XX集团ZTNA交付项目

1、项目介绍

1.1、项目背景

XX集团，是一家专注于利用余热及清洁能源进行城市集中供热的投资、运营服务商。其总部位于北京，业务布局在30余个城市。24年中旬客户接触了深信服的一体化办公方案，认为一体化架构能有效满足其需求，最终采购深信服方案。

1.2、业务痛点

业务集中部署于总部机房和公有云，各分支过去通过SSL/IPSEC的VPN通道访问业务，在安全防护、用户体验和运维管理等方面的需求均难以满足;由于集团未进行统一的终端安全建设，各分支终端的安全态势不清晰，难以统一管理，存在很多安全隐患和业务暴露面。考虑到上述痛点，用户从方案调研开始便倾向于客户端一体化和服务化、统一管理的技术方向。

2、方案设计

2.1、需求分析

1、资产暴露面收缩：客户业务都集中运行在第三方云平台上，通过映射的方式直接将应用端口暴露在公网上。因为安全问题，客户目前需要收缩资产暴露面。

2、统一认证：客户使用企业微信作为公司内部通信软件，希望能够通过企业微信扫码的方式进行初步认证，使用手机验证码的方式进行二次认证。

3、客户端AIO：客户此次购买SASE ZTNA和SAAS AES，希望能够做到终端统一，此次使用SASE AIO方案进行推端。经过与客户沟通，每个子公司安排一名对接人员统一进行培训，主要负责客户端的安装和使用教学。

2.2、功能规划

模块	功能
认证	1、IDaaS设置企微用户源 2、认证方式采用企微扫码认证、短信认证 3、无流量注销下线时间24小时
ZTNA	1、连接器部署管理 2、内网应用管理 3、应用授权，对应用进行分类分组，用户都基于应用组授权 4、与AES进行AIO联动
管理员	1、分权分域管理，根据不同的运维人员进行分配
策略下发	1、内网应用通过域名形式发布，用户访问流量通过DNS流量劫持到内网DNS上进行解析

2.3、实施过程概述

一、认证

1.1 使用IDaaS平台对接企微用户源

1.2 配置企微字段映射规则，同步企微的组织架构和用户信息，用户信息包括user_id,mobile,name字段等信息

配置后的效果

同步到SASE的效果

1.3 认证源配置

1.4 认证策略配置

1.5 高级配置

二、ZTNA配置

2.1 由用户优先根据映射策略进行初步梳理，并在ZTNA发布对应的资源。梳理的资源按照业务类型进行分类分组

2.2根据同步的用户常规业务访问进行应用组授权

三、客户端推广

客户集中培训。ZTNA客户端通过客户自主部署安装，AES客户端通过ZTNA客户端联动部署。