企業(yè)數字化轉型的過(guò)程中，業(yè)務(wù)的快速迭代和創(chuàng )新給IT基礎設施帶來(lái)了許多挑戰，關(guān)鍵業(yè)務(wù)上云成為許多傳統企業(yè)的選擇。業(yè)務(wù)上云幫助企業(yè)改變了IT資源不集中的狀況，同時(shí)，數據中心內存儲的大量數據信息，也容易受到黑客的攻擊，如何保障云上數據安全成為企業(yè)考慮的重點(diǎn)。

上海某新勢力車(chē)企通過(guò)在華為云上部署聯(lián)軟SDP，針對移動(dòng)辦公、遠程辦公等新興的企業(yè)辦公場(chǎng)景，實(shí)現用戶(hù)動(dòng)態(tài)按需授權訪(fǎng)問(wèn)，確保內外部員工接入訪(fǎng)問(wèn)云的安全，保障了關(guān)鍵業(yè)務(wù)系統上云后系統數據安全，有效防止了敏感信息的泄露。

在“移動(dòng)+云”的時(shí)代背景下，傳統的安全邊界逐漸被打破，終端遠程辦公逐漸變成一種常態(tài)化辦公模式。作為一家專(zhuān)注于未來(lái)智能交通產(chǎn)業(yè)的創(chuàng )新制造企業(yè)，該車(chē)企數年間形成了上?？偛考颖本?、成都、日本等多個(gè)研發(fā)中心的布局，銷(xiāo)售和服務(wù)網(wǎng)絡(luò )遍布全國主要城市，并逐步拓展至海外市場(chǎng)。

隨著(zhù)組織架構的不斷擴大，該車(chē)企開(kāi)啟了關(guān)鍵業(yè)務(wù)系統上云的進(jìn)程，以滿(mǎn)足高速發(fā)展的業(yè)務(wù)對IT架構高性能、高可用、易擴展和高安全等需求。與此同時(shí)，由于制造業(yè)工藝繁多，業(yè)務(wù)復雜，不少業(yè)務(wù)需要經(jīng)過(guò)第三方合作完成，存在數據泄密風(fēng)險，這也對云平臺的安全功能提出了更高的要求。

在業(yè)務(wù)需求的推動(dòng)下，該車(chē)企亟需引入成熟的SDP解決實(shí)現方案對不同設備、不同網(wǎng)絡(luò )、不同用戶(hù)的訪(fǎng)問(wèn)權限進(jìn)行管控，防止敏感數據外泄。

1)提供安全可控的沙箱空間，對沙箱內的數據和網(wǎng)絡(luò )進(jìn)行隔離，對進(jìn)程、數據、網(wǎng)絡(luò )進(jìn)行統一管控。通過(guò)靈活的管控策略實(shí)現沙箱內數據的流轉控制和審計，結合數字水印及截屏控制，實(shí)現全面的數據安全防護。

基于業(yè)務(wù)現狀，該車(chē)企對安全沙箱有著(zhù)較高的要求，需要完成業(yè)務(wù)系統的外網(wǎng)權限回收，同時(shí)對業(yè)務(wù)系統下載的文件進(jìn)行控制。

經(jīng)過(guò)SDP的安全沙箱功能和單點(diǎn)登錄測試并在生產(chǎn)環(huán)境中驗證環(huán)節，該車(chē)企最終使用聯(lián)軟UEM后臺，在正常使用SDP沙箱的基礎上，拓展未來(lái)適配移動(dòng)設備的功能。方案采用線(xiàn)性部署，通過(guò)負載實(shí)現網(wǎng)關(guān)、管理服務(wù)器、數據庫實(shí)現高可用性，并搭建軟負載，并形成負載集群，用于提供網(wǎng)關(guān)和負載之間通信使用。

▲現場(chǎng)實(shí)施部署架構圖

數據隔離：采用數據重定向方式，對沙箱內保護應用程序的操作請求攔截，沙箱根目錄對沙箱以外的程序隱藏，只有受保護的應用進(jìn)程可以讀取指定沙箱區域內的數據，并且可通過(guò)策略實(shí)現根據用戶(hù)權限控制沙箱內文件是否允許外發(fā)。

