XX客户零信任SDP实施方案

1. 背景和目标

1.1. 项目背景

对于运营商行业来说，随着远程办公的常态化规模化，规模化远程办公面临着变化和挑战。远程办公的爆发式增长，为稳定社会经济发挥了重要作用，同时也给运营商信息化建设带来巨大的变化和挑战。为了确保远程办公的运行和效率，传统办公网络的边界被彻底打破，由此引发的安全风险剧增，极可能造成不良后果，大规模的远程办公带来的重重变化和挑战可总结为以下几点：
安全接入的复杂性多样性增加：

Ø 接入角色的多样化：接入人员包括各类员工、各级主管、职能人员、开发人员、合作伙伴、供应商、2B客户等多种角色。

Ø 使用场景多样化：各类运维保障、远程流程审批、远程协同办公、远程开发测试、居家作息系统、销售管理系统、财务管理平台等。

Ø 接入环境复杂性：从原来传统单一的办公环境变换成全国各地全天候的接入环境。

Ø 接入终端复杂化：各类家用电脑、不通品牌终端、不通系统终端。

对于安全要求提出要挑战：

Ø 缩小业务暴露面：远程办公大规模发展，运营商越来越多的业务需要对外发布，为保障网络安全则需要尽可能地缩小业务暴露面，降低被恶意扫描、木马入侵、黑客攻击等各种安全风险

Ø 身份安全保障需求升级：远程办公带来的身份多样化、群体复杂化，需要通过多因素等手段进行身份认证及强化，而在访问环境、访问时间发生变化时，则需要进行二次强化认证，以确保接入身份的合法性和安全性。

Ø 接入终端安全保障需求升级：远程办公接入终端的安全是比较薄弱的环节，需要持续检测终端环境是否安全，例如是否安装补丁、杀毒软件；是否存在危险的进程；整个终端访问的全周期环境是否安全等。接入终端设备多样终端环境多样，其安全保障就更加重要。

Ø 最小访问权限授权：伴随远程办公的规模化发展，接入用户身份角色众多，需要对每个身份授予最小访问权限，避免用户权限过大，暴露过多内网业务，给核心业务带来被恶意攻击的安全风险。

Ø 访问行为安全：一旦用户进入到内网后，需要对其访问行为进行实时追踪、安全审计、异常控制等，一旦发现有可疑、异常的访问行为，就要进行及时处置，避免危险的访问行为危及到运营商内网业务的安全。

Ø 数据防泄密：远程办公接入内网的终端设备多样，如何确保各种终端在访问业务敏感数据时，不会造成数据泄密等安全事件，则需要有效的防泄密手段，来保障重要敏感数据的安全。

1.2. 设计目标

本次XX客户建设网络安全管理平台项目，是为了实现内外网统一访问控制场景，满足公网用户或私网用户使用客户端接入。并设置合理的访问权限控制机制，利用安全基线工具进行梳理，最大程度的将业务暴露面在发布阶段完成收缩，隐藏关键业务和重点网络；结合多因子认证保证角色的接入安全；基于最小权限模型，增强动态访问的控制能力，做到访问请求的精准化、颗粒化控制，确保只有授权的用户才能访问到业务系统，当用户环境、身份、行为发生变化时，进行权限动态控制；通过日志审计功能，可以对用户的可疑行为进行分析审计；采用各种数据业务保密机制，对于B/S业务系统，从HTTP转换成HTTPS，对于C/S业务系统，采用双向SSL加密协议使敏感数据在安全隧道中进行传递，在内网中对数据和业务起到安全保护作用。对于高敏感度业务，一旦发现问题则收缩权限，开启高级安全访问控制策略。同时可以集成第三方数据安全能力形成完整的数据防泄密方案。

1.2.1. 让业务系统的接入更安全

提升黑客仿冒身份成本：提供多种身份认证方式，可以根据业务需求，采用多种组合身份认证方式，如用户名/密码+短信验证码认证等。

防止黑客控制终端：提供PC端安全检查机制，PC不符合安全基线则禁止接入用户访问应用；提供企业移动管理解决方案，检查终端的安全状态，并根据判定的结果对移动终端进行远程锁定或者数据擦除。

