expr

OneAuth x 零信任网关:轻松开启安全远程办公


信任理念主要是以动态访问控制为核心的企业内部安全框架,来越多的企业,开始关注零信任,试图在企业内部建立零信任安全框架。零信任提供安全的同时,似乎也意味着复杂,以至于很多企业无法落地零信任。本文分享了一种快速搭建零信任的一种方案。


01传统 VPN 的不足


用户体验

客户端安装比较繁琐,对于行政、销售或者其他非IT背景的用户,需要IT人员协助安装和配置;

如果涉及到多终端,不一定能够完全适配,尤其是手机端、Mac 存在不同版本;

如果疫情期间,大量用户同时登录,占用隧道,可能存在不稳定性,经常访问不到;

一般来说,VPN无法支持单点登录,用户登录后,登录各个系统,仍然需要反复认证。


运维效率

需要关注路由的配置,配置起来相对复杂,也就无法配置更详细的安全策略和权限控制。

有些VPN虽然支持细致的策略,但是因为在多节点、多个路由的情况下,配置起来就非常复杂,如果配置错误,有可能导致部分用户无法访问。


效率角度

很多企业将业务上云如 OA、ERP、CRM 等,对于云上业务的访问,企业通过VPN或专线隧道与云进行连接,出差在外的员工需要通过VPN接入到总部的网络才能访问云上的业务,访问路径的延长对于数据访问的延时高容易造成断线重连等情况。


02使用 OneAuth 的零信任方案的优势


支持各种终端设备的适配

无论用户使用何种终端都可以无需安装任何应用即可实现对零信任的接入,应用程序都将呈现在用户的浏览器上。


高效的稳定性

以往的VPN服务需要建立一个长连接来供用户提供服务,而OneAuth 的无边界方案只有在用户通过认证后,才会赋予用户访问的权限,并且只有在访问时才会连接,而非长期的VPN隧道。有效降低企业带宽的占用率。


权限分配简单快捷

通过OneAuth认证中心,可将钉钉、企业微信、北森进行的组织架构或帐号信息导入,遵循最小权限原则,配置基于用户-终端-资源的网络访问授权,大幅简化配置复杂度。


避免访问绕行,提升使用体验

无论是居家办公的员工、出差在外员工、外包服务的员工、渠道合作伙伴在访问公有云上的业务资源时,无需再从总部绕行,而是直接点对点访问,提升了体验的同时也减少了总部出口带宽压力。


缩小暴露面

让原来需要暴露多个端口,缩小到只保留一个零信任网关的端口,大大降低了攻击面。



03案例分享

案例1

某公司员工规模数千人,大部分员工日常都在总部办公,研发服务器和运营支撑相关的服务部署公有云上,公有云VPC与总部办公区通过IPSec VPN互联,出差在外员工、分支机构员工、合作伙伴、以及居家办公员工,通过SSL VPN连接到总部办公区访问内部业务

[需求分析]

大量远程办公,疫情期间经常出现VPN的拥堵,经常掉线,影响员工工作效率。寻求VPN的替代方案

[部署方案]

使用OneAuth IDaaS + 零信任网关,解决了企业VPN并发瓶颈掉线影响业务的问题。用户无需安装VPN客户端,通过OneAuth 的认证后 即可直接进行业务应用的访问。管理员可通过OneAuth对用户的统一管理、权限分配。降低了企业运维的成本。


案例2

企业内部ERP 、OA 通过端口映射的方式直接暴露到外网,企业员工通过IP+端口的方式访问公司业务服务器。


[需求分析]

暴露面收敛,减少安全威胁。直接进行业务的端口映射,会有较大的安全风险。任何一个业务系统出现安全漏洞就会导致企业内部侵入的可能性。需要尽量收敛互联网暴露面,以最小代价避免来自互联网的安全威胁。

[部署方案]

使用OneAuth IDaaS + 零信任网关,员工通过认证后,才可以通过零信任网关,进行访问业务系统,避免使得业务系统直接暴漏在互联网。


关于OneAuth Zero Trust

OneAuth可在数分钟内部署一个基于云的现代化解决方案,以作为您的企业第一道防线,所有这一切的成本要比自己构建的替代方案所需成本低得多。

如需详细了解 OneAuth Zero Trust 方法、我们的安全交付模型和基于云的访问解决方案,欢迎通过OneAuth.cn联系我们。



转载请注明,谢谢