剪切板隔離：復制安全沙箱內的受保護數據后，在執行粘貼操作時(shí)，客戶(hù)端對數據粘貼的位置進(jìn)行判斷，通過(guò)策略靈活配置是否允許使用剪切板功能，不影響個(gè)人應用的正常使用。

網(wǎng)絡(luò )隔離：安全沙箱客戶(hù)端對PC上所有應用軟件的網(wǎng)絡(luò )請求進(jìn)行攔截過(guò)濾，最終將符合訪(fǎng)問(wèn)策略的流量通過(guò)客戶(hù)端轉發(fā)至安全網(wǎng)關(guān)，強制只允許沙箱應用訪(fǎng)問(wèn)企業(yè)內網(wǎng)系統，避免個(gè)人應用通過(guò)網(wǎng)絡(luò )獲取企業(yè)數據。

加密存儲：所有寫(xiě)入安全沙箱數據的操作都會(huì )經(jīng)過(guò)加密模塊加密處理再到安全沙箱路徑的磁盤(pán)，實(shí)現文件自動(dòng)加密存儲在沙箱環(huán)境。

單點(diǎn)登錄：聯(lián)軟SDP登錄放置于現有OA系統中，實(shí)現單點(diǎn)登錄門(mén)戶(hù)，提供靈活便捷多因素認證方式，保障安全又注重體驗。

為確保在有限的時(shí)間內更好的完成項目部署，團隊基于總體規劃、整體設計和分步實(shí)施的指導原則，特別制定施工進(jìn)度計劃，保障工作能合理快速的推進(jìn)，并針對可能存在的風(fēng)險制定相應的規避措施和應對方法。

該企業(yè)通過(guò)對上海地區上千點(diǎn)終端部署SDP客戶(hù)端，運用動(dòng)態(tài)的細粒度訪(fǎng)問(wèn)控制技術(shù)、網(wǎng)關(guān)隱身單包授權協(xié)議、可靠的終端安全沙箱功能，水印追溯，模塊化的平臺架構和開(kāi)放的生態(tài)合作體系，實(shí)現用戶(hù)動(dòng)態(tài)按需授權訪(fǎng)問(wèn)，為企業(yè)打造統一的終端安全管理中心、統一的安全策略管理中心、統一的應用系統發(fā)布中心、統一的端管云安全運維中心。

方案保障了該企業(yè)遠程辦公、分支機構訪(fǎng)問(wèn)總部業(yè)務(wù)、“一機多用”場(chǎng)景、多云/多數據中心訪(fǎng)問(wèn)、“內外網(wǎng)”終端統一管理等多個(gè)場(chǎng)景下的業(yè)務(wù)安全，隱藏真實(shí)地址與端口，縮小暴露面，解決業(yè)務(wù)系統在外網(wǎng)暴露的風(fēng)險，相較于傳統的VPN訪(fǎng)問(wèn)模式，該方案在收回外網(wǎng)的權限過(guò)程中，能對客戶(hù)的數據做到隔離和控制，有效避免敏感信息泄漏。

此外，項目采用輕量級解決方案，不改變用戶(hù)使用習慣，不影響沙箱外其它應用的正常使用，同時(shí)可兼容常見(jiàn)主流應用軟件，包括安卓、鴻蒙、UOS、麒麟等主流國產(chǎn)或非國產(chǎn)操作系統，在確保數據安全的前提下，為用戶(hù)提供極致的體驗。

作為中國企業(yè)端點(diǎn)安全領(lǐng)導者，國內率先落地基于“零信任安全”產(chǎn)品的廠(chǎng)商之一，聯(lián)軟SDP經(jīng)過(guò)了行業(yè)和客戶(hù)的實(shí)踐，在政府、制造、金融、醫療、能源等行業(yè)廣泛落地應用，解決跨網(wǎng)攻擊、數據泄露等安全隱患。未來(lái)，聯(lián)軟科技將持續深耕零信任網(wǎng)絡(luò )安全技術(shù)的研發(fā)與創(chuàng )新，以全網(wǎng)零信任重塑網(wǎng)絡(luò )安全邊界，助力更多政企用戶(hù)數字化轉型。