访问权限更小化：提供基于应用授权的细粒度访问权限控制，让用户只能访问同一台Web服务器上的有限页面，防止非法接入用户找到SQL注入漏洞页面；同时aTrust支持按组织、标签、角色、用户等分配访问权限，给客户多种权限分配，让用户按需配置各种应用的访问权限，提高安全性。

加密算法有效性：根据不同业务的安全级别，提供AES、SHA、RSA、RC4、GCM、ECDSA、MD5进行选择，保障数据的安全性。

1.2.2. 提供更好的用户体验

兼容性：深信服精益信任aTrust具备操作系统和浏览器兼容性，Windows、MAC、移动终端国产化终端统信UOS For X86&ARM、麒麟kylin For X86&ARM等。

简化用户访问和使用aTrust的操作：深信服精益信任aTrust大幅提升用户操作体验，例如在访问B/S架构应用时可免插件访问应用。同时提供下载、安装速度更快的轻量级安装包，一次安装、无需JAVA等其他支持软件即可使用新版本的各类浏览器登录aTrust；为开发APP的用户提供SDK，用户点击APP后自动连接aTrust而不需要额外做连接aTrust的操作；移动端和PC端应用实现单点登录等。

提升系统访问速度：通过一系列的优化技术（如流压缩、流缓存、TCP协议代理等）提升用户的系统访问速度，增加用户体验。

2. 需求分析

项目前期，就精益信任aTrust的整体使用场景，和接入安全，易用性，与运维管理等进行深入的沟通了解，同时我司现场对关键业务也做了详细的信息收集。整理出针对此次项目的需求，以及需要达成的相关目标，具体列举如下。

2.1. 客户业务需求

通过与客户沟通，识别到客户当前的业务需求如下：

序号	需求分类	具体需求内容
1	业务需求	用户登录账号三个月未登录需要把账号锁定
2		识别网络功能（web资源用户访问能够自动识别哪些端口需要开放）
3		互联网访问不到aTrust端口，将端口隐藏在公网
4		业务系统AA网段与SDPC能够通信，但BB网段不能通信，业务系统内部有很多业务系统是直接跳转到BB地址的网段，需要进行url改成AA段地址
5		AA网络和互联网使用客户端访问
6	技术需求	需要对访问web资源的用户操作进行审计，包括post包及get包
7		radius安全组关联用户，无法使用权限
8		VPN用户导入aTrust中，希望把原VPN用户状态也可以导入过来
9		笔记本休眠等断连接后，重登陆之后，导致资源访问异常，希望与VPN功能一样，有断开重连机制
10	运维管理需求	控制台可以直接telnet，ping后台资源
11		通过角色关联绑定用户，批量绑定（模板导入）
12		Radius账号需要全部导入到本地

2.2. 基础环境调研

基础环境信息的调研主要是从如下几方面入手

序号	调研内容
1	部署模式确认
2	网络拓扑图（部署前/后）
3	用户终端接入类型
4	互联网提供商
5	网络出口有几条公网线路
6	出口带宽大小
7	公网IP、端口映射规划
8	客户机房电源环境确认（硬件部署）
9	与设备对接的网口类型
10	设备接口速率
11	设备IP信息确认
12	最大并发用户数预估
13	客户业务发布资源信息
14	虚拟化环境调研
15	设备部署在机柜的位置（硬件部署）

3. 方案规划

3.1. 整体方案设计框架

根据客户网络环境可分为私有云网络、AA网络、用户访问网络（外部员工、总部员工、营业厅员工）；

BB网段（私网段）：大部分业务系统都部署在私网段，不排除少部分老旧系统部署在134网段。零信任SDP的设备部署在私网段。

AA网段（特定网段）：业务访问网段。大部分的业务系统都是从私有云网段映射到特定网。用户在特定网内访问。

用户访问网络（外网员工、总部员工、营业厅员工）：外网员工：当前的访问方式是从外网接入VPN，到AA网访问；总部员工：插网线属于AA，连公司wifi属于公网。既可以从AA网访问业务，也可以从公网访问业务。有两个网卡可以双通；营业厅员工：电脑仅在AA网，不能访问互联网；

