如何在企业不可信网络中构建安全系统？腾讯iOA零信任告诉你！-云巴巴

立即咨询

立即试用

商务合作

首页

数字化社区

安全领域

如何在企业不可信网络中构建安全系统？腾讯iOA零信任告诉你！

2024-03-27

随着疫情常态化的发展以及企业数字化转型的不断深入，远程办公、移动办公逐渐成为主流办公形式，但在复杂多变的安全环境下，如何应对来自内外部的潜在安全风险也成为了企业的必修课题。

以往绝大多数企业都还是采用传统的网络分区和隔离的安全模型，用边界防护设备划分出企业内网和外网，并以此构建企业安全体系。

在传统的安全体系下，内网用户默认享有较高的网络权限，而外网用户如异地办公员工、分支机构接入企业内网都需要通过VPN。不过现如今在高级网络攻击肆虐，内部恶意事件频发的情况下，传统的网络安全架构需要迭代升级。

Google的一名员工曾经在即时通讯上收到来自“信任”的人发来的一条网络链接，当他点击之后进入的却是恶意网站，网站上含有的恶意序码造成了IE浏览器溢出，进而远程下载远控木马致使这名员工的电脑成功被黑客远控。

此时，他用户的身份、设备和发起的进程都已不再是可信任的，但在传统的网络安全架构下，还是被被予以放行，造成的结果就是：搜索引擎巨人的网络被长达数月的入侵渗透，大量系统敏感数据被窃取。这就是一次著名的APT攻击——极光行动。

因为传统的基于网络位置的信任体系，所有策略都是针对边界之外的威胁，在网络内部没有安全控制点，导致边界一旦被攻破之后，既无法应对攻击者在企业内部的横移，也无法有效控制“合法用户”造成的内部威胁。

icon 企业如何搭建零信任安全系统？

基于“信任区域”模型的天然缺陷，一旦被渗透就无法有效隔离和保护企业数据资产，企业同时面临着安全与效率的双重挑战，边界消失已经成为必然。

当我们已经走入了无边界的时代，当企业不再信任内部或外部的任何人、事、物，该如何来重构一个零信任安全的网络呢？

要想搭建一个零信任的安全网络，就需要知道零信任是什么？

零信任是一种IT安全框架，一方面实施额外的强制验证步骤保护用户、设备和私人数据，用户只有在验证通过后方可访问IT资源，另一方面降低用户的访问权限，使其与明确的访问需求相匹配。本质上，零信任安全的目的在于为每次访问请求都建立信任，而不仅仅在第一次交互时建立信任。

零信任安全背后的逻辑很简单：成功减少网络攻击的唯一方法是“验证前一切皆不可信”。

零信任安全框架认识到用户、设备和服务都是易受网络攻击的切入点。因此，零信任有别于传统方法，利用IAM协议整合了额外的身份层、授权层和访问管理层。

下面三个步骤，企业可以将零信任安全原则引入已有网络中。

终端安全验证

虽然密码是大多数网络的第一道防线，但59%的用户对多个帐户拥有相同的密码，而且很有可能剩下用户的密码只有几个字符，所以用户终端的管理很重要。

我们需要通过安全管控、合规准入、威胁感知、数据防泄漏等安全能力全方位保护企业终端。

企业应用的访问控制

应用的访问控制可以使网络被破坏时保持大部分网络的安全，从而最大限度地减少损坏。

企业根据用户职能与需求进行自动化、细粒度动态授权，确保公有云/私有云应用的安全访问。

审查访问行为

除了保护网络之外，有效的零信任策略还包括监控访问行为和分析模式和趋势。

分析工具、跟踪访问行为以及识别模式、趋势和潜在威胁可以增强数据安全性，从而增强客户对网络的信任。

icon 腾讯iOA零信任安全管理系统

腾讯iOA零信任安全管理系统是根据腾讯自身无边界零信任企业网的最佳实践，所推出的终端访问管理方案。基于可信终端、可信身份、可信应用、可信链路等核心能力，实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。

不管是来自职场内外的访问要求，只要想介入企业系统，访问企业资源，都需要进入iOA的零信任安全平台评估，从身份安全认证、到终端安全，再到链路安全进行全程的检测与动态控制。

通过持续性的判断终端和用户的安全状态，为动态访问控制决策提供依据，确保访问是来自可信的用户、可信的设备和可信的进程，通过权限系统，分配至智能网关访问相匹配的企业资源。

可信身份验证

在对用户授予企业应用的访问权限之前，提供包括企业微信扫码、Token 双因子认证在内的多种身份验证方式，验证所有用户的身份，以防止网络钓鱼和其他访问威胁。

可信设备安全

在设备接入内网之前以及接入运行后，通过终端安全管理模块，持续检查设备安全状态，更好地透视与管控企业内网环境，限制任何不符合安全要求的设备对内网的访问。

可信应用访问

根据特定用户/用户组的职能以及需求授予访问权限，确保用户在接入内网后只能访问到权限内的应用和数据，实行最小权限原则，更好地保护敏感生产环境的访问安全。

高级威胁检测与告警

透视全网终端安全态势，秒级发现入侵隐患，云端联动最新威胁情报，对于高级威胁事件即时产生告警、快速响应并极速处置收敛风险。

多维度狙击信息泄露

从外设、文件、存储等多维度多层面保护企业敏感数据资产，对终端用户的泄密行为进行记录、告警、阻断，并对终端用户行为进行审计，提高员工保密意识。

云巴巴一直秉持最严谨的态度，选取品质最高的科技产品。我们与国内外知名科技厂商深度合作，包括腾讯、阿里、华为、眼神科技等等，并获得部分厂商金牌代理权限。面向各行各业B端客户，提供全面的科技服务，助力企业数字化轻松转型。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！

热门数字化产品

查看详情

腾讯云智能内容生成平台腾讯云智能内容生成平台可以提供辅助内容创作、创新的AI服务，主要包括内容理解、内容处理、内容生成。从而降低内容创作者的创作、创新门槛，提升创作、创新效率。

查看详情

我打ERP进销存管理软件我打ERP是威海领新信息技术有限公司自主研发的一款进销存管理软件。 “威海领新”成立于2010年，致力于为电商卖家、快递网点、企业、个人等提供高效便捷的快递单打印发货服务。支持20+电商平台，有效商家达40万+，日处理订单量超2000万。

查看详情

青椒云AIGC云桌面平台青椒云AIGC云桌面平台是一种基于云计算技术的虚拟桌面服务。通过在云端提供可扩展的桌面环境，允许用户通过网络从任意地点访问专属桌面界面。青椒云AIGC平台支持高性能计算和图形处理，适合设计、视频编辑等专业应用场景。此外，它还具备数据安全、远程协作、灵活定制等特点，能够满足不同行业和企业的个性化需求。通过青椒云AIGC，企业可以实现IT资源的集中管理和成本优化，同时提升员工的工作效率和协作灵活性。