安全419《远程办公解决方案》——易安联篇

 

受疫情反复无常的影响，各行各业复工成为难题，远程办公的需求持续爆发。事实上，互联网的快速发展和信息技术的日益升级，为更加灵活的办公方式提供了技术支持，远程（或混合）办公模式在欧美企业早已落地，受到员工普遍欢迎。

 

为了探究并呈现远程办公在国内的发展情况，以及企业的真实诉求和应对方式，安全419推出《远程办公解决方案》系列选题，本期，我们邀请到江苏易安联网络技术有限公司（以下简称“易安联”）方案营销总监张英涛，为大家分享他们的观察和实践。

 

 

我们首先来认识一下这家企业。易安联聚焦于零信任安全，围绕应用访问安全，先后发布EnSDP（零信任安界防护平台）、EnBox（零信任安全工作空间）、EnCASB（零信任云应用安全接入平台）、EnAppGate（统一资源发布系统）、EnIAM（零信任身份管理平台）、EnNTA（零信任网络流量感知平台）6款基于零信任架构之下的网络安全产品。在今年宣布完成新一轮融资后，将重点投向零信任产品协议标准化，建设零信任SASE平台。

 

疫情推动远程办公加速落地 价值与挑战并存
 

张英涛告诉我们，目前，国内大部分企业对远程办公模式持有偏见，仅将其作为正常办公的一种补充手段而绝非主流形态，无论是疫情前还是疫情期间都是如此，只不过疫情让企业不得不增加了远程办公的份额。

 

毋庸置疑的是，伴随时代的发展，远程办公的应用场景必然会越来越多。远程办公突破了地域、文化等等的限制，可以实现资源价值的最大化，也满足企业追逐高效的目标。未来的元宇宙时代，远程办公模式甚至将终结现场办公模式。

 

但是，如果想要大面积应用远程办公，模式的转变必然会带来一些麻烦，企业需要考虑如下问题：

 

1、办公效率问题：在远程办公模式下，互联网到数据中心的网络连接、应用访问的权限管控、共享资源的获取等等问题都会影响员工的工作效率；频繁的解决终端接入问题、攻击溯源问题、行为统计问题等也会让管理员和运维人员疲于奔命。

 

2、数据安全问题：由于缺乏必要的保护措施，远程办公可能加剧组织数据安全的风险，远程环境可能促使员工实施更多的违规行为，造成人员主动泄密事件的发生；BYOD设备的多样化，加剧了终端被动泄密的可能性。

 

3、用户体验问题：远程办公可能会改变用户的使用习惯，增加员工的学习成本，引发员工的抵触情绪，降低用户体验。

 

4、平滑过渡问题：系统的每一次改造、升级、扩容，对企业的正常生产经营活动都是一次冲击，甚至带来-不可预估的后果。

 

远程办公方案多 按需选择最适宜
 

针对企业业务性质和岗位类别的差异，张英涛建议，企业要根据自己的实际需求选择适合自己的远程办公方案，如果只是需要网络连接保障，可能使用一些免费的工具（如向日葵）就可以了；如果需要多云接入，可以考虑SASE一类的云安全接入方案；如果是研发设计等关键岗位，除了考虑网络的连接以外，也要考虑数据安全等方面的内容。

 

如今，市面上常见的远程办公方案有如下几种：

 

VPN：这是大家都很熟悉的一种方案，目的就是让公司电脑和自己的电脑保持在同一个局域网环境下，以便能够在自己的电脑上访问公司的办公资源，是目前使用最多的一种方案。

 

虚拟云桌面：又称桌面虚拟化、云电脑，是替代传统电脑的一种模式，用户安装客户端后通过特有的通信协议访问后端服务器上的虚拟机主机来实现交互式操作，达到与电脑一致的体验效果，也是移动办公的最新解决方案。

 

使用内网穿透实现远程桌面或者远程服务：内网穿透的解决方案相当成熟，常见的软件很多（如花生壳），可以提供简单、便捷的远程访问服务。

 

零信任：零信任解决方案以及其拓展方案SASE是目前最火的远程安全办公解决方案，其最大的优势是解决连接的同时保证了访问和数据的安全，这一点是其他远程办公软件很难实现的。

易安联零信任远程办公解决方案 兼顾效率、安全、体验
 

作为一家聚焦于零信任的网络安全厂商，易安联打造了零信任远程办公解决方案，利用上下文访问智能分析、动态访问权限控制、单包授权双向认证等核心技术，实现访问细粒度权限控制、访问动态评级授权、业务安全发布、用户行为全流程可视审计，从而构建端到端的安全访问新模式。

 

应用隐身：采用单包认证（SPA）技术，业务系统不直接暴露在互联网上，减少被攻击面，使得攻击者无法嗅探、访问到我司接入到互联网的应用。

多因素认证：支持多因素认证方式增强身份鉴定能力，提供短信验证码、企业微信、钉钉扫码等社交化形式；兼容现有用户认证手段如PKI体系等。

态势感知：实时同步全球安全威胁情报，及时感知已知威胁，全方位多维度安全数据挖掘，支持用户、设备、应用等维度数据采集，可以对用户行为、设备等信息进行全面统计并输出多维度报表。