aTrust整体由安全代理网关和控制中心、客户端组成。其中控制中心与安全代理网关部署于服务端，而客户端则部署于终端设备上。

整体业务流量走向：

私有云网段（私段）：带SPA种子的用户访问SDP的URL：https://abcd.xxxx.com:4430，首先会通过私有DNS（X.X.X.X）解析SDP的URL为私有地址B.X.X.X，私有云网段的用户提前会放通到SDP私有地址的相关端口（4430/441），用户流量直接通过路由查找访问到；

DCN网段（AA段）：SDP是部署在BB私有网段，AA段用户和SDP之间通过FW隔离，FW把BB段地址转换为AA地址。 AA段地址访问SDP时，先通过DNS解析，解析为SDPAA段的地址，AA段地址和SDPAA地址之间的端口放通（4430/441）,AA用户访问SDP(AA段)通过查找路由访问；

用户访问网络：外网用户访问SDP，SDP在互联网出口有做映射，且SDP的URL：https://abcd.XXXX.com:4430能够被外网DNS解析到，外网用户访问SDP外网地址，之后通过出口NAT访问内部应用。

3.2. 详细方案设计

3.2.1. 设备清单

本次实施工作包含深信服精益信任aTrust设备3台，设备清单如下：

序号	设备名称	设备型号	设备SN	用途
1	aTrust-SDPC	虚拟机	4核8G 500G	单臂部署做控制中心
2	aTrust-Proxy1	虚拟机	4核8G 500G	单臂部署做代理网关
3	aTrust-Proxy2	虚拟机	4核8G 500G	单臂部署做代理网关

设备版本信息如下：

序号	设备名称	设备版本信息	IP规划
1	aTrust-SDPC	V 2.2.2	BB.X.X.X/24
2	aTrust-Proxy1	V 2.2.2	BB.X.X.X/24
3	aTrust-Proxy2	V 2.2.11	BB.X.X.X/24

3.2.2. 配置要求

序号	并发人数	CPU配置	内存配置	硬盘配置（基于日志存储大小而定）
1	1-500人	4核	8G	≥110G
2	501-5000人	4核	16G	≥500G
3	5001-10000人	8核	16G	≥1T
4	10001-20000人	16核	16G	≥2T
5	20001-50000人	24核	32G	≥4T
6	≥50000人	48核	48G	≥4T

3.2.3. 虚拟化环境支持情况

序号	虚拟化系统	支持情况	部署要求/说明
1	深信服超融合HCI	支持	HCI的版本要求5.8.5R1以上
2	VMware虚拟机化	支持	VMware 版本需要 VMware esxi 5.x 及以上版本
3	腾讯公有云	支持	1.腾讯云账号； 2.开通对象存储COS； 3.需要具备存储桶。
4	阿里私有云	支持	1.阿里云账号； 2.对象存储oss客户端。
5	华为云平台	支持	1.阿里云账号； 2.华为OBS Brower+工具。
6	亚马逊云平台	支持	1.亚马逊平台账号；
7	万达信息云	支持	设备要做相关改动
8	华为虚拟机平台	不支持	华为的虚拟化平台只支持自己平台导出的OVA镜像
9	qemu-img版本为2.12.0的zstack平台	不支持	我们导出镜像的工具版本为2.5.1，由于qemu-img的兼容性原因，高于或低于此版本都可能出现兼容性问题导致不支持

虚拟化平台部署文档请参考：
https://tskb.atrust.sangfor.com/plugin.php?id=menu_tags:index&mod=viewdatabase&tid=18567

