XX基金：上网沙箱落地实践

XX基金：上网沙箱落地实践

1. 建设背景

基金公司作为持牌金融机构，其办公终端上网的安全合规性要求非常严格，用户终端不仅存储着海量的敏感数据，同样也连接着金融专网，因此对于安全的要求是“零容错”’的，没有失败的机会 —— 一旦被攻破，企业的经营、财产、信誉都可能遭受毁灭性损失。

针对办公网员工上网，大多数基金公司依赖行为管理URL白名单策略严格管控，终端依赖桌管准入白名单策略管控，但基金公司普遍负责安全的人员编制较少，安全岗位需要身兼数职，行为管理和终端准入白名单的运维压力大，并且在复杂的网络环境中，钓鱼与社工攻击难以完全杜绝，一旦终端或身份失陷，后果难以管控。

2. 建设驱动力

与大部分基金同行一样，XX基金也采用行为管理+终端准入对员工上网和终端进行管控，并部署杀毒、EDR等安全软件，但从攻击的视角看，基金公司的人员、资金、专注程度都不可能与APT组织相比，被攻破是必然，只是性价比高或者低的问题。

在尝试做了大概半年多的AC白名单+准入白名单策略以后，发现落地难度和运维压力极大，因此安全负责人开始重新思考终端安全的建设思路，如何平衡安全性与使用体验是重点考虑的问题。经过调研识别：

（1）大多数基金同行都是在终端电脑安装多个安全agent提供终端保护能力，但用户体验不好，同时也无法有效应对日渐复杂的终端安全形势；

（2）基金行业基本都有给员工提供桌面云，主要用于办公网业务访问，如果给员工再上一套云桌面用于上网，整体资源投入和运维管理成本极大，并且频繁切换的用户体验也不好；

结合调研情况以及当前现状，安全负责人就思考有没有一种方案，既可以提供给员工宽松上网，又能保障终端即使失陷，也尽可能不被攻击方直接远程控制，并且也只影响到这一台终端。方案最初的雏形思路是本机PC、桌面云、沙箱能结合起来，基于此开始找各个厂商做调研，并选择七家专业沙箱厂商进行PK测试，最终深信服上网沙箱方案在客户端兼容性、安全性、用户体验方面做的最好，最终完成测试并全面落地。

3. 落地过程

3.1. 方案设计

3.1.1. 方案设计思路

XX基金当前办公终端为混合办公场景，终端原本能直接在本地桌面同时访问办公网业务和上网，因担心员工上网存在被钓鱼等安全风险，引入上网沙箱进行防护，用户登录零信任后启动上网沙箱后，只能在沙箱内访问互联网，访问办公业务在本地桌面进行。

3.1.2. 用户旅程设计

l 终端首次分发上线

l 员工日常办公

l 员工主动退出客户端

3.1.3. 管控策略设计

策略模块	策略设计	目的
上网空间策略	进程白名单策略：仅允许常用办公软件、浏览器上网。沙箱内其他进程不允许运行	避免恶意程序在上网空间落地后直接运行；
	网络隔离策略：仅允许访问互联网，禁止所有办公网访问	避免沙箱内横向办公网的危险行为。
本地空间策略	网络隔离策略： （1）缺省仅允许访问办公网业务，禁止互联网业务访问； （2）特定办公业务相关的互联网应用，在确认风险可控的前提下，基于进程+目标域名/IP放行本地访问权限	确保即使有木马运行也无法外联导致终端失陷。
离线管控策略	离线网络管控：通过零信任虚拟网络域功能设置离线生效域，策略设置为仅放通aTrust登录地址，用户登录后通过虚拟网络域放行所有网络。	防止员工主动注销逃逸管控
	客户端防卸载	防止员工主动卸载逃逸管控
用户体验策略	首次上线策略：由于用户未进行首次登录前，管控策略不会下发，因此在推端期间通过管理手段帮用户手动完成第一次接入	完成管控策略初始下发
	二次上线策略：设置开机自启+一键上线策略，终端PC重启后，零信任自动登录在线	员工无感知认证上线
	跨空间链接/程序自适应策略，用户打开指定C/S程序或浏览器访问指定IP地址、URL链接，会自动拉起对应空间的应用程序打开	员工无需过分关注应该在本地还是沙箱内去访问应用