动态授权：通过ABAC的权限管控机制，基于访问主体属性、访问客体属性、环境属性综合判断用户对应用的访问权限，在访问者能完成日常业务的前提下，给与其所需要的最小授权，防止用户访问自身权限以外的应用，防止对敏感业务或数据的访问。

行为分析：对用户访问应用的全量数据分析，支撑全系统多维度海量数据关联分析，帮助客户全面掌控网络安全态势，精准识别定位风险源头，闭环进行威胁事件的发现、溯源、取证、研判、处置，保护业务与数据资产安全。

 

在办公模式转型需求明确的前提下，企业虽然重视效率和安全，但更加需要重视的是，提供的解决方案是否会对现有的IT体系造成冲击？换句话说，能不能“不改变现有体系，不影响现有业务，不改变用户使用习惯，旁路部署，随转随用”。

 

因此企业首先要解决的是：在不影响员工办公体验的基础上，在轻量化兼容部署和平滑过渡的前提下，保障企业的应用访问安全和终端数据安全。

 

据张英涛介绍，基于易安联零信任远程办公解决方案，企业的传统网络安全体系不需要改变，企业应用的零信任转型也不需要一刀切，可以按需逐步转换、灰度升级，实现业务不中断割接转型。同时可通过集成延用原有的各类访问终端，实现零信任客户端的无感知升级，保留员工的原有使用习惯，保证用户的使用体验，最大程度减少来自终端用户的推广阻力。

 

首先，方案通过策略层和连接层的分离，确保只有合法用户的流量才能够到达应用网关，从根本上解决了VPN网关容易成为跳板的问题；其次，实现对身份、流量、环境的实时动态检测，从客户端到服务端全链路解决安全问题；再次，提供了更为丰富的端侧选择，SDP客户端、普通浏览器、钉钉微信H5程序、终端杀毒、终端管控、终端检测、终端数据防泄露等都可以作为远程办公接入端，极大的提升了员工的使用体验；最后，从紧靠用户的统一入口，到贴近应用的访问网关，加上控制中心，打造了一个全封闭的应用访问区间，最小化网络攻击面，充分保障应用访问安全。

 

 

为了保障终端数据安全，易安联推出零信任安全工作空间作为可信的终端工作环境，将BYOD设备的私人娱乐环境和企业办公环境彻底分开，既保证了员工个人的便利，又保证了企业数据的安全。工作空间与宿主机之间保持数据、网络、应用、进程和通信全隔离，工作空间内数据强加密并且数据流转受控，企业员工只能在安全工作域内访问业务资源。控制中心维护和下发空间的安全策略，支持工作空间生命周期管理，可自动强制清空工作空间，降低数据泄露和攻击风险，同时对工作空间内所有操作持续监控与日志上报分析，对端侧环境风险、业务系统异常访问、用户异常行为及时检测识别。

 

身份、流量、环境的实时动态检测和安全工作空间基于策略控制中心的有机结合，可以最大程度保障用户端安全，打造集终端环境安全、数据防控安全、数据交互安全于一体的安全办公新模式。

 

 

远程办公势不可挡 安全方案将走向融合统一
 

后疫情时代，企业数字化转型浪潮汹涌而来，远程办公成为提升企业办公效率的有效途径。再加上混合云和SaaS时代的来临，企业逐步从私有云向混合云迈进，对于内网环境的依赖性不断降低，传统办公模式向线上线下相结合的混合办公模式转变已经成为不可逆的趋势。

 

张英涛认为，远程办公继续向前发展，将呈现如下趋势：

 

终端安全大融合。零信任客户端、终端准入、终端杀毒、安全空间、DLP、EDR、EPP等等端侧软件将以合一的方式呈现。

应用分布式部署。随着公有云、混合云、SaaS的普及，应用的物理位置不再是企业制定安全防护首要考虑的问题。

封闭的办公环境。所有的办公数据逻辑上存在于一个封闭的空间，空间内的数据向外流转要基于策略和流程。

统一的策略管理。安全产品碎片化的时代即将终结，统一管控联动的时代来临，单点安全产品逐步融合为整体安全平台。

 

他最后谈到，易安联的远程办公解决方案是一种整体零信任解决方案，消除了整个方案对硬件的依赖，仅使用软件就可以完成部署和管理，实现可视化的网络连接。这种连接必须先验证每个设备和身份，然后才能授予对网络和应用的访问权限，这显著减少了攻击面，对未经授权的用户隐藏了系统和应用程序的漏洞，同时零信任客户端可以创建一个隔离加密的工作空间，将BYOD的个人空间和办公空间完全隔离，从而实现更快、更好、更安全的企业办公。