3.2.4. 设备授权说明

Ø Atrust并发授权计算的是用户同时接入数；

Ø UEM授权计算的是终端安装数；

Ø 用户集成SDK时，可选择使用接入模式或者沙箱模式

授权开通方式

授权分类	有自动封装	无自动封装
有沙箱	aTrust授权（并发数）+UEM授权（终端数）	aTrust授权（并发数）+UEM授权（终端）
无封装	aTrust授权（并发数）+UEM授权（终端数）	aTrust授权（并发数）

l 移动端：无自动封装、无沙箱使用aTrust授权（并发数），其他场景使用aTrust授权（并发数）+UEM授权（终端数）

l PC端：不存在自动封装机制，无沙箱按aTrust授权（并发数），有沙箱按aTrust授权（并发数）+UEM授权（终端数）

3.2.5. 设备互联配置

控制中心和代理网关分别部署在同一网段内

控制中心采用单机部署，代理网关双机组建集群

设备名称	aTrust-SDPC（控制中心）
部署模式	单臂部署
管理地址	https://BB.XX.X.X:4433
登录用户名	secadmin
登录密码	XXXXXXX
客户端接入地址	https://XXX.XXX.com.cn:4430
各接口连接情况	eth0 （管理口） （业务口）	IP：BB.XX.X.XX	网关：BB.XX.X.XX
		子网掩码： 255.255.255.0	对端设备接口：
	eth1	IP：N/A	网关：N/A
		子网掩码：N/A	对端设备接口：N/A
	eth2	IP：N/A	网关：N/A
		子网掩码：N/A	对端设备接口：N/A
	eth3	IP：N/A	网关：N/A
		掩码：N/A	对端设备接口：N/A

设备名称	aTrust-Proxy1(代理网关1)
部署模式	单臂部署
管理地址	https://BB.XX.X.XX:4433
登录用户名	admin_sxf
登录密码	XXXXXX
客户端接入地址	https://XXX.XXX.com.cn:4430
各接口连接情况	eth0 （管理口）	IP：172.XX.X.XX	网关：BB.XX.X.XX
		子网掩码： 255.255.255.0	对端设备接口：N/A
	eth1 （业务口）	IP：X.X.X.X	网关：X.X.X.X
		子网掩码：N/A	对端设备接口：N/A
	eth2 (心跳口)	IP：1.1.1.1	网关：1.1.1.254
		子网掩码：N/A	对端设备接口：N/A
	eth3	IP：N/A	网关：N/A
		子网掩码：N/A	对端设备接口：N/A

设备名称	aTrust-Proxy2(代理网关2)
部署模式	单臂部署
管理地址	https://BB.XX.X.XX:4433
登录用户名	admin_sxf
登录密码	XXXXXX
客户端接入地址	https://XXX.XXX.com.cn:4430
各接口连接情况	eth0 （管理口）	IP：BB.XX.X.XX	网关：BB.XX.X.XX
		子网掩码： 255.255.255.0	对端设备接口：N/A
	eth1 （业务口）	IP：X.X.X.X	网关：X.X.X.X
		子网掩码：N/A	对端设备接口：N/A
	eth2 (心跳口)	IP：1.1.1.2	网关：1.1.1.254
		子网掩码：N/A	对端设备接口：N/A
	eth3	IP：N/A	网关：N/A
		子网掩码：N/A	对端设备接口：N/A

3.2.6. 端口映射规划

控制中心和代理网关是部署在172段私有云网络，外网和DCN网络做相应的映射，端口映射对应如下：

组件	私有云网络	DCN网络	外网
SPDC	BB.X.X.A	AA.X.X.A	CC.X.X.A
Proxy1	BB.X.X.B	AA.X.X.B	CC.X.X.B
Proxy2	BB.X.X.C	AA.X.X.C	CC.X.X.C

