文档首页/ 安全与治理/ 华为云办公安全解决方案/ 方案概述
更新时间:2022-12-01 GMT+08:00
查看PDF
分享

方案概述

应用场景

  1. 普安场景实现一机多用
    • 场景描述

      终端需要连接多张网络,为实现网络隔离,连接每张网都需配置单独的终端或者VDI,投入成本和运维成本较高。

      疫情期间远程开发远程办公,核心代码和敏感数据存在泄露风险,VDI成本高,对出口带宽要求较高;

    • 解决方案

      单网通:终端用户在同一时间仅可访问单个网络;

      单台终端创建安全沙箱,沙箱之间及沙箱与本地数据隔离,沙箱通过安全网关访问相应的业务,并通过水印进行安全教育和泄密追溯;

    • 方案价值
      • 成本低:无需采购多台终端或VDI;
      • 体验好:用户只需操作单台终端,实现“一机多用”;
      • 高安全:数据隔离和通道隔离,同时实现业务的隐身;
      • 易运维:只需运维单台终端,运维工作大量缩减;
        图1 图示1
  2. 高安场景实现专机专用
    • 场景描述

      随着业务的需要,企业下发给员工配发设备,需要增强管控该类设备。

      • 专机私有化,员工私自下载软件。
      • 设备数据安全无法保障,违法外发。
      • 企业无法实时掌握配发设备使用情况,难以管理资产。
    • 解决方案

      配发设备专机专用,不允许私自下载软件及数据违法外发操作,提高设备使用效率

    • 方案价值
      1. 统一安全桌面,利用无法退出的特性实现专机专用和数据安全;
      2. 其他:安全接入、安全桌面、应用商城、移动沙箱、安全水印
      3. 专用配发pad开展移动业务
        图2 图示2
  3. 移动应用场景实现应用隐藏
    • 场景描述
      • 客户将内部移动应用发布到钉钉、企业微信等软件上,需要将移动应用的服务端口独立开放到互联网,存在互联网暴露和被攻击风险;
      • 业务APP同样需要解决接入安全和数据防泄漏;
      • 行业监管加大对移动应用的安全检测力度,监管单位针对互联网暴露风险整改的意见
    • 解决方案

      在企业内网出口部署可信接入网关,将钉钉、企业微信上的移动应用URL代理到可信接入网关上,由可信接入网关统一转发到企业内网服务端;

    • 方案价值
      1. 安全:降低移动应用互联网暴露风险;
      2. 便捷:企业系统零改造;
      3. 成本:无需应用单独开发安全;
        图3 图示3
  4. 远程办公场景实现可信接入、网络隐藏
    • 场景描述

      随着业务的发展,时代的进步,疫情的扩散,企业移动化办公,远程办公的需求逐渐增加,那么移动化办公、远程办公过程中,安全问题尤为突出。

      • 企业资产在互联网中暴露,容易被入侵。
      • 企业内部数据落地员工个人电脑,数据安全无法保证。
      • 由于移动化办公,终端与企业内业务应用互联通道处于互联网环境中,数据容易泄露
    • 解决方案

      SPA敲门机制实现入口隐藏,应用级安全隧道保障传输安全,终端环境感知动态分配访问权限,应用统一门户及全生命周期管理,沙箱、水印等能力保障数据安全;

    • 方案价值
      • 业务应用隐藏在安全网关后面,互联网暴露面收敛
      • 应用统一管理和企业数据防泄漏
      • 身份认证、环境感知与动态授权,保证企业接入终端安全
        图4 图示4

方案架构

图5 架构图

架构描述:

  1. 所有终端设备通过控制平面进行接入企业内部认证,通过终端标准化和身份认证进行信任评估,最小化授权访问
  2. 所有企业业务隐藏在可信接入代理设备后,终端设备通过身份认证后访问可信接入代理设备,由可信接入设备进行代理访问企业业务
  3. 终端设备与可信接入代理建立SSL应用级安全隧道,保护数据传输安全
  4. 终端上设置沙箱,保证不同网络之间互相隔离,数据不落地,保护数据安全不泄露

方案优势

  • 更安全
    • SPA机制“真隐藏”服务,暴露面收敛,天然抗攻击
    • 应用级加密隧道技术,避免内网全面暴露
    • 业内领先的安全沙箱、安全水印,防止企业数据外泄
    • 全面的环境感知能力和动态评分机制,提供持续可信访问
  • 高效易用
    • 提供灵活、便捷的多因素认证方式
    • 支持SSO单点登录和手机扫码联动认证,无需反复认证
    • 统一门户,统一访问入口,规范用户访问行为
    • 部署简单、运维简单
    • 用户行为记录分析,提供丰富的决策依据
  • 扩展性好
    • 微服务架构,按需灵活扩展模块
    • 标准API接口,轻松集成第三方系统;
    • 统一安全架构架构,可集成EPP、一个客户端实现内外网统一管理;
    • 控制平面与数据平面分离,天然适配混合云网络

约束与限制

操作系统限制

  • PC端操作系统:Win 7/10/11、Ubuntu、MAC OS支持3年内的版本(非Windows系统,部分功能不支持);
  • 移动端操作系统:Android、IOS、鸿蒙;

相关文档