XX 集团 XX 勘测设计研究院有限公司：SASE - XDLP 助力设计图纸防泄密与高效办公

只看该作者 · 发表于 2024-12-9 18:24

本帖最后由新手963711 于 2025-1-17 09:39 编辑

1. 项目介绍
1.1. 项目背景
XX集团XX勘测设计研究院有限公司是设计单位，内外网办公人数达 6000 多人。因承接的项目机密级别上升，核心为设计图纸，所以针对移动办公场景下图纸文件流转的审计追溯展开此项目。
1.2. 业务痛点
l 场景分散：内网固定办公点位/外网桌面云办公场景以及零信任远程接入办公都存在办公数据监管需求，要统一管理，原有行为审计叠加内外网物理隔离方式，不满足当前业务需求。。
l 终端数量庞大：超过6000个终端需要监管，防泄密软件装端推广升级工作量巨大，万一影响终端用户业务办公带来的投诉量难以收敛。
l 效率担忧：后续防泄密审计上来的海量终端日志，只有少量运维人员有权限，有外发事件能不能快速溯源定位到人并防抵赖。。
1.3. 项目背景
l 外网办公：XDLP 主要应用于院内桌面云（VDI）以及 aTrust 办公终端这两个场景。VDI 可访问互联网，能往内网拖文件，内网往外拖文件需经过摆渡平台；aTrust 作为沙箱，内网文件往外流转需从沙箱经过审计后转出。
l 覆盖人员：VDI 大概覆盖 3000 + 人，aTrust 也是 3000 + 人，基本覆盖全网。
1.4. 业务价值匹配
l 快速平滑升级推送：针对项目部固定办公场所的PC终端，通过全网AC的准入客户端静默推送XDLP模块；针对在外移动办公的PC终端，通过零信任aTrust静默推送安装XDLP模块。实现快速平滑地进行防泄密模块升级推送，终端用户无感知。

l 全面文件外发审计：通过XDLP模块，对单位常用的外发应用程序通道、U盘通道进行全面的文件外发审计，对单位关注的敏感数据文件外发情况进行可视化呈现。

l 外发溯源举证：针对某些具体文件，支持按关键词或文件相似度一键反查具体外发用户，外发过程全链路可视，并提供外发截屏、附件原件等进行举证。

1.5. 交付过程概述
l 首先进行需求调研，明确客户在不同场景下的使用需求及痛点。
1. 客户有多个办公场景：纯符合保密要求的密网，场所环境物理隔离，数据导出强审计，不做XDLP覆盖；
2. 办公室固定内网办公点位，内网电脑原则上通过AC阻拦不允许上网除非小部分知网等网站，且拥有友商QAX加密DLP方案，所以也不做XDLP覆盖；
3. 外网桌面云场景，此场景为内网固定办公场景的扩展场景，在院内办公的用户因为内网电脑无法直接上网，所有上网需求通过内网电脑启动软件VDI连接外网桌面云上网；内网电脑的数据不能直接导入到外网桌面云进行外发，只能通过数据流转平台，内网数据先流转到外网侧，外网下载后才可以进行后续转发等操作。但是后续往什么地方流转没有抓点，可能会有商密或者机密文件，图纸被进行了不合规的外发。此场景会全覆盖XDLP，但是桌面云为独享专有模式，如果通过模板更新方式推送可能导致原有C盘数据清零，终端推送较为困难。
4. 远程零信任沙箱办公场景，此场景为在外办公项目人员或者临时在外办公人员需要通过远程办公，沙箱办公相当于内网电脑办公了，数据原则上不允许导出到本地磁盘，需要走零信任自带的数据流转或者走客户自研的数据流转平台到本地磁盘。此场景也会全覆盖XDLP，但是因为场景大多为员工自购笔记本，无法行政要求员工安装XDLP终端，终端推送也是较为苦难。
5. 客户以及售前预估约有近7000点数的终端，用户认证不会采取本地认证，需要与院内统一身份对接起来，保证账密一致。
6. XDLP产品较为敏感，客户想尽量少让用户感知此产品的上线，静默推送，静默上线。
l 接着制定解决方案：
1. 外网桌面云办公场景：外网桌面云因为在制作模板的时候因为审计需求已经安装了AC准入客户端，可以直接基于准入客户端配置准入策略推送XDLP客户端。
2. 远程办公场景：远程办公都是基于零信任接入进行远程办公的，所以XDLP外网推送可以基于零信任办公一体化方案解决。
3. 统一身份认证：客户内网有现成的竹云BD域（基于open ldap开发），在内网搭建IDaaS连接器可以实现XaaS业务系统使用客户的LDAP账号登录XDLP系统了。
l 然后推进装端进度，目前已覆盖 6400 + 端，在线约 3000 用户，通过 AC 准入推送（VDI 区）和 atrust 推（atrust 区）实现。
l 最后关注使用情况，对审计策略、敏感数据配置等进行设置，但仍存在部分配置不完善及客户使用不熟练的问题。