3.3. 业务规划

基于对客户业务前期调研情况统计，客户在一期项目推广阶段进行如下功能的配置

业务模块	分支模块	功能模块	规划方案
监控中心	用户监控	在线用户	/
		用户状态	/
	设备状态		/
	业务告警		/
业务管理	用户管理	本地用户目录	设置1个本地账号，保证后续突发情况能够应急登录SDPC系统
		第三方对接用户	和客户https认证系统做对接，用户认证在客户4A系统
	认证管理	认证服务器	1. 短信认证服务器（辅助认证） 2. 4A认证系统（主认证） 3. 本地认证账号（应急账号）
		认证策略	1. 本地认证策略采用默认认证策略； 2. 4A认证策略采用短信认证作为二次认证
	应用管理	应用列表	1. 根据部门分组，批量导入资源； 2. 资源全部添加为隧道资源，协议采用http/https协议，支持审计及单点登录功能； 3. 开启web水印功能； 4. 开启用户自助申请应用功能；
		应用权限审批	/
		免认证应用	/
	终端管理	终端列表	一期暂不推广此功能
		授信终端列表	一期暂不推广此功能
		授信终端审批	一期暂不推广此功能
	角色管理		1. 基于各种不同部门新建角色，并对角色进行权限； 2. 角色关联到用户个人和群组
	权限基线		1. 逐步对应用进行采集-试运行-正式运行
	策略管理	全局策略	1. 开启SPA功能； 2. 填写隐身服务需要保护的地址，控制中心和代理网关的地址； 3. 配置源IP白名单 4. 开启登录安全策略，防爆破设置，设置密码有效期
		用户策略	1. 默认策略（普通用户）：同时允许PC和移动终端1人 2. 特殊策略（管理员）：同时允许PC和移动终端大于2人
安全中心	安全基线		暂未规划
	可信应用		暂未规划
系统管理	系统配置	1.	2. 时间同步服务器； 3. 接入地址配置（url域名）； 4. 控制台配置 5. 登录门户主题替换
	网络部署	1.	2. 基础网络配置
	特性中心	1.	2. 开启常用功能
	系统运维		默认配置
	代理网关管理	1.	2. 代理网关集群部署
审计中心	日志中心	1.	2. 保存6个月
	外置日志中心	1.	2. 设置外置日志中心备份留存

4. 设备现场交付阶段

4.1. 上线前设备部署

上线前，根据现场环境，结合需求调研信息，完成深信服精益信任aTrust控制中心和代理网关的基础网络配置，aTrust设备单臂部署不会影响现网环境，上线前先进行线下部署以节省上线时间。

设备上架：支持HCI部署导入镜像、VMware部署导入镜像、腾讯公有云部署、阿里私有云部署。

详细部署操作步骤请参考公司CMS平台部署文档说明“Atrust产品交付中心-上架升级说明-设备上架”
http://cms.sangfor.com/pages/viewpage.action?pageId=6626462

特别说明：使用设备ssh后台进行配置网络是临时配置，重启后会失效丢失，所以配置后需要在登录web控制台去修改网卡IP，让其永久生效。注意事项请重点参考“Atrust产品交付中心-上架升级说明-设备上架说明-部署过程注意事项”

4.1.1. 基础网络配置

按2.3章的接口及地址规划，完成设备单臂部署配置，别分配置管理口地址和业务口地址，以及对应的管理网段的回包路由。

4.1.1.1. 配置控制中心网络

1. 登录aTrust控制中心的WEBUI(默认用户名admin 密码SangforSDP@1220)。

2. 配置atrust控制中心基本网络，进入【系统管理】-【网络部署】-【网络接口】，点击【新增】按钮配置网络，如下图所示。（当仅有一个端口时，先配置路由再去改端口的IP地址，避免由于地址变更后，无可达路由访问）

1. 设置aTrust控制中心的下一跳路由，使其可到达目标网关。进入【系统管理】-【网络部署】-【路由设置】，点击【新增】按钮配置路由，如下图所示。

4.1.1.2. 配置代理网关

基本网络配置与控制中心相同。

4.1.1.3. “代理网关”加入“控制中心”

a. 登录代理网关WEB UI (默认用户名admin 密码SangforSDP@1220)

b. 在【系统管理】-【本机管理】页面，点击“加入控制中心”

