随着零信任产品的推广和普及,使用它的用户也逐渐意识到,零信任产品不单单只是一个VPN
他的安全能力和综合体验,让越来越多的用户,在公司内部访问资源的时候,也需要通过零信任来进行代理,以便于提高公司局域网之间的访问安全
最近实施的项目,正好就是这样一个场景,无论公司内外,统一由零信任进行了接管
对于客户来说,虽然都是通过零信任接入的,但是在公司内部接入,和在公司外面接入,他的安全环境是不一样的
所以在实施的时候,提了一些需求: 第一个需求,如果一个用户是在公司固定的自己工位登录的,那么他就要检测电脑上是否开启了公司自己购买的杀毒软件,是否开了桌管软件等等 如果是用自己的私人电脑在外面出差,或者是自己在家里办公登录的零信任,那么就需要检测至少要有杀毒软件才能登录
第二个需求,有些特别重要的业务,涉及公司自己的保密数据,这些业务是不允许在公司之外访问的,只能在公司内部,而且是使用公司配备的办公电脑才能访问
而且要求,每个用户只能分配一个账号,需要从设备层面上去实现客户的需求
需求存在,即是合理
让我们来看看如何去实现用户这个需求
首先咱们产品的策略配置是基于用户的,包括授权分配也是基于用户的,所以无法从用户层面上做到 公司内外网的差异性
一个条件一个条件的分析,首先是公司分配的固定电脑,这个可以用授信终端来进行配置
开启授信终端,仅允许在授信终端上面才能登录,而且为了满足用户 在公司电脑和个人电脑上都可以登录,那么就需要至少分配给每个用户2个终端可以进行绑定 并且 绑定的过程需要管理员进行干预,让使用员工无法任意的去更换授信终端
然后针对于需求一,我们可以配置一个上线准入策略,让员工在公司内外不同环境的时候,分别进行不同的检测
然后先进性针对源IP的归属判定,判定完成后在根据判定的结果进行条件判定
如上图所示,可以分别针对IP归属来设置条件,然后再用一个总的OR条件,进行上线的条件组验证
这样的配置,就可以实现需求一了
需求二就比较简单了,只需要在内网才能登录的应用系统里加一个应用防护策略
这样配置,检测一下计算机的IP是不是在公司的内网,如果是的话,才允许进行打开。 如果担心接入IP容易重复的话,可以多加几个判定条件,联合检测一下只有公司内部电脑才会使用的进程或者特征
通过以上配置,实现了客户的需求,感觉较为典型,所以发帖记录一下
总结:现在的生活节奏,工作节奏都变得越来越快,应该放慢一下脚步,安静的去思考一下每个遇到的问题,或许,从另一个角度出发,问题就会变得很简单
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-7-10 15:26
学到了学到了
技术研究员2级 