億格云：數字企業的零信任SASE落地最佳實踐（22頁）.pdf

1、數字企業業務安全現狀分析數字企業業務安全現狀分析總結面臨的三大安全挑戰數據泄露數據泄露難管控難管控數據風險不可知、不可控防護見效慢，缺少合規實踐混合辦公混合辦公安全防護難安全防護難遠程接入，安全隱患大安全覆蓋成本高，體驗差逐漸消失的逐漸消失的企業安全邊界企業安全邊界多方協作、外包、客服多云、多分支、多元設備121212任何位置任何設備任何人員總部分支SOHO差旅公司設備BYOD外包員工公司員工生態伙伴公共云SAAS應用互聯網IDC數字化企業的辦公現狀傳統安全模型的困境傳統安全體系面臨困境10+碎片化產品硬件難擴展數據割裂過去的安全防護與運營體系已無法滿足數字企業的需求過去的安全防護與運營體系已

2、無法滿足數字企業的需求挑戰一：逐漸消失的企業安全邊界挑戰一：逐漸消失的企業安全邊界數據和業務只在本地固定的公司辦公地業務很少對外開放內外網嚴格隔離，邊界清晰明確多多云戰略：云戰略：數據和業務同時在本地或云端、甚至多云場景移動辦公、多分支成常態：移動辦公、多分支成常態：多分支辦公、移動辦公等數字化轉型：數字化轉型：多方協同、互聯網、SaaS業務快速接入等邊界模糊化：邊界模糊化：內部終端能同時訪問互聯網和業務系統網絡邊界過去現在Internet總部總部企業員工生態伙伴分支，移動SaaS互聯網公共云私有云PaaS最佳實踐最佳實踐-重構數字企業安全邊界重構數字企業安全邊界以網絡邊界為中心以網絡邊界為中

3、心以身份為中心以身份為中心將安全邊界從“網絡”升級到每一個人和終端，建立端到端的安全邊界姓名：李X婷角色：研發主管設備：MacOs11.xHighMediumLow健康狀態：高風險客戶端：存在勒索病毒禁止訪問并強制隔離惡意軟件所在位置：中國深圳最后登錄時間：15:10，深圳本次登錄位置：新加坡合規風險：低訪問時間：14：21網絡環境：非公司網絡部門：深圳研發一部最佳實踐：僅可信員工最佳實踐：僅可信員工/可信終端才能訪問內網可信終端才能訪問內網所屬權：公司電腦最佳實踐最佳實踐-基于威脅分析的零信任動態訪問控制策略基于威脅分析的零信任動態訪問控制策略基于多元訪問條件的訪問控制機制動態的安全防護機制

4、企業門戶客戶端常用登錄地公司可信網絡AndroidiOSMacOSWindows多源身份認證多因子認證自定義身份身份安全設備安全物理或虛擬網絡環境安全訪問方式安全運行/禁止訪問限制訪問二次認證禁止下載權限自動化吊銷/降級公有云私有云IDC機器學習機器學習分析分析策略中心策略中心實時的安全防護實時的安全防護零信任策略零信任策略持續動態風險評持續動態風險評估估可信身份可信身份可信設備可信設備可信環境可信環境可信方式可信方式企業分支 終端離開公司離開公司內網，沒有網絡安全的覆蓋，容易被入侵，并且數據泄露風險加劇 終端眾多眾多AgentAgent，影響用戶體驗挑戰二：混合辦公挑戰二：混合辦公/遠程辦公

5、互聯網安全防護遠程辦公互聯網安全防護企業總部物理邊界DMZMPLS專線多個終端多個終端AgentAgent，多個硬件設備部署在，多個硬件設備部署在DMZDMZ防入侵檢測DNS 安全上網行為管理數據防泄漏DLP終端安全終端DLP防病毒桌面管理居家辦公移動辦公最佳實踐最佳實踐-訪問互聯網場景的訪問互聯網場景的統一統一安全管理實踐安全管理實踐企業分支單一agent，覆蓋終端桌面管理，防病毒和終端DLP，并牽引流量到云上DMZ，進行安全防護覆蓋終端離開公司內網，沒有網絡安全的覆蓋，容易被入侵，并且數據泄露風險增加終端眾多agent，影響用戶體驗企業總部物理邊界DMZMPLS專線多個終端Agent，多個

