芯盾时代零信任安全网关的应用场景

近年来，越来越多的企业选择用零信任替换VPN，构建新型远程访问系统，保证远程办公、远程运维的安全。但是，零信任凭借“持续验证、永不信任”的特性、先进的架构、全面的性能，应用场景早已超越了单一的远程接入，渗透到企业网络安全的方方面面。

芯盾时代作为领先的零信任业务安全产品方案提供商、软件定义边界市场的头部玩家，为众多企业提供零信任安全网关（SDP）。在替换VPN之外，芯盾时代不断拓展零信任安全网关（SDP）的应用场景，让零信任安全网关（SDP）这位“六边形战士”，在更多应用场景下大显身手，为数字化转型下的复杂网络环境提供坚实保障。

业务应用安全防护

传统VPN在功能上偏向于“接入”，安全性天然不足，且由于存在互联网暴露面，容易成为攻击者的突破口。芯盾时代SDP在满足远程接入需求的同时，还能够通过以下方式实现对应用的精细化安全防护：

1.业务应用网络隐身：芯盾时代SDP采用应用代理和SPA单包授权技术，由网关统一代理业务应用访问流量，同时对所有连接网关的设备进行预认证，不通过认证不开放端口，实现业务应用和网关双重“隐身”，减少遭受网络攻击的风险。

2.全局多因素认证：借助芯盾时代SDP，企业能够一站式实施全局多因素认证，为员工提供短信验证码、动态口令、App扫码、指纹识别、人脸识别、企业微信/钉钉/飞书认证等多种认证方式，提升身份认证的安全性和便捷性。

3.细粒度访问控制：芯盾时代SDP支持多种权限管理模型，对于业务资源的管理能力细至URL级。企业能够针对内部员工与外部员工、各个部门与临时项目组的不同角色，授予不同的访问权限，实现对访问权限的差异化、精细化管理。

混合办公与分支机构组网

随着远程办公、混合办公成为新常态，如何统一管理分散在各地的员工和分支机构的网络访问成为一大挑战。芯盾时代SDP采用软件定义边界架构，能够帮助企业混合办公和分支机构组网的需求：

1.有端、无端两种模式可选：芯盾时代SDP支持有客户端和免客户端两种模式。在侧重安全的场景下，企业可采用有客户端模式，对终端进行强管控，避免设备带病入网。在侧重体验的场景下，企业可采用免客户端模式，在不改变原有业务访问习惯的同时保证访问的安全性。

2.全局统一的安全策略：芯盾时代SDP的控制器与网关分离，企业可通过控制器直接向网关下发安全策略，获得全局统一的安全策略和访问体验，既能确保安全策略的有效执行，又能简化IT管理。

3.数据加密传输：芯盾时代SDP能够在客户端与网关之间建立加密隧道，保证数据通过互联网安全传输，保证分支机构与总部的通信安全。加密隧道采用国密算法，让数据传输更加安全可控。

第三方人员管控

当前，企业与合作伙伴、供应商、外包人员等第三方的数据交互日益频繁，第三方人员的权限管理不精细、回收不及时，终端和行为管控不到位，给企业带来了巨大的安全隐患。芯盾时代SDP能够帮助企业强化对第三方人员的管控，防范网络攻击和数据泄露：

1.落实“最小化授权”：芯盾时代SDP内置轻量化IAM，能够为第三方人员单独创建身份。SDP的权限管理能力细至URL级，能够帮助企业落实“最小化授权”，授予外包人员业务所需的最小权限，从根本上消除越权访问。

2.强化终端设备管控：芯盾时代SDP采用设备指纹技术，可将外包人员的账号与其经过认证的办公设备进行强绑定，杜绝非法设备入网；SDP客户端内置的威胁感知模块能实时监测终端设备安全态势、用户的操作行为，为安全控制中心提供终端侧的风险信息。

3.有效管控第三方人员行为：芯盾时代SDP的客户端可在外包人员的终端设备中构建一个与本地完全隔离的安全工作空间，实现“数据不落地”，并实施禁止复制、禁止截屏、禁止打印、外发审批等行为管控。

多云环境安全接入

企业业务上云已成大势所趋，但复杂的云环境也带来了新的安全挑战。芯盾时代SDP的软件定义边界架构将控制平面与数据平面分离，在安全性、扩展性、便利性上具备天然优势，能够帮助企业实现以下功能：

1.高效弹性扩容：芯盾时代SDP采用标准的控制器+多节点网关架构，将控制器部署在数据中心，每个数据中心均部署网关节点，不但能保证不同网络环境下的安全策略统一管理，还能快速在线扩容，将升级改造对业务的影响降至最低。

2.一次认证，全网通行：由于安全策略全局统一，员工在接入数据中心时，仅需认证一次，后续即可随意切换网关节点，进行不同数据中心的访问。

3.数据中心就近接入：在双活数据中心场景中，芯盾时代SDP支持就近接入算法，自动连接至访问速度最优的网关节点，保证员工的操作体验。

数据安全防护

除了访问控制，芯盾时代SDP还具备数据脱敏、应用水印、行为管控等功能，能够帮助企业提升数据安全防护水平，避免数据泄露：

1.动态数据脱敏：借助芯盾时代SDP的动态数据脱敏功能，企业可以对业务应用中的手机号、银行卡、身份证号等敏感数据进行动态脱敏。针对不同人群，企业可以自定义脱敏内容、脱敏长度，精确控制敏感数据的访问范围。

2.Web应用水印：针对Web应用，芯盾时代SDP可以在无改造的情况下为Web页面添加水印，对用户进行安全教育、安全震慑和安全追溯，降低拍照截屏外发风险。

3.访问行为管控：借助SDP客户端，企业能够保证终端设备中的数据安全，实现“数据不落地”，并管控复制、截屏、打印、外发等有可能导致数据泄露的行为。

4.可视化审计与分析：芯盾时代SDP提供详细的访问日志和分析报表，企业能够对所有用户的访问行为进行可视化管理和审计，及时发现异常行为并进行追溯。

政务外网终端“一机两用”

针对政务部门的政务外网终端“一机两用”需求，芯盾时代SDP具备“轻量化、高弹性、全可控、更安全”的特点，能够帮助各级政务部门在业务应用低改造、甚至0改造的情况下，一站式实现以下功能：

1.数据和会话隔离：借助安全沙箱，政务部门能够在终端设备中构建与本地空间完全隔离的安全工作空间，实施禁止复制、禁止截屏、禁止打印、外发审批等行为管控，实现数据隔离。借助安全沙箱，政务部门确保每个终端访问政务外网时采用唯一会话，实现会话隔离。

2.网络隔离：当用户登录客户端访问政务外网时，禁止终端设备访问互联网，避免终端设备在访问互联网时感染病毒，成为攻击政务外网的“跳板”。

3.避免风险设备入网：芯盾时代SDP客户端内置终端威胁态势感知模块，并且能够与第三方EDR无缝对接，建立终端安全基线检查机制，拒绝风险设备接入政务外网。

从替换VPN，到混合办公，再到保障多云接入，芯盾时代SDP已在众多企业的实际应用中展现了其领先的安全性、可用性和适配性，获得了客户的高度认可。

如果您也想让每一名员工在任何时间、地点，用任何网络和设备，安全便捷地进行远程办公，芯盾时代零信任安全网关（SDP）是您的不二之选。