何茂源 发表于 2023-7-26 11:50
  
感谢分享有助于工资和学习!
奔走的公牛 发表于 2023-8-7 17:34
  
感谢分享有助于工作和学习!
dhf 发表于 2023-10-23 10:10
  
每日打卡学习,感谢分享,学习了!!!
新手719320 发表于 2023-10-29 19:26
  
每天学习一点新知识,谢谢分享
【天逸出品】【第六十期】零信任同一个账户,如何做到公司内外网接入的差异性
  

常鸿 103215人觉得有帮助

{{ttag.title}}



随着零信任产品的推广和普及,使用它的用户也逐渐意识到,零信任产品不单单只是一个VPN

他的安全能力和综合体验,让越来越多的用户,在公司内部访问资源的时候,也需要通过零信任来进行代理,以便于提高公司局域网之间的访问安全



最近实施的项目,正好就是这样一个场景,无论公司内外,统一由零信任进行了接管

对于客户来说,虽然都是通过零信任接入的,但是在公司内部接入,和在公司外面接入,他的安全环境是不一样的

所以在实施的时候,提了一些需求:
第一个需求,如果一个用户是在公司固定的自己工位登录的,那么他就要检测电脑上是否开启了公司自己购买的杀毒软件,是否开了桌管软件等等
如果是用自己的私人电脑在外面出差,或者是自己在家里办公登录的零信任,那么就需要检测至少要有杀毒软件才能登录

第二个需求,有些特别重要的业务,涉及公司自己的保密数据,这些业务是不允许在公司之外访问的,只能在公司内部,而且是使用公司配备的办公电脑才能访问

而且要求,每个用户只能分配一个账号,需要从设备层面上去实现客户的需求


需求存在,即是合理

让我们来看看如何去实现用户这个需求



首先咱们产品的策略配置是基于用户的,包括授权分配也是基于用户的,所以无法从用户层面上做到 公司内外网的差异性


一个条件一个条件的分析,首先是公司分配的固定电脑,这个可以用授信终端来进行配置


开启授信终端,仅允许在授信终端上面才能登录,而且为了满足用户 在公司电脑和个人电脑上都可以登录,那么就需要至少分配给每个用户2个终端可以进行绑定
并且 绑定的过程需要管理员进行干预,让使用员工无法任意的去更换授信终端



然后针对于需求一,我们可以配置一个上线准入策略,让员工在公司内外不同环境的时候,分别进行不同的检测


然后先进性针对源IP的归属判定,判定完成后在根据判定的结果进行条件判定

如上图所示,可以分别针对IP归属来设置条件,然后再用一个总的OR条件,进行上线的条件组验证

这样的配置,就可以实现需求一了


需求二就比较简单了,只需要在内网才能登录的应用系统里加一个应用防护策略


这样配置,检测一下计算机的IP是不是在公司的内网,如果是的话,才允许进行打开。
如果担心接入IP容易重复的话,可以多加几个判定条件,联合检测一下只有公司内部电脑才会使用的进程或者特征

通过以上配置,实现了客户的需求,感觉较为典型,所以发帖记录一下


总结:现在的生活节奏,工作节奏都变得越来越快,应该放慢一下脚步,安静的去思考一下每个遇到的问题,或许,从另一个角度出发,问题就会变得很简单

打赏鼓励作者,期待更多好文!

打赏
48人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
技术咨询
产品连连看
技术盲盒
纪元平台
新版本体验
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

25
14
5

发帖

粉丝

关注

本版达人