填写“本机名称”和“控制中心地址”。其中，“控制中心地址”可填写控制中心网络接口中与代理网关可互通的接口地址，协议https，端口为443。

点击【确定】后，开始连接控制中心，连接成功，等待控制中心审批。

c. 登录控制中心WEBUI，进入【系统管理】-【代理网关管理】页面，点击“刷新”，显示待激活的代理网关节点设备

d. 局域网访问地址：填写aTrust代理网关的内网接入地址，用于隧道应用接入。端口未填写时，使用默认端口441。格式：一行一个，如：192.168.1.1:441。互联网访问地址：填写aTrust代理网关的公网接入地址，用于隧道应用接入。格式：一行一个，如：200.43.2.16:4431，在代理网关管理-区域管理中，新增添加区域。

e. 配置完后，点击节点卡片上的“立即激活”，选择节点分区

如果需要配置隧道应用，需要使用安全代理的441端口

4.1.2. 认证配置

本地账号认证，创建账号相对耗时，建议放在线下完成。根据贵单位的网络情况，把需要创建的账号提前收集出来整理成可以导入的表格，然后批量导入设备。

4.1.3. 资源配置

资源配置相对耗时，建议放在线下完成。根据贵单位的网络情况，把需要发布的资源提前收集出来整理，然后依次配置相关资源。

4.1.4. 策略配置

Ø 提前规划认证策略

Ø 提前规划资源组与部门（用户组）之间的匹配关系以创建角色

Ø 提前规划策略组与部门（用户组）之前的匹配关系以针对不同的部门（用户组）创建不同的策略组。

Ø 提前规划终端访问的安全策略

4.2. 设备细化配置

4.2.1. 设备部署

步骤1.

首先将设备开机，在虚拟化环境中进入SDPC后台将地址配置为BB.xx.xx.xx，界面如下：

步骤2.

打开Chrome浏览器，输入https://BB.xx.xx.x:4433，即可到登录界面，输入设备出厂默认的账号密码admin/SangforSDP@1220，界面如下：

步骤3.

配置LAN口，通过[系统管理/网络部署/网络接口，点击<新增>添加一个网口，设置eth0为LAN口，并且设置好IP地址信息，界面如下：

步骤4.

配置路由，需要配置一条到0.0.0.0/0.0.0.0的默认路由指向前置网关。本案例中需要配置一条默认路由指向前置核心交换机，进入[系统管理/网络部署/路由设置，点击<新增>按钮配置路由，配置界面如下：

在弹出的窗口中，配置目的地址、子网掩码、下一跳，点击<确定>，完成路由配置。

步骤5.

出口设备需要映射SDPC的HTTPS(默认TCP443）端口；Proxy使用HTTPS代理访问B/S资源，需要映射HTTPS端口（默认TCP443）需使用隧道端口，需要映射该端口（默认TCP441）。

：

在正式的环境中应尽量区分管理网、业务网，避免管理网和业务网络复用。如有集群还需新规划心跳网络。

4.2.2. 配置客户端接入地址

l 1.配置互联网接入地址：

l

l 2.配置SSL/TLS协议：（推荐使用TLS1.2协议加密，该协议更加安全，如需使用TLS1.0和TLS1.1再选择勾选，根据客户业务情况配置）

l

4.2.3. 配置代理网关区域

1. 配置局域网访问地址: （允许访问该互联网地址到aTrust）

l

l 2.配置互联网访问地址：（允许访问该互联网地址到aTrust）

4.2.4. 配置Radius服务器

1.配置Radius服务器：

4.2.5. 外部用户

1.将radius服务器将用户导入到本地，结果如下：

l

4.2.6. Web应用配置

1.在[业务管理/应用管理/应用列表点击新增。

2.应用属性：选择Web模式，并填写相关信息（包括名称、描述、所属应用分类、节点区域等信息）。

3.应用设置

后端服务器地址：使用真实地址或域名，如果填写域名需在sdpc上的host文件填写域名和真实IP的对应关系；

：

依赖站点的开启必须要有泛域名并导入泛域名证书，导入后将下属的站点地址填写到依赖站点中，设备会对其做前端访问地址的改写。

私有DNS解析：用于解决Web应用灰度发布的场景，即应用不想直接全面发布，只对部分用户测试通过proxy代理访问，再逐渐开放到所有用户。

4.安全设置

Web水印设置：开启Web水印后，在访问该应用时会显示用户的水印；

配置完成后显示结果如下：

Web应用资源配置接入IP限制，可先在sdpc平台的[安全中心/安全基线/扩展条件处新增限制策略，再调用策略。

4.2.7. 配置高级后端地址

对新绍兴4A业务系统网页中写死访问地址，但是该地址通过SDPC访问不到aa.1xx.39.2xx:3725，需要自动把https://aa.1xx.39.2xx:3725改写成SDPC前端访问地址https://4xxx.zxx.com:2443

l

4.2.8. 配置HOST解析域名

1.WEB资源前端地址需要解析到代理网关设备：

4.2.9. 角色配置

1.角色关联资源:(角色关联完资源后，可直接通过用户关联角色就行)

