如今，各行各業的數字化轉型已是大勢所趨，但大規模的推廣應用數字技術仍然面臨一些挑戰，尤其需要面臨重重的安全風險，覆蓋基礎安全、雲安全等更多細分領域，也對解決方案提出瞭更高要求。白山雲根據企業遠程訪問安全要求，選擇用零信任架構來保障企業安全。

有效解決下列場景與挑戰：

八個分支分佈在全球不同區域，客戶遍佈全球各地，基於業務發展需求，員工隨時隨地可能通過VPN方式遠程開展工作，受限於接入方式和接入環境，在接入工作前需要執行終端安全檢查，避免處於風險的網絡環境，工作效率受到很大的影響；

員工遠程訪問企業內部服務，存在一定安全隱患，一是可能受賬密脆弱性影響，導致被竊取或撞庫風險，二是BYOD可能被監聽或劫持，導致內部數據存在泄露風險；

不同員工職能不同，具有不同的業務環境訪問需求，業務系統繁多，既有雲上SaaS服務，又有企業內部自建服務，以粗粒度方式管理員工應用訪問授權，每個應用都有一個獨立訪問路徑和賬戶體系，給管理員帶來極大挑戰。

白山雲零信任遠程訪問實踐項目完成瞭白山雲內部應用的ZTNA改造，涉及到白山雲內部自建系統及SaaS服務，同時還有Linux、Windows服務的SSH、RDP、VPN等協議應用。兼顧高可用訪問和安全可信訪問，提供統一管控平臺，實現業務按需隱藏，幫助白山雲建立身份認證體系、高效便捷的接入方式、標準化資源控制、降低IT復雜度，全面強化安全。

一方面針對全員近千人，幾十種職能角色，實現由單一本地化辦公模式，拓展至支持依托ZTNA的遠程訪問方式，大大提升遠程辦公體驗、效率和安全性；另一方面針對用戶、訪問鏈路、應用、數據等各個環節進行全局統一管控，構築可管控、可審計的零信任安全訪問閉環。

項目部署基於零信任架構和理念，構建“訪問端、身份、應用端”三元合一的可信訪問實體，實現在非特權網絡中對業務資源和數據的安全、穩定、高效的訪問。采用SaaS模式，無需復雜的部署和安裝，所要求的功能可以在產品上自主通過可視化界面配置，平臺使用B/S設計架構，不需要安裝任何軟件和代理，可以通過瀏覽器遠程使用。

邊緣網關充當業務應用的訪問入口，最大化地降低瞭業務應用被暴露在互聯網中遭受各類攻擊的風險，無法被外部掃描滲透，不再被動地修復漏洞，實現瞭對源站應用的隱身保護；

訪問可信檢測：基於每個訪問連接施行動態授權，輔以用戶行為分析，更好地透視與管控企業應用安全，按需限制或拒絕存在安全性風險的訪問請求；

訪問控制引擎：根據特定用戶/用戶組的身份、職能、需求授予訪問權限，實行最小權限原則，更好地保護敏感生產環境的訪問安全；

身份信任管理：提供身份生命周期管理，包括OTP動態口令、企業微信、OIDC、SAML等多種身份驗證方式；

應用可信接入：提供上千種SaaS應用接入模板，集中SaaS應用訪問入口；提供SSH、RDP、VNC等協議應用遠程安全接入；提供內網僅出站連接的單向隧道，實現內網應用 SaaS化。

項目實踐具體效果如下：

整體工作接入效率提升3-5倍，具有更強的安全體系和更便捷的管理工作；

建立集中身份信任服務，形成統一的身份認證中心、SSO和多因子認證，輔助建立多層次防禦，加強身份驗證的安全性；

可通過統一門戶接入，提升用戶體驗，內網應用快速SaaS化，集中管控雲上SaaS應用，保障所有終端同時在線的情況下穩定、高效、安全的辦公，提高員工生產力；

標準化資源控制、隱藏資產攻擊面，無法被外部掃描滲透，不再被動地修復漏洞，擺脫對防火墻、設備的依賴，降低IT維護成本；

細粒度訪問控制手段，可視化的策略管理能力，雲原生安全平臺防護能力，多維度的強化網絡安全。

整體來看，白山雲作為甲方零信任實施者，選擇用零信任架構全面強化瞭企業的安全能力建設。作為國內創新的獨立邊緣雲服務提供商，白山雲將持續深耕零信任領域，為更多企業客戶提供高速、安全、靈活的解決方案。