需求背景​

移动办公的普及将用户的范畴广义化，包括了企业员工、承包商、供应商、渠道合作伙伴等需要接入办公应用和业务资源的用户。而这些用户需要通过手机或笔记本电脑等便携设备，随时随处都能与在办公室一样便捷顺畅工作。这种全新办公模式给企业的远程接入提出了新的需求。 

细分场景​

1. 远程接入：员工居家办公、分支机构、海外分支、承包商、渠道商的人员远程接入总部业务资源。
2. 移动办公：员工外出或出差时能不受物理位置和IP地址限制，随时随处便捷访问业务资源，安全高效。
3. 体验升级：VPN访问慢、容易断、体验差、不安全的升级替换。

场景实例​

现状描述​

1. 某科技类公司共500名员工，总部在北京，在上海和深圳分别设有分公司。
2. 公司的办公系统分别部署在A、B两个公有云，员工通过SSL VPN远程访问业务系统，运维工程师通过SSL VPN接入到云服务VPC远程运维。
3. 公司的研发和测试服务器、运营数据系统部署在某数据中心，各办公区与数据中心使用IPSec VPN建立加密隧道，直接打通各办公区内网和数据中心，便于员工直接从内网访问数据中心的业务资源。

网络拓扑​

需求分析​

1. 提高远程访问体验

受限于VPN的技术实现方式，远程接入的员工每次只能同时接入一个VPN网关，无法同时在一个终端上建立多个VPN隧道。

当员工需要访问不同区域的业务时，必须手动切换不同VPN，特别影响员工远程办公、研发测试和运营运维的工作效率。

2. 精细化管控需求

当远程办公员工通过VPN接入后，实际上就进入到了整个内网/业务网段。 

由于远程接入员工变动频繁、角色复杂，管理员一般会给VPN网段开放较大的网络访问权限，允许远程接入员工在网络层可以访问所有业务，仅通过应用帐号权限进行业务访问管控。

这种管控方式在网络层留下了巨大的安全隐患，攻击者亦可通过VPN接入内网，在网络层面整个业务网段都向攻击者开放。

部署拓扑​

部署方案​

1. 信域管理控制平台TMC部署

TMC部署在数据中心的业务局域网中，分配局域网IP地址，无需对局域网外开放端口。

2. 信域网关TMG部署

分别在两个公有云的VPC里、数据中心业务局域网各部署一套TMG，分别代理各自区域的业务服务。

在云VPC出口网关、数据中心出口防火墙上配置DNAT策略，将TMG的UDP9527端口映射到网络出口公网IP地址的任意固定端口上，并开启此端口的双向UDP访问权限。

3. 信域客户端TMA部署

员工办公终端上安装信域APP，终端用户使用信域APP登录信域安全云网。

实现效果​

1. 随时随处便捷远程接入，不用切换同时访问不同业务

无论是居家办公、差旅途中、外出移动办公，所有员工通过信域TMA终端软件经认证授权后，即可访问所有授权业务资源，且所有授权业务资源可同时访问，终端用户无需关心业务资源部署位置，无需切换链路。

2. 基于身份的细粒度访问控制

网络访问控制策略基于帐号、终端与业务资源三个主要要素设置，策略编排不依赖于终端的IP地址。

管理员只需要根据业务需求，按照公司组织架构或角色、帐号等设置授权策略即可，无需考虑复杂的网络地址分段，大幅降低管理员的运维工作量，消除了企业在网络层面的隐含信任漏洞问题。

3. 大幅减少攻击暴露面

所有业务资源都隐藏在业务区的内部网络中，无需对互联网或办公网暴露任何端口，所有业务访问的网络数据包都将经过身份认证，避免了来自非认证非授权人员的潜在安全威胁，让企业用最小代价实现了对绝大多数安全威胁的有效防御。

绎云科技

北京绎云科技有限公司是国内领先的网络安全网格创新企业。公司以”轻松协同·可信互联”为愿景，将构建安全可信的网络互联空间作为公司使命。 核心团队来自国内大型网络安全公司以及互联网公司，在网络安全领域有近20年的从业经验。绎云遵循零信任安全原则和网络安全网格架构理念，自主研发的信域安全云网，融合了多种网络和安全创新技术，为企业在分布式的业务网络之上构建了一张覆盖全球的实名制专有安全网络，帮助企业解决在业务数字化转型过程中面对的网络和安全挑战。 公司电话：4000390100 公司官网：www.trustmatrix.com 公司官微：绎云资讯