4.2.10. 配置SPA功能

1. 开始SPA功能：具体详解见：

     https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=128501

2.下载可信客户端：

4.2.11. 权限基线

1. 采集阶段：

在[业务管理/权限基线中开启权限基线功能，在任务采集处点击添加应用，把需要梳理的应用添加到采集列表中：

1. 试运行阶段：

经过一段时间的采集，可以看到用户访问的趋势和访问的人数。点击开始权限分配即可进入试运行阶段，并给用户分配权限

2. 正式运行阶段：

在[权限基线处点击试运行的应用，点击开始分配权限，给应用分配给对应的用户或组织架构。

4.2.12. 可信应用

在[安全中心/可信应用点击<配置可信应用防护策略>，配置可信应用，必须满足相关进程可信才能访问。

4.2.13. 对接外置数据中心

将用户日志传送到外置数据中心：

4.2.14. 认证安全增强

可设置检测到登录用户属于弱密码、在异常登录时间段登录、异地登录等情况对该登录用户进行增强认证，对身份进行加固识别，提高安全性。

在[认证服务器管理点击某一认证服务器的认证策略，在安全规则处选择相应的安全增强认证条件。

5. 上线后的健康检查

完成实施后，为确保设备运行正常，对设备进行健康检查，确保设备运行正常。

序号	检查项目	检查要求	检查结果
1	进入设备[系统管理/系统运维执行巡检命令atrust_tool healt	正常情况，所有的服务都是“ok”状态	通过
2	设备CPU使用率是否正常	正常情况，cpu平均使用率应70%以下	通过
3	设备内存使用率是否正常	系统日志是否用错误或告警日志	通过
4	系统日志是否用错误或告警日志	正常情况系统日志应无错误日志，异常情况请联系厂商处理	通过
5	检查是否有备份设备配置	实施完成后，应该备份设备配置，并和客户说明，本地存档	通过
6	是否已关闭外网远程维护	基于安全考虑，要求实施完成后，外网远程维护建议关闭的	通过
7	数据中心配置符合《网络安全法》规定留存相关的网络日志不少于六个月要求	实施完成后，如果使用内置数据中心期望保留天数需大于等于180天；如果使用外置数据中心或行为感知系统BA期望保留天数需大于等于180天	通过
8	2U设备是否使用托盘或导轨或安装前、后置耳片	实施完成后，2U设备必须用托盘或导轨或前、后置耳片 ，不允许只挂前置耳片上架（原因：2U太重，机箱会变型导致硬件故障）	软件部署

6. 方案价值

凭借多年远程办公实践经验、安全能力的积累，结合业界零信任安全架构的思路和方法，深信服零信任方案可以给客户带来安全能力和运维体验两大方面的价值优势，打造“更安全、体验更好的新一代远程办公方案”，提供更安全的身份安全认证能力，采用动态可信访问保护运营商核心业务，细粒度的智能权限降低异常行为风险，同时极简的运维体验降低管理工作量，帮助运营商在远程办公的大规模发展下既安全稳定又体验便捷。

6.1. 更安全的身份安全能力

深信服零信任安全解决方案以身份为中心，结合多因素身份认证，具备高强度身份认证机制，同时也可与第三方统一身份认证平台平滑对接，默认支持OAuth2、SAML、CAS认证协议，支持与AD/LDAP服务器进行认证对接。采用动态自适应身份认证，实现认证安全增强。根据零信任的基础“先认证、再连接”使得业务服务器隐藏，保障了用户接入的安全性。其次，根据一些机制设置动态认证能力，如当用户访问使用弱密码时需进行增强认证；当用户在异常时间段登录时需进行增强认证；当用户在异地登录时，必须进行增强认证。在登录时使用智能图形校验码防爆破，同名用户连续登陆错误锁定用户，同IP用户连续登陆错误锁定IP地址。同时，实现安全与体验的最佳平衡，如用户在授信的终端上登录可以免辅助认证、采用客户端一键登录，不需要再输入访问业务地址和账号密码。更全面、更动态的认证机制，对接入的用户进行身份验证。