3.1.4. 覆盖终端范围

深圳、北京、上海3个职场日常办公终端，1300-1400点windows终端

3.1.5. 终端使用环境

用户办公当前先登录信创终端PC，然后登录VMware的桌面云进行办公，VMware云桌面都是windows系统；未来会推动VMware替换，届时信创终端在外网通过零信任接入再登录桌面云

3.2. 实施部署

3.2.1. 部署拓扑示意

(1) 仅需旁挂部署控制中心集群用于用户接入与沙箱策略下发；分析中心用于日志审计(暂未启用)；

(2) 终端部署好零信任客户端确保能连通控制中心客户端接入地址即可，北京、上海职场通过专线连接aTrust接入地址；用户上网流量走各自本地网卡到各职场出口上网；

3.2.2. 交付设备清单

部署区域	设备类型	交付版本	部署模式	数量	用途描述
深圳	控制中心	2.5.10	旁路	2	用于用户认证接入、沙箱策略下发
深圳	分析中心	2.5.10	旁路	1	(暂未启用)用于文件导入、导出、数据拷贝等行为审计日志记录；

3.3. 方案实现

3.3.1.  用户与认证策略

l 目标效果

(1)  用户仅需首次使用时需要进行认证登录，用户退出重新登录可双击客户端自动上线；

(2) 用户关机重启客户端可以自动上线；

(3) 用户在线期间可长时间在线不会被超时注销；

l 策略配置

  步骤1、在【安全中心/安全基线/扩展条件】新增网络区域，条件选择【客户端公网源IP】属于上网沙箱用户的内网网段；

步骤2、在【业务管理/认证管理/认证策略】编辑用户所属认证策略，在【自适应认证/一键上线】中选择【满足以下网络环境登录时】进行一键上线，网络区域选择步骤1中创建的网络区域；

步骤3、在【业务管理/策略管理/全局策略/客户端选项】中开启【开机默认自动启动客户端】

步骤4、在【业务管理/策略管理/用户策略】中编辑用户策略，确保工作空间超时注销策略设置为永久在线；

3.3.2. 上网沙箱基础策略

l 目标效果

1) 用户登录后自动启动上网沙箱，沙箱进行网络隔离、上网进程管控；由于主要是防钓鱼场景，无需进行增强文件隔离(保持基础隔离)，无需进行文件加密，文件导入导出、剪切板拷贝等文件流转策略可不进行限制；

2) 重点保障用户体验，启用链接自适应功能,让用户实现访问互联网站点时自动跳转沙箱内访问；

l 策略配置

步骤1、在【UEM/PC端数据安全/工作空间管理】新增一个工作空间，命名为上网沙箱；

由于此场景仅有控制中心无隧道资源，因此适用应用分类无需配置；并且无防泄密需求，无需勾选【互联网访问】选项；

步骤2、新增空间发布策略，按需配置策略，关联给用户；

      策略配置： 取消文件加密、允许文件导入导出、允许剪切板拷入拷出、启用链接自适应；

(1) 取消文件加密

(2) 允许导入导出文件

(3) 允许剪切板拷入拷出

(4) 启用链接自适应

保存配置

3.3.2. 网络隔离规则

l 目标效果

(1)  上网行为需在上网空间里面进行，个人空间原则上禁止访问所有网络，即使有木马进程落地到个人空间，也无法外联导致终端被远控；

(2)  针对个人空间部分常用程序，确认风险可控后可在个人空间加白放开网络权限；

l 策略配置

网络隔离规则	个人空间	上网沙箱	DNS配置说明
出站规则-1	允许访问内网网段	禁止访问内网网段	PC本身具备网络权限，所以无需对DNS做特殊配置
出站规则-2	禁止访问全部地址	允许访问全部地址

(1) 上网沙箱缺省网络隔离规则

(2) 个人空间缺省网络隔离规则

(3) 个人空间白名单场景

根据用户需求逐步添加个人空间白名单，主要有以下场景：

a. 用户日常办公工作台使用私有化企微，但是云文档协作使用的飞书云文档，仅需使用网页版飞书云文档，为提升用户体验不期望用户访问飞书也在上网沙箱里面访问，因此需要对飞书云文档的域名加白；