6、硬件設備部署在DMZ防入侵檢測DNS 安全上網行為管理數據防泄漏DLP終端安全終端DLP防病毒桌面管理居家辦公移動辦公企業安全網絡節點軟件定義DMZ上云1個終端Agent，無需硬件部署防入侵檢測DNS 安全上網行為管理數據防泄漏DLP終端DLP防病毒桌面管理挑戰二：混合辦公挑戰二：混合辦公/遠程辦公內網安全防護遠程辦公內網安全防護VPNDATACENTER/HQCloud 1、遠程運維如何安全接入？5、訪問設備可信嗎？4、如何實現訪問行為可視化？3、如何收斂暴露在互聯網上的應用？2、VPN漏洞如何防護？VPNVPNVPN基于賬戶密碼的安全隱患如何規避？500+已知漏洞和未知漏洞如何防護？VPN

7、存在安全缺陷終端風險無感知終端失陷，將導致內網應用面臨直接的安全威脅訪問行為難追溯無法基于應用與身份審計每一條訪問日志，需關聯多份日志才能形成追溯能力，耗時耗力基于云基礎設施快速構建全球網絡無限彈性擴容，SLA 99.99%無需改動現有網絡，落地性強零公網暴露面,應用訪問微隔離應用資產自動發現訪問Session級別持續安全度量網絡安全即開即用，加密流量全透明輕量化終端分層計算設計全面的行為可視和全鏈路數據安全SASE基礎設施零信任便捷落地云原生架構遠程辦公移動辦公本地辦公三方員工減少暴露面遠程訪問加速網絡就近接入跨運營商優化最小化數據權限防止橫向移動零信任全域行為可視數據防泄漏，防入侵安全數據

8、防泄漏XDLP終端安全處置網絡安全防護互聯網公共云應用私有云應用SaaS應用加密微隧道應用隱身身份認證應用訪問隔離應用自動網絡選路多節點多云容災終端合規檢測和準入動態策略持續校驗統一權限管控最佳實踐最佳實踐-訪問內網場景的訪問內網場景的統一統一安全管理實踐安全管理實踐互聯網公共云私有云分支移動總部BYOD 應用和API接口不小心對外開放，沒有沒有權限管控管控 員工能夠訪問查看哪些數據不清楚不清楚113 員工訪問了哪些應用，下載了哪些數據，看不見，管不看不見，管不了，難追溯了，難追溯24 敏感數據下載到終端本地后被網絡外發泄露網絡外發泄露，平均287天，企業才能發現43 敏感數據下載后在內部流轉

9、失控 敏感數據下載到員工終端后在本地泄露本地泄露挑戰三：辦公數據泄露難管控挑戰三：辦公數據泄露難管控2場景場景-遠程訪問數據落地管控實踐遠程訪問數據落地管控實踐非法應用禁止訪問7層應用零信任訪問通道禁止拷貝遠程桌面文件數據敏感性檢查開發環境RDPget（敏感）數據審計/阻止OA/郵件BYOD數據不落地管理最佳實踐：確保敏感應用的訪問最佳實踐：確保敏感應用的訪問/下載行為全面可視下載行為全面可視財務系統代碼倉庫組織架構文檔系統運營平臺響應請求敏感識別數據指紋歸一化安全分析平臺內容提取7層Proxy云桌面辦公電腦.API 風險識別AP I畫像梳理敏感數據識別分類API 威脅檢測（高頻訪問、批量下載

10、、未授權）應用發現內部應用發現和梳理員工應用權限梳理API 精細控制敏感數據下載控制API 最小權限控制API 數據混淆API 應用水印業務敏感數據可視、員工內網行為可視可控誰，什么時間，什么設備，在什么環境，訪問什么應用，看了什么數據訪問行為7層訪問URLAPI 數據內容數據分析引擎(MacCompute)辦公文檔設計文件財務報表動態訪問控制外發管控公司網盤U盤百度網盤APPSaaS應用源代碼HRRDPGitHubMySqlOACRMJira內網應用應用敏感數據識別S1S2S3S4總部/集團分支員工外包/生態伙伴移動 SOHOS1S2S3S4禁止下載下載預警通道禁用授權通道通道禁用外發預警允