6.2. 动态可信访问保护核心业务

对终端环境实施全周期地实时动态检测，包括用户登陆时、登录后访问业务期间；还可根据业务的重要程度制定高要求的终端准入规则，如访问官网等非敏感业务不需要安装杀毒软件，而访问财务系统必须安装EDR软件并且规则库更新到最新版本。另外可设置黑白名单，只允许终端上特定的进程接入访问业务，对终端进行一系列的动态控制，达到高安全终端接入访问。结合用户实时的身份信息、终端环境信息和应用敏感度，能实现对不同安全要求的应用，以及不同范围的用户进行不同安全力度的应用准入，实现动态访问控制。

通过第二代SPA机制实现网络隐身，最大程度缩小暴露面，只有特定携带安全票据的客户端才能进行访问请求连接，可以避免对外暴露端口，防止任何人都可以发起访问链接，进而避免黑客的扫描探测、漏洞利用攻击等，降低入侵风险。

支持B/S业务系统自动增加水印，水印内容可以包括用户名称、时间，用于防止截屏、拍照带来的泄密，并起到威慑效果，提升员工保密意识。支持记录用户的访问日志，并支持通过Syslog日志服务器对接给审计服务器，实现安全审计。

6.3. 细粒度的智能权限降低异常行为风险

对业务进行智能权限梳理，确保最小化权限的同时，有效减少用户原本权限梳理的管理成本，并设置基于业务系统细粒度准入规则，不同业务制定不同的准入基线，可以灵活地将业务与终端环境、用户行为、认证方式等进行配置，满足运营商的安全诉求。

当终端环境、身份、行为发生变化时可进行动态访问权限控制，可通过收缩或阻断用户的访问权限，降低被攻击入侵的风险，助力运营商从区域边界粗粒度访问控制走向的细粒度访问权限控制，实现最小暴露面。

通过UEBA、提供API与第三方安全能力集成，实现多源信任评估，更准确地识别异常行为和未知威胁，保护业务系统，形成统一的安全防护体系。针对异常的行为可以增加二次认证，实现灰度处置，不再只是直接阻断或者记录行为放行的粗暴方式。支持智能权限基线，对于远程办公人员众多的运营商，利用权限基线工具，能够帮助IT运维人员更快速地梳理清楚各角色的访问权限，确保提供员工最小化权限的同时，也能有效减少IT人员权限梳理的管理成本，不必过多进行重复繁琐的运维工作。

6.4. 极简的运维体验降低管理工作量

在终端使用体验升级上，深信服零信任安全解决方案使用户访问B/S业务可以免除客户端登录，通过浏览器即可访问业务，提升使用体验；业务从互联网收缩到内网后不改变用户原有使用习惯，不改变原有访问域名和访问体验，内外网访问一致体验，无论在何地办公，都能获得一致的访问体验，对于用户而言易用性高、上手快，同时也大幅降低IT人员在用户终端侧的管理和运维压力，也更易于整套远程办公平台的推广。针对WEB应用技术改良、隧道应用技术改良，传输技术优化，保障更优的用户访问体验，减少更多的终端运维工作。同时，在权限管理上提供智能权限工具，如用户自助申请权限，大幅降低IT管理人员账号开通、权限审批等繁琐工作投入。提供终端自助工具对当前终端的基本环境进行扫描和一键修复，降低运维人员在终端的运维工作，提升运维体验。

XX客户零信任SDP实施方案

楼主您好，感谢您的干货分享哦！！【2022深信服全国技术争霸赛】火热进行中，参与2022技术争霸赛之《原创分享·干货满满》即可获得积分哦！