icon企业面临的问题icon
接入环境复杂
移动端、PC端的接入在跨网进行协同办公时会使接入环境变的复杂;业务协同后各类操作过程追踪、事件溯源给管理者提出更高的要求。
高危端口暴露
系统存在高风险业务端口暴露在互联网,容易被黑客利用,页面被篡改,造成不良社会影响。
 
 
业务访问安全
非授权人员访问企业业务系统,导致高密集数据泄露;内外部访问通道直接建立,同时也扩大被攻击面。
 
企业数据泄露
授权人员访问企业业务系统,通过截屏拍照,将企业数据外泄。
icon云枢简介icon

云枢是什么? 针对企业安全上云和数字化转型提供的企业安全防护系统,在网络边界处起到访问管控和安全防护作用的准入方案。

云枢的主要功能
应用代理:端口收敛,将内网的服务转换为https代理出去。 身份识别:访问者需要经过可信验证。资源授权:可访问的资源需要授权给对应的访问者。数据保护:通过云枢输出的页面自动添加水印;并对敏感信息(如电话号码,身份证号)进行深度脱敏,也支持对自定义的敏感关键词进行脱敏。安全防护:内嵌入侵拦截安全防护能力。 操作审计:所有经过云枢的行为都有日志记录,可追溯; 可对在线用户进行管理。异常预警:资源访问异常、新增拦截记录、异常登录情况等情况都可通知到相应企业管理人员。
icon云枢技术核心优势点icon
高可用性

高可用保障,支持集群式部署,后期在业务无中断的情况下动态横向扩容。

应用层保护

应用层数据防护,对所有经过的流量进行毫秒级校验,在不影响业务性能的前提下进行安全防护。

虚拟化部署

虚拟化部署,支持云环境,核心服务运行在镜像内部,安全可靠。

企业微信联动

企业微信联动,通过内部协议与企业微信联动,确保接入企业微信应用控制台的业务安全。

可视化审计

审计可视化,提供多维度数据查询审计工具,随时发现和阻断可疑访问。

icon云枢设计架构icon
icon功能 & 能力介绍icon
云枢入口

身份认证:支持两种认证方式:短信动态验证码和企业微信.安全防护:内嵌入侵拦截。

云枢平台

代理访问:稳定的内网应用代理服务。资源展示:访问者仅可访问被授权的资源。

云枢出口

数据保护:文本脱敏,可定制脱敏内容;网页水印。网页适配:手机端H5页面适配。

云枢管理后台(仅管理员可访问)
制定访问策略

添加资源,为资源设置授权用户;用户分权限和组进行管理;可配置IP策略。

数据可视化

多维度数据统计,使用情况和问题一目了然。

审计和风险管控

登录,访问,管理员操作日志记录;线上用户可强制登出。

icon云枢典型使用场景icon

1. 已有业务对外开放:实现远程办公,使用简单,无需安装客户端软件。2. 使用企业微信移动办公:使用云枢让原有内网业务安全的对外接入微信应用平台,帮助老旧业务系统实现在手机屏幕上的适配。3. 业务上云,需要屏蔽非内部人员:保证云上的内部业务系统安全,屏蔽内部系统漏洞, 禁止非授权用户访问到业务系统。

icon与企业微信可形成联动icon

使用企业微信的客户,可以在企业微信管理后台配置云枢代理,员工在外网环境下就能通过企业微信移动端访问内网业务。1. 企业微信代理设置:设置代理服务器,指向云枢;2. 企业微信应用设置:设置应用的主页地址,即可完成。

