远程办公总担心数据泄露？IT专家都在用的零信任方案，给安全上把“隐形锁”

前言

随着企业业务发展以及数字化转型的需要，远程办公已成为业内必不可缺的办公手段，且已逐步常态化，除远程办公外，也包括远程运维、远程开发、开发众测、面向合作伙伴的业务开放等。

为了支撑远程访问，原本只能在内网访问的高敏感度的业务系统不得不对互联网开放。无论是通过端口映射将业务系统直接开放公网访问，还是使用VPN打通远程网络通道，都扩大了网络的暴露面，将业务系统置于更危险的境地之中。

同时，接入网络的人员、设备、系统的多样性呈指数型增加。远程访问模式允许员工、外包人员、合作伙伴等各类人员，使用家用PC、个人终端，从任何时间、任何地点远程访问业务。

参差不齐的终端接入设备和系统，具有极大的不确定性，各种接入人员的身份和权限管理混乱，弱密码屡禁不止，这些都会给企业网络带来了极大的风险。员工使用的终端除了派发终端还包括私有终端，安全状态不同，存在远控软件、恶意应用、病毒木马、多人围观等风险，给内网业务带来了极大的安全隐患。此外，攻击者利用VPN漏洞极易绕过VPN用户验证，直接进入VPN后台将VPN作为渗透内网的跳板，进行肆意横向移动。

一、核心需求分析

面对日益复杂的远程访问环境，企业在数字化转型过程中面临三大核心安全挑战：

• 业务暴露面管控需求迫切：传统VPN架构下，业务系统直接暴露在公网，极易遭受端口扫描、漏洞利用和恶意攻击，亟需通过新型安全架构实现业务隐身和访问收敛。
• 身份与访问管理亟待强化：混合办公模式下，接入人员类型复杂、设备多样，传统基于边界的安全模型难以应对身份冒用、权限滥用等风险，需要建立贯穿全生命周期的身份治理体系。
• 安全与体验需要平衡：企业在追求安全性的同时，不能以牺牲工作效率为代价。员工期望获得简单便捷的访问体验，而管理员则需要细粒度的管控能力和完整的审计追溯手段。

这些需求共同指向了以“从不信任，始终验证”为核心的零信任架构，为企业远程办公安全建设指明了方向。

二、有安全保障的“远程办公”解决方案

云边云科技零信任客户端遵循零信任体系化的安全框架，围绕终端设备管理，身份识别与访问管理，多因素认证自主编排、认证及访问安全策略编排等多个技术领域，为客户提供完整的可落地的零信任远程访问安全解决方案，解决远程办公环境下企业业务暴露在互联网上而引发的安全性难以保障问题，互联网暴露面收敛精准贴合当下中小型企业的数字化IT建设需求。

云边云科技零信任客户端逻辑上划分为数据平面和控制平面。数据平面是指用户访问应用系统的业务平面，通过客户端和安全认证网关从访问用户到访问应用系统之间，建立安全访问通道。控制平面作为总分析和控制中心，由统一决策平台、控制中心、统一身份管理组成，构建风险和信任综合分析能力，策略决策响应能力，实现纵深防御。

零信任客户端通过安全设备管理和强制用户认证，集成分析和验证信任关系，从而构建主动防御的安全架构。产品能力基于业务流的身份认证技术，细颗粒度应用访问授权技术，面向用户认证访问策略的自主编排技术，完成从安全认证、异常分析到资源管控的安全闭环管理，实现如下四大核心能力：

最小化授信

强制性验证

用户异常行为告警

用户、应用及设备管理

三、产品核心能力

身份管理：

支持用户和组织的全生命周期管理，包括创建、修改、锁定和撤销等各个环节的操作，确保在整个生命周期内对用户和组织的信息进行有效的跟踪和管理。同时，提供基于角色和组织结构的访问授权机制，可以根据用户的角色和所在组织来动态分配相应的权限，从而实现细粒度的访问控制。

安全策略：

支持认证策略、终端策略、访问控制策略等多个维度的安全策略编排，可以综合运用多种安全措施来构建多层次的防护体系。通过这些多维度的安全策略编排，以实现精细化的安全管理，确保只有符合预设条件的用户和设备才能访问特定的资源，从而有效降低安全风险，保护企业的重要信息资产。

审计回溯：

支持行为日志的查询、下载与备份功能，使得管理员能够全面追踪和审查用户的访问行为，确保每一项操作都有据可查，便于后续的审计与回溯。通过详细记录用户的所有活动，系统不仅能够帮助识别潜在的安全威胁或违规行为，还能够在发生安全事件时提供关键证据。

四、成功实践案例

建设背景

◆ 原有VPN系统稳定性差，员工远程接入后频繁掉线，影响工作效率；
◆ 业务系统直接暴露在公网，频繁遭受恶意扫描和爬虫攻击，存在数据泄露风险；
◆ 缺乏统一的身份管理和访问审计机制，难以满足合规要求。

客户需求

◆ 替换传统VPN，实现业务系统隐身，收敛互联网暴露面；
◆ 实现一次认证，无缝访问所有授权业务系统；
◆ 建立完整的用户身份与设备生命周期管理机制。

实施效果

◆ 暴露面有效收敛：通过“先认证后连接”机制，所有访问请求必须经过身份验证，业务系统对外隐身，有效抵御扫描和漏洞利用攻击；

◆ 系统稳定性显著提升：采用智能短连接与链路优化技术，保障通信稳定高效，提升员工远程办公体验；

◆ 统一身份与策略管理：实现用户、设备、应用的统一管控，支持细粒度权限分配与实时行为审计。

◆ 出海业务访问支撑：搭载全球骨干网络，用户可访问海外SaaS业务应用或部署在海外的私有应用，包含各类AI应用等，满足企业全球供应链和营销需求。

客户价值

◆ 降低安全风险：默认不信任所有访问请求，通过动态策略与多重验证机制，有效防范身份冒用与越权访问。

◆ 减少攻击暴露面：业务系统隐藏于安全网关之后，仅对已验证用户可见，极大缩小攻击界面。

◆ 提升访问体验与效率：结合单点登录与多因素认证，实现便捷安全的统一入口访问，显著提升员工工作效率。

◆ 全面审计与追溯：完整记录用户登录、操作行为，支持实时分析与事后追溯，助力企业合规与安全运营。