules

如有疑问,请联系在线客服或拨打400 700 1218(全天候24小时)

● 本次百企万人终身免费活动的最终解释权在法律允许范围内归任子行所有

多重优惠Multiple preferential

立即加入