实例|远程办公和零信任全都要

需求背景​

随着移动办公和远程接入的广泛应用，分散的用户、终端和数据使得企业安全边界越来越模糊，传统的组网方式和基于边界的安全防护架构都受到前所未有的挑战。

场景实例​

现状描述​

1. 某金融公司员工规模3000人，使用飞书统一管理帐号，大部分员工日常都在总部办公，研发服务器和运营支撑相关的服务部署在总部办公楼的机房。

2. 公司对外服务的业务系统部署在互为备份的两个公有云上，公有云VPC与总部办公区通过IPSec VPN互联，日常维护由总部运维工程师远程接入云服务VPC进行维护。

3. 出差在外员工、分支机构员工、合作伙伴、以及居家办公员工，通过SSL VPN连接到总部办公区访问内部业务；或通过总部远程接入区跳转访问自建服务器区或云VPC临时处理问题做运维。

网络拓扑​

需求分析​

1. 暴露面收敛，减少安全威胁

   VPN系统漏洞和互联网暴露面问题，导致自身容易被攻击。需要尽量收敛互联网暴露面，以最小代价避免来自互联网的安全威胁。

2. 优化体验，降低带宽成本

   移动办公员工、异地办公区员工访问云服务器资源的时候必须先绕道访问总部VPN网关或接入区做跳板才能访问业务资源，增加了访问延时，导致远程访问体验差，并且还增加了总部办公区出口带宽的耗用。

3. 采用易于配置运维的细粒度策略，同时降低运维成本

   虽然SSL VPN可以通过帐号密码进行认证，但远程员工先访问总部接入区做跳板的方式造成在网络层面无法实现细粒度管控；只能宽泛地将服务器区和云VPC区向总部远程接入区网段完全开放，以确保业务访问不受影响。

   一旦有人通过VPN接入到总部远程接入区，在网络层面可以访问所有内部服务器区和云服务VPC，存在内部安全威胁。

   需要在网络层面基于员工身份执行更细粒度的访问控制，降低内部入侵风险。由于员工组织架构日常通过飞书进行管理，需要通过飞书帐号来设置访问控制策略，降低管理运维成本，提高运维响应时效。

部署拓扑​

 

部署方案​

1. 信域管理控制平台TMC和信域域名解析服务TMD部署

   TMC和TMD部署在总部服务器区，配置内网IP地址，禁止外部网络的直接访问。

   在TMC上配置飞书身份源，定时同步飞书组织架构和帐号。

2. 信域安全网关TMG部署

   在总部自建服务器区部署两台TMG网关，代理服务器区内的所有业务资源，每一个业务资源同时被两台TMG代理接入。

   在总部办公区出口和公有云VPC出口配置DNAT，将TMG的UDP9527端口映射到出口IP的某个固定端口。

   除了TMG对外开放的UDP端口外，停止其他对互联网开放的内部业务资源的IP地址和端口，从而所有内部业务资源以及TMC、TMD都对局域网外隐身。

3. 信域客户端TMA部署

   居家办公员工、出差在外员工、分支机构、渠道合作伙伴和总部办公区员工的办公终端上安装信域APP，通过信域APP接入信域安全云网。

实现效果

​

 

1. 避免访问绕行，提升终端用户体验，减少企业出口带宽成本

   如上图所示，部署信域安全云网后，虚拟网络从逻辑上，将居家办公员工、出差在外员工、分支机构员工、渠道合作伙伴以及总部办公区员工的终端，与分布在公有云和总部服务器区的业务资源统一构建在一个点对点全互联网络中。所有用户访问业务资源时都是点对点直连，无需切换不同VPN链路，提高访问效率。

   居家办公员工、出差在外员工、分支机构员工、渠道合作伙伴在访问公有云上的业务资源时，无需再从总部绕行，而是直接点对点访问，提升了体验的同时也减少了总部出口带宽压力。

   所有业务资源分别被两台TMG代理，用户在访问业务资源时动态选择最佳路径，实现了网络的性能和高可用，为终端用户提供了稳定快捷的访问体验。

2. 网络隐身，以最小成本规避外部安全威胁

   云服务VPC、总部服务器区仅通过TMG的UDP端口对外开放，所有发往这个端口的数据包都需要逐包验证，实现了业务资源网络隐身；

   内网与互联网默认不可信，业务资源对未认证授权的用户帐号和终端始终不可见，因此避免了来自外部不可信网络的攻击威胁。

3. 基于飞书帐号进行全局访问控制，大幅降低运维管理工作量

   通过飞书的组织架构或帐号信息，遵循最小权限原则，配置基于用户-终端-资源的网络访问授权，大幅简化配置复杂度。

   所有细粒度策略根据帐号、终端和业务资源的实际情况动实时计算，在TMA和TMG分布式执行，管理员无需因人员增减变动而手动调整策略，减小运维管理工作量。