安全解读 | 零信任身份治理保障远程办公安全

往年此时，你一天的节奏应该是这样的：起床，坐车到公司，处理邮件，协调工作，不定时微信交流沟通，会议室开会，连线远程同事......再和同事约个午餐，和朋友下班小聚，忙中有序。

今年此时，我们的生活和工作被一场突如其来的疫情所打乱。为了确保员工安全，不给战“疫”添乱，很多企业积极响应国家和政府的号召，安排员工在家办公。顿时，远程办公成为新的生产力。视频会议、文档协同、远程接入等各种远程办公工具成为“网红”，为远程办公提供效率和便捷性。这种“宅家”模式的远程办公，会不会产生新的问题呢？

答案是肯定的。大量的远程办公需求，对访问安全、数据安全、终端安全、个人隐私保护等都带来的挑战。

从访问安全的角度来看，远程办公打破了传统网络安全的防护边界，无边界的业务访问越来越多，企业经营数据、办公流程、网络资源都面临身份识别、认证鉴权、合规审计各方面的安全风险和隐患，需要实现高级别的安全可信。

由此，基于“零信任”架构的安全机制和解决方案，将为企业的远程办公加强防护，保护企业信息安全。

随着远程办公的开展，企业信息安全将面临安全边界的模糊化、访问设备的可信度缺失、大量的第三方外部访问、海量的运维量，而企业的基础架构却无法瞬时改变，运维人员数量也无法马上提升，现有的传统安全架构无法满足当下的业务及系统需求，基于“零信任”架构的安全方案，能很好的满足远程办公对信息安全的需求。

什么是零信任安全？

零信任是一个安全概念，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。

“零信任”安全的本质就是以身份为中心的访问控制，摆脱原有企业以网络为中心的安全防护体系，建立基于身份安全的企业身份边界，并基于用户-设备的认证突破企业安全网络边界的限制，重建企业信息化信任体系。

基于“零信任”架构的身份安全

企业在进行“零信任”架构的建设时，身份安全则是其最核心的部分。基于“零信任”架构的身份安全，能满足以下远程办公场景：

1. 企业移动平台办公：企业员工通过移动接入、远程接入应用系统，确保访问安全和应用安全。

2. 企业远程管理应用和服务：企业运维人员的账号，通常属于特权账号，一旦泄露，信息安全风险极大，企业需要加强对特权账号远程访问行为的管理，保障这些账号的访问安全和行为追溯。

3. 企业云平台办公：现在，基于SaaS平台的应用越来越多，为远程办公带来可极大的便捷性。同时，这些应用都部署在外网上，部署一套基于IDaaS的云身份管理平台，将成为保障SaaS登录安全和应用访问安全的有效途径。

企业移动平台办公的身份安全

在企业基于边界网络下，风险还处在可控范围，一旦企业应用系统开放至互联网，这些问题带来的安全风险将会以指数级增加。

派拉身份安全平台可以从以下几点为企业解决这些风险：

1. 账户全生命周期自动管理：身份安全平台围绕企业用户的人事管理场景，通过接口和人力系统、应用系统实现对接，实现企业应用系统用户账户与人事管理场景自动同步，实现用户账户全生命周期管理和应用账户自动化管理，避免企业系统出现离职未禁用、使用完毕未回收的账户安全风险。

2. 集中安全认证：身份安全平台为用户访问应用提供统一入口，并提供多种高强度安全认证手段、安全认证协议保障认证安全。同时，结合“大数据+AI”的方式构建起“用户-设备-认证习惯”的认证风险体系，最大限度提升企业应用系统访问安全性。

3. 统一权限体系：身份安全平台对企业信息系统进行统一授权，通过一体化授权给企业信息系统进行权限统一供给，构建企业完善的权限体系。

4. 应用安全防护：结合我司安全网关平台，可以实现对企业所有应用API接口进行安全防护，将来自外部不可信的访问进行过滤为可信访问，提升应用服务安全性。

5. 可视化审计：身份安全平台对账户管理的情况、认证的情况、授权的情况、平台工作的现状、面临的风险进行记录，并进行可视化分析，更好的控制企业身份安全的风险，有效的帮助企业规避风险。

在移动办公的时候，企业运维人员也需要访问我们的基础设施进行日常运维， 而作为企业信息建设的基础设施，一旦开放至互联网，随之而来的黑客攻击、渗透攻击等都将威胁到这些基础设施，进而影响整个企业的信息系统稳定性。

派拉特权账号管理平台，可以从以下几点为企业解决这些风险：

1. 运维人员管理：企业对于运维人员需要进行明确的职责和角色的划分，并且通过特权账号管理平台可以对运维人员提供身份信息管理、身份信息同步，运维人员账户全生命周期管理。

2. 特权权限管理：特权账号管理平台可以对基础设施、应用的特权账户进行集中管理和访问控制，基于运维人员的职责和角色进行基于角色的临时授权，能够实现特权账户的申请、授权、改密等全场景。并支持对于运维过程中关键命令的集中控制，可以进行按需临时授权，也可以进行二次验证授权，最大限度保障特权使用安全。

3. 统一认证管理：特权账号管理平台为运维人员运维提供统一入口，并提供多种高强度安全认证手段、安全的认证协议保障认证安全，同时特权账号管理平台也支持基于策略的认证管理，最大限度提升企业基础设施、应用运维安全性。

当下，越来越多的企业选择将应用部署在云端，或者直接选择SaaS应用，比如我们常见腾讯企业邮件、钉钉、企业微信等等，我们如何统一管理这些云端应用账号？如何实现单点登录？如何解决云端数据与内网数据的互联互通？如何确保云端应用接口的安全性？成为了很多企业在部署云端应用的安全痛点。

派拉SSO360云身份管理平台可以从以下几点为企业解决这些问题：