劉嵩：58集團辦公零信任實踐（13頁）.pdf

《劉嵩：58集團辦公零信任實踐（13頁）.pdf》由會員分享，可在線閱讀，更多相關《劉嵩：58集團辦公零信任實踐（13頁）.pdf（13頁珍藏版）》請在三個皮匠報告上搜索。

1、58集團基礎安全負責人、技術委員會成員劉 嵩 id:wooyaa長期專注于應用安全、反入侵、辦公安全等領域2020.“神奇管家”2015.“58盾”Before 2015.“Array VPN”APP+7層網關疫情遠程辦公需求爆發性增長釣魚事件頻發，終端帶來的風險變大遠程辦公需要既安全體驗又好職場內終端職場外終端58盾網關身份認證辦公網應用系統私有云應用系統公有云應用系統APP+SDK集團賬號公司員工：外包、兼職：代理商、合作伙伴：20000+數千人數萬人用戶角色基于TOTP算法的認證方式Time-based One-time Password移動終端認證安全賬號、密碼、短信驗證碼進行綁定賬號

2、需要進行實名認證58盾APP 非員工類型賬號美事APP 員工類型賬號賬號賬號升級為多租戶，增加“賬號類型”概念支持密碼過期時間、長期未登錄凍結、非登錄類型“賬號類型”正式員工、實習員工、全職外包員工、兼職外包員工代理商老板、代理商員工辦公區超市收銀員、食堂收銀員、理發店收銀員機房駐場外包運維、財務外審、客服外包賬號開通時要求提供實名信息，做到“一人一號”租戶賬號類型1賬號1賬號2賬號類型2賬號3賬號 認證 授權賬號 認證 授權認證使用SSO進行認證，認證方式在原有賬密基礎上升級為賬密+OPT，并支持掃碼登錄使用設備指紋、用戶行為等特征進行體驗提升，環境、行為可信情況下減少多因子認證帶來的登錄成

3、本認證SDKJAVA SDK、IOS SDK、Android SDK、MacOS SDK、Windows SDK、微信小程序 SDK賬密+OTP認證、掃碼認證、實名認證、人臉認證等能力非HTTP/S協議支持LDAPRadiusKerberos802.1x賬號 認證 授權授權p在原有應用系統內基于角色的統一權限檢查基礎上，增加“系統準入”權限類型p通過“系統準入權限”落地賬號、應用系統的雙向最小權限原則p某一個“賬號”或“賬號類型”申請允許訪問的系統列表p應用系統發布時可以選擇允許訪問的“賬號”、“賬號類型”范圍安全資產平臺代碼倉庫零信任網關-準入驗證58集團正式員工-信息安全zhangsan0

4、158集團渠道代理-房產銷售lisi02人人車正式員工-架構研發wangwu03應用系統租戶名字賬號類型賬號應用系統資產清單用戶終端（PC）零信任網關通信解密辦公區應用系統IDC應用系統公有云應用系統7層網關4層網關私有協議加密通信一鍵登錄多因素認證終端環境檢測網絡診斷/加速軟件管理網絡準入系統安全基線存儲外設58Desk身份認證權限判斷辦公安全管理平臺賬號管理 終端管理 網關管理 應用系統管理 軟件管理 開放平臺用戶終端（Mobil）辦公IM+IAM SDK7層網關進程 終端 身份 權限 應用 行為風控引擎記錄取證 通知告警 二次認證攔截請求 退出登錄 凍結賬號處置中心互聯網互聯網Windo

5、wsClientMacOSClient辦公區應用系統IDC應用系統公有云應用系統記錄取證 通知告警 二次認證攔截請求 退出登錄 凍結賬號處置中心風控引擎零信任網關規則、模型、標簽進程 終端 身份 權限 應用 行為場景一：員工手機、電腦被入侵，訪問行為與歷史訪問行為偏差過大場景二：終端未安裝殺毒模塊、存在病毒或不符合操作系統補丁基線，禁止訪問內網場景三：同一賬號短時間在不可信設備連續認證失敗場景四：非可信進程對內網發起內網請求頻次、數量偏離基線風險場景示例UEBAEDR、終端DLP如何持續降低零信任運營成本？高敏感應用系統隱身基于終端、網關、數據還能做些什么？可信進程IM終端的“工作臺”與 零信任終端的”應用中心“?企業微信&IOA飛書&飛連阿里釘&阿里郎美事&神奇管家新的網絡接入