b. 针对一些风险可控的需要上网的应用，也直接在个人空间加白放通网络，未强制在上网沙箱内使用，如同花顺等金融分析程序。

c. 针对办公门户里面也存在一些域名需要走互联网，直接对域名进行加白；

d. 企微日常办公使用，也将其进程加白；

3.3.3. 上网空间进程管控

目标效果：

上网空间内仅白名单进程可以运行，白名单放行常用的上网软件和办公软件即可，确保用户被钓鱼下载恶意进程后无法直接运行；

策略配置

在程序运行管理策略中选择白名单模式，从程序仓库中引入设备已内置的常见上网软件即可，后期可按需自行添加；

3.3.5. 离线管控策略

l 目标效果

登录前通过虚拟网络域禁止终端访问所有网络，登录后虚拟网络域放通所有网络，后续访问由沙箱的网络策略控制；

l 策略配置

步骤1、在【安全中心/虚拟网络域/网络域管理】新增两个虚拟网络域，【集权系统网络】与【普通办公网络】；

(1) 【集权系统网络】禁止访问所有网络；SDPC接入地址客户端会自动加白放通；

(2) 【普通办公网络】放通访问全部地址；

步骤2、设置网络切换策略，注销生效域设置为【集权系统网络】，默认生效域设置为【普通办 公网络】；

步骤3、离线生效域生效需在【业务管理/策略管理/用户策略】编辑用户策略，设置【注销/退出后,个人空间管控持续生效】；

步骤4、防止用户卸载客户端脱离管控，需开启防卸载策略；

      

3.4. 推广过程

3.4.1.推广前验证

按如下计划进行推广前的验证工作：

1) 终端环境采集与兼容性评估；

步骤1、通过终端兼容性检测工具抽样检查，及人工收集的方式获取终端软件环境信息：

操作系统版本	获取windows操作系统版本范围，例如：win10、win11 Windows操作系统支持范围参见附录1
浏览器类型	获取用户常用浏览器类型，aTrust兼容所有主流浏览器，如Chrome/Edge/FireFox等，主要识别是否有小众不兼容的浏览器
常用办公软件列表	客户侧可能存在多种终端使用群体，例如财务、研发、销售、管理人员等，不同的人群常用的办公软件会有所区别，需要根据不同人群对常用办公软件进行收集，主要目的： 1、专业性较强的生僻软件可以提前验证识别兼容性风险。 2、已知的冲突软件提前识别并制定解决方案。 3、常见软件的安全管控策略可以参考最佳实践
杀毒/安全/桌管/加密类软件	此类软件冲突的可能性很大，但一般安全要求较高的公司均为统一安装和使用的，需要重点关注和验证，例如：联软、IPGuard等。
代理/引流类软件	此类软件性质和aTrust客户端一致，实现的原理也大致相同，通常都会存在冲突，不能同时使用，例如：亿格云枢、思科（cisco）VPN等

步骤2、根据兼容性检测报告或人工收集的信息进行评估，如有冲突风险提前处置；

      如图：检测到有联软桌管软件、奇安信天擎，试用时天擎也和沙箱发生了冲突导致蓝屏；

      通过天擎将与沙箱冲突的相关功能关闭或加白后处置，后续推广再无冲突；

2) 小批量功能使用验证与策略调优；

圈定部分用户进行试点使用，逐步暴露真实使用中的问题，并进行策略调优；

如：个人空间需要联网的进程进行加白；

3) 批量推广技术方案确认与验证；

      a.使用联软桌管静默推送客户端到用户终端，此时用户正常不会登录；

      b.由于沙箱策略必须登录后且重启电脑才能生效，员工存在一定抵触，也无首次强制登录的手段，因此用户首次使用都是IT一个个协助完成首次登录。

3.4.2.批量推广

设定计划,技术人员按部门分批协助安装，安装的时候到指定部门现场协助操作，当时不在的人后续通过联软远程操作；

原则：普通用户先推广，领导用户放在最后；

推端程碑设计	计划时间	覆盖范围	备注
上线前检测		/
阶段1		(100-xxx用户/A部门)
阶段2		(XXX-xxx用户/B部门)
阶段3		(XXX-xxx用户/C部门)
....
阶段N		全面推广

4. 落地效果

4.1. 员工日常办公、上网场景

场景1：员工办公：使用私有化企微进行内部即时通讯，企微工作台访问内部业务，不受沙箱影响；

场景2：员工上网：因办公需要上网查资料，在浏览器输入百度等站点地址，提示需要在上网沙箱内访问，允许后跳转至沙箱内使用；

场景3：员工办公：员工日常使用飞书云文档进行协作，仅使用飞书web端，不使用飞书客户端，飞书云文档需要连互联网。但为提升用户体验，避免访问云文档时在沙箱来回跳转，将飞书的域名*.feishu.cn在个人空间加白，个人空间直接访问飞书云文档。