11、許下載允許訪問風險員工可疑員工需重點關注員工21122行為分析最佳實踐最佳實踐-全鏈路數據安全閉環體系全鏈路數據安全閉環體系零信任零信任SASE-SASE-落地三部曲總結落地三部曲總結重鑄安全邊界一體化安全防護一站式數據防泄露體系身份終端資源（應用，基礎設施）網絡數據零信任從身份驗證開始，只允許正確的人和設備進入企業訪問被授權的資源收斂企業內部所有資源包括應用和服務器，數據庫等基礎設施至內網環境，并給予最小權限訪問0102評估可以訪問內部資源的所有終端的安全合規和安全可信03網絡鏈路的安全防護和網絡訪問的加密、微隔離0405敏感數據和個人隱私合規數據的識別分類以及數據防泄漏三部曲三部曲五大建議

12、五大建議安全模型安全模型過去的安全防護與運營體系留下了很多過去的安全防護與運營體系留下了很多“坑坑”01020304缺規劃前期缺少頂層設計，安全后置，“創可貼”式的建設指南導致產品堆砌、高成本、難運營，加重“碎片化”趨勢缺預算辦公安全預算占比IT整體預算。應對“實戰化，常態化”挑戰，無法達到預期目標缺專家全國網絡安全人才缺口140萬，具有實戰經驗的專家，更是少之又少，招聘周期長，且成本高昂。缺運營IT與安全“兩張皮”，資產不清，管理難落地，安全體系無法有效運行。且碎片化產品、割裂的數據無法進行安全運營。破局之道-零信任SASE現有安全架構無法支撐數字化轉型安全架構必須平臺化，加速安全數字化程度

13、基于云計算基礎設施搭建安全平臺SaaS互聯網公共云私有云PaaS總部分支,移動企業員工生態伙伴一體化安全防護零信任SASE用戶遠程辦公（內網訪問）辦公數據安全混合辦公安全防護全球網絡應用加速應用數據重塑企業辦公安全的頂層設計，打破傳統架構安全效果差、體驗差、難運營的怪圈一體化一體化安全融合安全融合云原生云原生降本增效降本增效億格云億格云-零信任零信任SASESASE因云而生，真正從0到1構建了符合云特性的SASE基礎架構用戶收益：全球小時級全新POP節點，分鐘級別彈性擴容無需改動現有網絡，15分鐘接入POC秒級自動容災切換，SLA99.99%重構一體化引擎設計，一次掃描/采集，分層/邊緣計算用

14、戶收益：安全能力即開即用，一體化普惠安全輕量級客戶端，全系統版本，70M/150M/1%300%內網下載速度提升，任何位置，100ms 解密時延SLASASE 基礎架構基于全數據可視打造的360度行為感知安全智能平臺用戶收益：全數據關聯可視，包括加密，身份/終端/網絡/應用/數據/API360度數據保護，訪問/下載/處理/外發/傳遞4個攻擊過程，9個路徑，35+內置策略基線 全行為路徑基線持續動態評估云原生一體化安全引擎360度全行為感知平臺企業總部，分支生態集成零信任內網訪問（ZTNA）一體化安全防護（XDLP）零信任動態訪問控制數據識別、防泄露準入，EPP，EDR，NDRSSL/TLS 加

15、密，檢測威脅檢測API發現，檢測安全服務億格云全球加速網絡SASESASESSO/IAM日志平臺/SOC威脅情報更多移動辦公生態協同自有設備BYOD安全大數據分析零信任零信任SASESASE平臺能力架構平臺能力架構企業將獲得的三大收益企業將獲得的三大收益一體化的辦公安全云 一個控制臺，一張網、一個客戶端 一體化安全閉環 集中統一的安全策略All in One安全全景可視 內網應用，互聯網訪問全景 資產及數據流轉全景 用戶異常行為全景可視、可控、可管企業降本增效 降低企業網絡和安全的運維成本 隨時隨地辦公，提升員工體驗 安全普惠數字化企業成本、效率、體驗1515分鐘開啟服務分鐘開啟服務接入流程第一步第二步第三步完成（2分鐘）注冊億格云平臺賬戶（5分鐘）接入組織，統一身份管理（5分鐘）連接企業內網（3分鐘）控制臺配置訪問應用，下載客戶端訪問您的專屬客戶成功經理將為您提供全程免費的技術服務