零信任安全解决方案

结合业界和阿里巴巴自身实践，将边缘计算和零信任框架进行结合，通过 SASE（安全访问服务边缘模型）构建阿里云零信任安全体系。由可信终端、可信身份、可信网络、可信应用和持续风险评估决策中心等五个重要部分组成。为企业办公提供高效、稳定、安全、便捷的零信任安全访问服务。

方案架构

零信任安全解决方案

本方案基于零信任安全框架的指导思想和原则进行设计，通过零信任架构对访问主体向企业资源的请求进行安全验证，使得默认不可信的访问请求在经过身份、设备、网络和应用权限的验证后能够安全的访问企业资源。

架构说明

安全访问代理

通过轻量化 Agent 仅将访问内部应用的流量代理到网关

就近安全接入

通过阿里云全球 POP 接入点就近转发企业流量至公有云或 IDC

统一身份校验

统一管控企业身份体系，每次访问都校验请求者的身份和权限

应用安全管理

应用接入和隐身，实现暴露面的收敛

动态持续分析

对每次请求的行为和登录状态进行动态的风险分析并预警

推荐产品

SASE

IDaaS

核心能力

可信网络访问

基于阿里云全球边缘接入点构建的零信任网络，提供安全高效的远程办公能力。

可信身份管理

提供统一的员工账号生命周期管理，实现身份的统一认证、统一授权、统一管理。

终端安全管控

提供可信终端的注册、授信、绑定和安全管控。

网络安全准入

提供设备准入基线管理，以及802.1x 设备网络准入，提供公司内外网的安全准入能力。

多因素认证

提供动态口令、短信、邮件、扫码、面部识别等多种认证方式，为员工打造更便捷的接入体验。

SSO 统一门户

基于标准的认证协议（SAML、OA uth.2.0、JWT、C/S）实现 SSO ，为企业打造统一办公门户。

网络数据防泄漏

识别终端敏感数据的外发渠道，对敏感数据的下载和外发行为进行监控预警，并通过终端管控来降低端侧泄露风险。

办公应用加速

提供高效、安全、合规的全球办公应用访问加速，解决海外办公、海外运营等场景需求。

方案优势

安全高效的零信任网络

基于阿里云全球 POP 点为企业提供高速的网络访问体验，并结合多年安全攻防积累，为企业提供实时的访问流量入侵检测和防护。

云原生的零信任架构

遵循零信任原则构建访问可信链，通过云原生的边缘安全接入点和网关进行身份、设备、网络、情报的安全校验和最小化权限管控，构建企业可信的安全架构。

灵活快速的部署方式

SaaS 化安全服务即开即用，无需部署和投入硬件资源，快速搭建零信任网络架构，并支持多云、混合云的部署形态，优化复杂的全互联组网，降低运维压力。

弹性稳定的零信任网关

原生的动态扩缩容能力，有效应对疫情期间突发的访问并发扩容问题，云原生的架构提供了天然的高可用机制和网关自身的安全防护，保证网关的可用性。

敏感数据的识别和防护

借助强大的数据识别和流量分析能力对办公网外发、下载的行为进行敏感数据的识别和途径分析，帮助企业获取敏感数据使用地图并进行告警和管控。

全球办公应用安全加速

依靠阿里云全球网络基础设施，基于零信任网络架构为企业提供全球化办公应用安全加速访问，满足合规的基础上，提供安全、可靠、便捷的办公环境。

应用场景

远程办公

身份安全

数据防护

混合云架构

全球办公

应用隐身

安全高效的远程办公

场景描述
VPN 的高并发扩容、网关维护给企业 IT 和运维带来巨大的挑战，且无法有效确认访问主体的安全性。
解决方案
通过阿里云全球 POP 点快速接入，基于 ZTNA 零信任架构实现安全可信访问，并具备云端弹性扩容能力，替换原有 VPN 组网，使员工可以安全、高效、稳定地访问企业资源。