全球数字经济快速发展，企业数字化转型成为时代潮流，而在线办公是企业实现数字化转型的“必经之路”。过去的一年，疫情影响使在线办公应用得到极速增长，企业原本置于内网的具有敏感性的业务系统不得不对互联网进行开放，移动互联网无边界的访问环境使企业网络安全风险进一步扩大。打破网络边界，以身份为基石的动态可信访问控制体系——零信任安全架构，成为保障企业在线办公安全的强有力支撑。

3月4日，白山云科技联合FreeBuf直播平台，邀请企业安全专家，一起分享了企业在无边界办公场景下的零信任安全实践。

完美世界高级安全总监 何艺

何艺介绍，在完美世界的零信任架构搭建中，首先采用web网关实现员工身份的统一认证，员工需通过web通道的访问认证，才能看到页面和具体的业务。然后在用户终端部署相应的agent采集用户的身份信息、监测用户的身份状态，经过安全网关鉴权后，将请求转接至后台应用服务器，再通过授权打开访问通道。并且将在终端和网关采集到的用户访问数据，结合安全运营平台，进行实时的风险分析，做到全局的安全分析工作响应，实现零信任架构的闭环。

完美世界零信任远程办公方案

快手高级安全研发工程师 孙大川

孙大川介绍，快手的零信任安全架构可分为五大部分：

▪ 可信设备管理

可信设备管理通过终端上的安全风险发现能力，为访问控制决策服务提供了实时的设备风险数据，同时集中的安全策略管控能力也可以整体提升用户设备的安全水平。

▪ 访问控制决策服务

访问控制决策引擎作为零信任架构的核心，是零信任的决策中心。在用户基础权限的基础上结合实时的风险状态数据计算风险决策，以实现对用户请求的动态访问控制。

▪ 应用安全网关

应用安全网关是零信任访问控制决策的执行者，网关接受用户请求后，向访问控制引擎查询当前请求访问权限及风险，实现转发或拦截用户请求。

▪ 身份鉴别服务

输出通用的零信任多因子认证能力，建立内部系统用户“身份统一”的枢纽。

▪ 日志服务

日志服务统一收集上述组件的日志，可以提供用户内网访问行为的审计能力，同时通过挖掘日志中埋藏的数据，还可以给访问控制决策服务输出多维度的判断依据。

快手零信任架构五大组件关系

白山云科技安全解决方案专家 江达鑫

江达鑫介绍，企业在线办公的场景中常常会遇到应用访问速度慢、权限管控难、安全无保障三大挑战，白山通过打造基于零信任安全理念的应用可信访问解决方案，已成功助力多家客户实现在线办公的安全起航。

▪ 访问加速

白山通过全球部署超600个的边缘节点，对网络访问路径进行实时探测，基于质量智能选择最优路径，并智能感应邮件、视频等应用协议，自动匹配切换最快访问路径。

▪ 权限管控

基于零信任架构和理念，构建“访问端、身份、应用端”三元合一的可信访问实体。通过部署在边缘节点的访问控制引擎，进行信任、策略、身份的评估，授予访问权限，提供允许访问、绕过验证直接访问、拒绝访问三种处置方式，实现最小权限原则。

▪ 安全保障

通过规则引擎、无监督算法引擎、主动进化引擎、用户行为分析、威胁情报监测等技术能力，进行持续的安全评估，保护登录环节账号的安全、保护系统免受大流量和漏洞攻击、保护企业和办公系统之间的数据安全。

白山在线办公安全解决方案

【白山会安全+直播间】

白山云科技是全球领先的边缘云平台服务商，提供中立的基础设施、云原生安全、开发者引擎等产品及服务，致力于为全球互联网、政企、企业客户提供综合性解决方案。白山会安全+直播间，将持续邀请行业安全专家，洞察前沿技术发展，透视网络攻防本质，帮助企业建设网络安全防线，提升安全运营效率。