2. 需求分析
2.1. 客户痛点梳理

客户痛点	客户痛点解析
外网防泄密	客户这次防泄密场景分为外网办公桌面云以及远程接入办公终端，需要对这两个场景下的文件进行防泄密检测。
静默快速部署	这次防泄密能力提升项目客户比较急，想要快速部署，同时尽量避免用户的反感情绪最好能自动静默部署。
余留管控能力	这次虽然不会提升防泄密管控能力，但是要余留管控能力，方便后续管控随时上线。
文件流转监控	文件泄密于互联网后，传统防泄密较难溯源文件从那个接口到本地终端后又流转到哪里去了。

2.2. 客户需求分析

具体需求	需求解析
外网防泄密	1、此次为互联网办公场景的防泄密项目，正好匹配SASE-XDLP产品特性，只要终端可以上网就可以实现防泄密监控需求。
静默快速部署	1、院内外网桌面云在出口有AC，并且外网桌面云模板在建设初期已经部署了AC准入插件，可以直接联动XDLP进行快速推端。 2、远程办公终端使用aTrust远程接入办公，也可以直接联动aTrust进行快速推端。 3、AC推XDLP端碍于使用AC的是软件检查功能，如果没有安装XDLP会提醒并且自动安装。无法关闭提醒，没办法静默，客户接受。

3. 方案规划
3.1. 安全章节框架参考
3.2. 涉及产品功能模块
AC：XDLP订阅模块/终端准入检测
aTrust：SASE客户端联动
SASE：IDaaS/XDLP
3.3. 实施拓扑

3.4. 功能匹配
l 全面文件外发审计：通过XDLP模块，对单位常用的外发应用程序通道、U盘通道进行全面的文件外发审计，对单位关注的敏感数据文件外发情况进行可视化呈现。

l 外发溯源举证：针对某些具体文件，支持按关键词或文件相似度一键反查具体外发用户，外发过程全链路可视，并提供外发截屏、附件原件等进行举证。

4. 方案实施
4.1. IDaas主要配置
1. 新建IDaaS连接器：由客户虚拟化平台安装一台虚拟机并利用脚本安装IDaaS连接。注意网络配置需要与客户内网LDAP服务器以及我司云端数字中台网络连通即可。

2. 在深信服数字身份中台新建用户源，同步AD域用户。与我司其他产品一样，身份同步与身份认证是两会事，需要先将进行身份信息同步到IDaaS中。

在身份认证同步的同时需要注意，IDaaS上的所有属性都是唯一值，例如LDAP有一个员工有一个测试账号，手机号和正式账号一致会导致无法同步到IDaaS上，目前唯一办法就是不再去同步手机账号，但是如果有二次短信认证需求（可能ZTNA产品会有需求）可能会有影响交付。

且如果身份导入多少，XDLP目前授权有异常，授权以IDaaS导入的用户就占用多少点，后续会改为终端在线并发授权，目前超出仍不影响产品正常使用。

3. 认证模板：身份认证配置也较为简单，开启AD认证即可。

再根据用户实际需求花点小钱找淘宝进行美工定制认证界面制作认证模板。
4. 最后需要开启认证策略，选择AD认证，并开启强制认证，不然用户不会主动去认证的。

4.2. AC主要配置
1. XDLP所有审计行为都需要借助XDLP客户端，所以需要对院内上网VDI进行统一推送准入XDLP插件，最适用的就是利用客户已购AC的准入客户端进行推送。虽然客户在建设之初已经对桌面云模板安装了AC准入插件，但是并没有配置准入检测策略，所以有可能某些用户已经自己卸载了。

2. 需要再次配置检测策略要求客户下载并安装AC准入插件。

3. 然后配置准入检查策略，XDLP推送软件需在XDLP平台下载MSI域推安装包才可进行分发。

上网桌面云推送如下所示：

4.3. aTrust主要配置
1. 零信任推送较为简单，只需要将XDLP下载连接填入零信任全局策略或者用户策略的SASE客户端联动即可。

需要注意零信任版本要达到2.4.10 SP3，不然AIO终端推送插件会有异常。
5. 项目总结
5.1. 项目收益总结
5.2. 项目经验总结

阶段名称	经验总结
需求调研阶段	因需求场景涉及多个产品线功能结合，需充分了解各产品场景及用户环境，技服宜在售前阶段介入复杂场景。测试阶段，除标准测试方案，需重点考虑产品落地性，如近7000点终端的快速推端与认证，以及敏感产品的静默快速上线。针对新产品，一线人员对诸多功能尚不熟悉且产品需吸取用户反馈，应加强与总部产线、研发及交付专家沟通，以设计方案和探讨产品。
方案规划阶段	互联网桌面云用户推端采用AC准入检测模块，该模块在外网桌面云实施阶段已在模板提前安装。零信任远程办公用户采用SASE联动功能进行推端。桌面云的XDLP认证原设计为AC联动VDI获取用户账号后传递到XDLP平台实现静默上线，零信任的XDLP认证原设计为零信任直接传递用户信息完成上线，但因功能迭代问题无法在客户XDLP上线前完成，故采取推端后直接上线独立认证。用户认证源通过IDaaS完成与公司内部AD认证源对接。

只看该作者 · 发表于 2024-12-23 08:07

感谢分享，学习一下

签到天王

疑问解答

转盘

任务

商城

勋章

成长计划

本版版主

本版热帖

本版达人