场景4：员工注销或退出客户端：员工如果尝试通过注销或退出客户端绕过沙箱管控策略，退出后无法访问内部业务和互联网；

4.2.  员工终端被钓鱼远控场景

场景一：员工在上网沙箱被钓鱼木马落地场景

上网沙箱启用了进程白名单管控，恶意进程在上网沙箱内无法运行；

场景二：钓鱼木马被员工不小心流转至本地桌面场景

个人空间出站基本全面限制访问互联网，仅个别风险可控的进程放通，即使个人空间运行木马，也无法实现外联，被远控；

上网沙箱防C2外联效果演示（本地空间网络隔离）.mp4

（基于用户真实验证场景1:1外化）

4.3.  管理员日常运维场景

场景1：员工在日常办公中，由于个人空间严格限制互联网访问，部分常用的程序、站点需要跳转到沙箱里面进行访问，使用非常不方便；

处置策略：

由于上网沙箱只用于防钓鱼场景，不对数据进行防护，针对用户需要访问的站点、上网的程序评估安全风险可控后将其在个人空间网络隔离规则中进行加白；

l     白名单添加原则：

    ①对于有加白的需求，管理员判断该进程没有风险会直接针对需要上网的进程在个人空间放白。

    ②对于有风险的程序直接不让用，不管是个人空间还是上网空间都不会放白；

l     当前已在个人空间加白的场景：

¡ 办公门户：门户存在外链，将门户所有域名在个人空间放行；

¡ 企业微信：日常办公平台企业微信需要连接互联网，个人空间针对企微进程放通互联网；

¡ 飞书云文档：日常办公使用云文档协作，仅使用web版，将*.feishu.cn在个人空间放通，用户可以直接访问，无需跳转沙箱，提升用户体验；

¡ 同花顺等金融分析软件：针对行业常用的软件明确无风险，针对进程放通互联网；

场景2：员工在上网沙箱中访问跟业务相关的企业版网银，存在UKEY在沙箱中无法使用的场景；

处置策略：

针对指定UKEY在上网沙箱内方通白名单即可；

场景3：新终端入网场景，员工需要默认安装好aTrust

处置策略：由于都是桌面云，由桌面云派发虚拟机时提前装好aTrust即可，用户首次使用让用户完成第一次登录；

场景4：当终端出现可能由于沙箱导致有异常的问题时需要快速恢复

处置策略：

针对需要快速恢复或者定位是否沙箱导致的问题，可以将用户沙箱策略取消，或者个人空间允许用户访问全部地址；

应急恢复后，等后续条件允许的情况下再进行复现排查。

5、 关键障碍及应对策略

问题1、无强制手段让用户完成首次登录沙箱，让策略生效；

解决方案：IT人工协助完成用户完成首次登录，并确保沙箱组件安装、重启电脑策略生效；

问题2、当个别终端出现问题时，需要更新新的客户端，终端无管理员权限无法直接安装；

解决方案：在服务端上传新版本客户端，可以针对指定用户设置更新策略，终端检查更新触发更新即可；

问题3、终端用户无重启电脑的习惯，用户一直在线，客户端免密票据有效期是30天，而当前场景无隧道资源访问不会进行票据续期。当用户超过30天重启时就无法自动登录，导致用户报障无法访问网络，检查后发现是用户未登录导致，用户体验欠佳。

短期方案：客户侧有代理网关，可以发一两个隧道资源，比如dns地址 或者常用的公网网站走隧道，这样能确保票据是一直会续期的；

长期方案： 根本问题是超时后用户重启电脑没有提示需要登录沙箱上不了网，在2.6.10版本支持离线链接自适应，访问沙箱业务时如果未登录会弹窗提示登录。

6、 用户价值及收益

1、 在行业hvv前，客户主动验证了近200个攻击队木马突破行为，均成功拦截，非对抗、原理性的底层防护思路在实战对抗中得到了有效验证，获得客户高度认可。

2、 相比再给员工分发一套桌面云用于上网，资源投入成本预计节省400W左右（以云桌面办公场景单终端3K成本计算）。

具有很强的实战性，后续遇到类似客户交付也可以作为参见

学习了，希望以后能接触到

这个写的挺好的，可以复制推广。

真详细，可以作为模板参考了。

大佬给力，谢谢分享！

真详细，可以作为模板参考了。