在远程办公、混合办公、跨团队协作日益频繁的今天,企业的业务开展需要支持多种访问接入的需求和场景。如何平衡企业数据的安全访问和办公效率将成为挑战。
在业务的多种接入场景上,企业引入零信任(Zero Trust,ZT)产品实现暴露面收缩,为内外网应用建立可信的网络访问环境。零信任产品虽然解决了访问层的安全需求,但底层的身份认证能力没有覆盖,分散的业务系统无法通过零信任产品来提升办公敏捷性。因此,零信任产品和统一身份认证的联合解决方案,才是企业平衡安全访问和办公效率的解决之道。
身份是零信任安全架构的基石
零信任产品准确来说是零信任网络接入产品,是指通过安全的网络通道接入服务器资源,并提供持续的访问控制、安全评估及阻断。零信任安全的防护理念在于持续验证、多源安全评估、动态访问控制等,但就目前零信任产品的功能而言,并未完全做到以“身份”为基石进行展开。尽管国内厂商开发了很多零信任产品,但在实际应用过程中,零信任产品并未发挥真正的力量。
零信任技术由SDP(软件定义边界)、身份增强(IAM 身份和访问管理)、微隔离三大组件组成,其中身份增强部分主要与IAM相关。原因在于零信任安全理念在国外提出时,身份模块建立在微软 AD 运用已十分广泛的基础上,因此 IAM 用于增强 AD 在其他场景下的能力。但国内 IT 建设并无成熟的身份底座,从理论上来说,身份增强组件应包含 LDAP 目录服务才能形成闭环。
宁盾统一身份认证与零信任联合解决方案
宁盾统一身份认证系统以 LDAP 目录服务为核心,集成了LDAP、RADIUS、SSO及 IAM 系统所具备的协议/能力,对接零信任网络接入系统后,既可以作为活动目录(微软AD角色),为零信任提供身份认证源,也可以提供网络层身份鉴别、应用层身份认证和权限管控、多因素身份认证、SSO单点登录等能力,以满足不同企业不同场景不同需求。方案场景如下所示:
收拢分散身份,为ZT提供标准身份认证源
统一身份认证系统主要为企业身份、认证、授权的全场景提供相关的身份认证及权限管理的基础服务。支持对接企业现有的内网和外网系统的用户身份信息,如OA、HR、4A、AD、自研系统等,通过将企业现有的身份源进行梳理和整合,打通身份流程链路,实现对企业员工身份生命周期自动化管理,为零信任网络接入平台提供身份基础设施服务。
宁盾提供 LDAP 身份源,将零信任通过 LDAP 协议与宁盾目录进行对接,实现 LDAP 同步用户和用户 LDAP 认证,同时宁盾支持将零信任的认证转发到其他用户源进行认证,保障企业员工的用户账密使用习惯。
图源:宁盾
移动办公场景,单点登录提升办公效率
企业对内网的应用业务实现统一身份和单点登录,并结合零信任方案实现移动办公应用访问,将应用与零信任进行结合,只有认证通过的用户,并且具备足够的权限才能访问业务。
场景一:零信任作为应用实现单点登录
零信任网络接入系统作为单点登录应用之一,宁盾统一身份认证为其提供应用层的接入认证和权限管理。
图源:宁盾
场景二:零信任作为单点登录门户
将应用系统集成到零信任网络接入平台,用户访问零信任平台后,可在其平台点击应用图标完成登录认证。
图源:宁盾
场景三:业务接入,构建零信任边界
用户终端访问应用,需要先和零信任控制中心建立连接,完成认证,认证通过后,控制中心可将访问应用的会话凭证通知给应用,从而继续完成应用的认证。
图源:宁盾
场景四:结合办公软件(企微、钉钉、飞书)打造零信任场景
将单点登录应用以H5应用方式发布到办公软件(企微、钉钉、飞书)工作台中(Embedded Link),员工访问H5应用时,零信任全程静默在线提供访问保护,保障员工安全使用内网H5应用。
图源:宁盾
加强安全防护,多因素认证增强身份鉴别
为了降低密码泄露带来的风险,需要对零信任网络接入平台使用多因素认证进行二次动态密码验证,配合 AI 智能分析得出存在部分风险的时候,统一身份认证系统能自动要求用户进行高强度的身份验证。
图源:宁盾
从安全防护到业务敏捷,零信任安全投资最大化
统一身份认证系统与零信任网络接入平台的联合方案,增强了零信任安全架构中身份认证和访问管理的能力,帮助企业更好地实现对安全访问和办公效率的双重提升,其方案价值主要体现在以下三点:
- 一站式的虚拟门户和单点登录,为企业用户带来更好的访问体验
结合零信任平台,实现单点登录效果,用户只需要登录一次就可以访问其权限内的系统。当用户在零信任平台完成身份认证和访问认证后,即可访问权限内的应用系统,用户无需再输入原有系统密码,简化了登录流程,节省了员工在各个业务系统之间的切换时间。也无需记忆大量密码,提高用户办公效率和体验。
- 打造更为安全的办公环境,实现自主可控的安全解决方案
与零信任重新构建安全边界,宁盾身份为深信服提供身份认证,作为安全的最后一道边界,实现对企业内员工身份信息的保障;同时宁盾也可以做好第一道防线的增强,增加动态认证,能更好的保障认证和使用的安全性。
- 安全动态感知和联防联控
结合宁盾以身份为中心搭建方案,打通企业网络、应用、数据,实现全链路身份管控与审计,精准跟踪到每个人的行为,实现突发事件的快速响应。
![[开源更新] 企业级<span style='color:red;'>身份</span>管理<span style='color:red;'>和</span><span style='color:red;'>访问</span>管理系统、为数字<span style='color:red;'>身份</span><span style='color:red;'>安全</span>赋能](https://img-blog.csdnimg.cn/img_convert/bb8b7914c701f98fef8f19d246bafcf3.png)