icon云枢产品优势icon
出口收敛

内外网唯一出口,不需要对外暴露过多端口,方便管控。

应用层保护

相比在网络层做管控的方案,应用层的维度更细。且在应用层可以做到数据保护(如脱敏,水印等)。

浏览器访问

不需要安装额外的客户端,在浏览器中输入网址即可访问。 浏览器本身是沙盒,访问更安全。

icon云枢产品展示icon

可访问者:已授权的用户 支持两种认证方式:企业微信,短信动态验证码。仅展示该用户可以访问的资源。

icon云枢产品展示icon

可访问者:管理员

系统首页: 待处理问题集中展示, 当天情况一目了然, 多维度信息展示。

icon云枢产品展示icon

可访问者:管理员

用户管理: 查看用户状态, 管理用户列表, 对用户进行分组。

icon云枢产品展示icon

可访问者:后台管理员

用户管理: 管理员可将可疑在线用户强制登出, 可对用户进行手动锁定。

icon云枢产品展示icon

可访问者:管理员

日志审计: 登录,访问,安全日志多维度展示; 异常情况高亮提醒。

icon云枢产品展示icon

可访问者:管理员

信息安全设置:可设置水印样式、颜色,并对敏感信息进行过滤,对业务系统访问页面添加水印,预防企业机密信息泄露; 若有信息外泄事件发生时,可及时准确地溯源。

icon相关案例:某金融机构 icon

需求:接入企业微信作为协同办公平台后,会接入越来越多的应用,多达100多个,而金融行业由于其行业性质原因对安全性要求较高,故每接入一个应用都会走一遍流程,急需进行统一配置管理。 云枢解决方式:移动办公,跨网安全访问,统一管理 该客户是金融行业典型企业,网络架构复杂,其需求亦为多数金融客户的痛点,主要解决了金融行业中流程繁琐、业务协同度低的问题。每新上一个应用,都需申请一台独立的外网部署机(该机器只负责该应用),存在资源浪费、部署繁琐的问题; 每个应用都需单独配置一次网络策略,并添加很多安全策略,操作繁琐导致失误频发; 涉及策略权限审批,花费的时间周期长,效率低; 对访问者身份验证由各应用进行,缺少统一中台,安全性无法保证。 指定的应用统一走云枢的代理访问(授权用户才可访问),流程简单、时间周期短、效率高; 业务通过云枢统一的https加密通道对外提供服务,安全、稳定 统一对用户进行身份识别,保证身份可信; 管理员在企业微信后台配置后即可发布应用,流程简单; 可在企业微信工作台快速访问内部站点。

icon相关案例:某政府机关icon

需求:上了公有云之后,其云上业务对外暴露给所有互联网用户,易造成内部机密泄露,故需要公有云上业务收敛,只允许内部人员访问。 云枢解决方式:权限控制,统一管理。所有外部互联网用户都能访问其业务系统,内部机密课件也一览无余,泄密风险极高,且无法追溯。实现云上业务收敛,为业务加上“安全闸门”,只允许授权用户访问。 可对授权用户实现权限差异化设置,分配不同的权限给不同用户。

icon相关案例:某央企icon
项目背景
整个集团已建成各类应用系统50多个,经系统测试处于高危风险的系统达23个,占比达45%,需要逐步收敛至内网使用; 外部攻击态势持续处于高压状态,仅两处数据中心攻击数据将近100万次/月(防火墙拦截统计),扩大到全集团,攻击总量将近千万级别; 常有安全事件发生:勒索病毒事件、邮件系统泄密等等。
 
接入云枢后
与政务微信无缝集成,在政务微信工作台即可访问内网应用; 对外只暴露HTTPS/443常用接口,避免高危端口对外暴露; 通过统一审计中台,对内网应用访问数据进行统一审计; 仅需通过浏览器/政务微信即可访问内网,无需额外安装任何插件或客户端,用户体验佳。
icon与同类竞品对比icon
功能点 云枢智能网关 九州云腾认证网关

HTTPS托管

支持

支持

内外网地址映射 支持 支持
内容重写 支持 支持
URL过滤 支持,可根据URL制定不同的安全验证策略,支持API代理 支持,API类的业务需要单独购买API网关
图形化配置 支持 支持
企业微信联动 支持 支持
云平台部署 支持 支持

 

icon部署:硬件及网络配置要求icon
硬件要求

系统: CentOs 7.5.1804, CPU: > 8核心, 内存:> 16G, 硬盘: > 100G (如果是虚拟机,磁盘格式要求ext3 或 ext4)。

网络要求

1. 能被外网访问; 2. 能访问内网; 3. 需要能访问外网 4. 出口IP固定(或一定范围,我们有白名单限制); 域名:泛指向,例如:*.qq.com 指向 1.1.1.1(主机IP)。

安装部署

部署在网络边界处,例如局域网和局域网之间的网络边界,或在内网和外网边界处,部署举例。

产品推荐 查看更多>>
    微步在线OneCare安全服务平台

    微步在线OneCare安全服务平台,秉承客户至上原则,以攻防实战技术为核心、探究网络安全真相为行动指南, 为提升客户实战化能力提供最专业的安全服务。

    丰富的数据来源

    周期性的风险监控

    精准的漏洞检测

    专业的人工分析

    UCSG-DSG统一内容安全网关

    统一内容安全网关-UCSG(Unified Content Security Gateway)用于一般位于企业/组织的互联网出口处, 接受UCSS的统一管理并负责具体的数据泄露防护功能和策略的执行以及与其他设备的联动

    安全防护

    安全可靠

    启明星辰天清入侵防御系统NGIPS

    天清入侵防御系统,简称“天清NGIPS”。是启明星辰自主研发的网络型入侵防御产品,围绕深层防御、精确阻断的核心理念,通过对网络流量的深层次分析,可及时准确发现各类入侵攻击行为,并执行实时精确阻断,主动而高效的保护用户网络安全。

    方便的集中管理功能

    保障业务的高可靠性

    全面的内容过滤功能

    领先的威胁防御能力