移动化办公安全接入方案 – 作者:宁盾nington

移动化办公，无疑已经成为了一种潜移默化的趋势。

据调查统计，2015年全球37%工作人员迈入了移动化，2018年全球55%的商业IP流量属于移动商业互联网流量。他们或穿梭于城市之间，或在出差路上，或出没于星巴克、Costa等咖啡厅，在混杂的环境中，却又能随时随地连接员工、上下游、用户和系统、实时沟通、协作及办公。同时受2020新型冠状病毒的影响，中国乃至西欧全民进入移动化远程办公状态。

传统移动化办公以小范围远程办公为主，现在到未来企业将会逐渐向“全员”移动化办公转型，并且要为全员移动化办公寻找新的网络安全架构支撑。尽管“零信任”安全理念已经逐渐被企业接受，未来一段时间，企业将处于从“边界安全”向以身份为核心的“永不信任，持续验证”的零信任安全过渡。同时，宁盾从身份安全出发，为企业提供远程办公安全接入方案，助力企业移动化转型。

 

方案一、移动化办公双因子认证解决方案

出于架构规划、成本支出等原因，当下VPN/VDI 仍是远程办公的主流方案。但因为移动化办公缺少保护，域账号开始对外开放。为解决弱密码、账号密码泄漏等问题引发的信息泄漏，账号安全保护（MFA多因素认证）成为远程办公必备条件。

双因子认证是在账号密码的基础上增加动态密码（One-time Password），或者无密码方式提升远程账号接入安全。MFA多因子认证方式包括：

1、VPN双因子认证保护

以下图认证为例，用户认证时，在账号密码的基础上需再次验证动态密码。图中展示了宁盾手机APP令牌形式。

除了Cisco外，还兼容Palo Alto、深信服、Hillstone、Juniper、Check Point、Array等国内外友商设备，并与其建立良好的合作关系。

2、VDI/云桌面 双因子认证保护

与VPN 类似，VDI、虚拟化、云桌面远程办公同样存在弱密码、账号密码泄漏的安全隐患，需要借助第三方认证系统提升远程办公接入安全。

以Citrix VDI为例：用户认证时，在输入账号、密码、域名后，需要再输入一个动态验证码。如图展示的是企业微信H5令牌形式，只需将当前动态口令“复制粘贴”到二次密码框中完成校验即可。

方案二、移动化办公IAM统一身份管理解决方案 

企业上云、SaaS应用的激增让移动化办公成为可能。无论是站在未来“零信任”安全框架的角度考虑，还是站在业务的角度考虑，多账号源管理增加了企业运维成本，多业务系统的重复认证降低了员工效率，同时远程办公办公接入还存在认证安全隐患。因此，出于“业务”和“安全”考虑，身份安全与业务管理将趋于统一，统一身份管理是企业移动化办公的必经之路。

1、统一身份管理：

面向企业多账号源或者业务系统内自建账号源的情况，要实现统一身份管理需满足：

a)  确定唯一主账号源，可以利用现有的AD或者自建LDAP的方式存储用户身份信息；

b)  账号映射：借助与身份相关的“手机号”、“邮箱”、“***”等信息将其他账号源与主账号源建立映射关系；

c)   账号生命周期：在完成账号映射后，借助流程引擎实现账号新建的同步到权限下发/更改、账号冻结/删除的全过程。

d)  访问授权：基于角色/用户组/用户条件的方式授权用户对应用的登录及访问权限；

2、应用管理：

除了常用商业应用，企业还存在部分自研应用，因此面向本地、SaaS服务的B/S、C/S架构应用进行统一管理：

a)  对接协议：面向商业应用支持OAuth2、SAML、OIDC等标准协议，面向企业自研应用提供Easy SSO 协议；

b)  应用类型：满足企业B/S、C/S多架构应用的统一对接需求；

c)   商用应用库：为常用的企业应用建立商业应用库，缩短工期和对接时长。宁盾商业应用库包括SAP、Office365、Salesforce、泛微OA、用友NC、帆软、致远、Teambition、日事清等SaaS服务、Confluence、Jira等研发应用、阿里/腾讯/网易等邮箱系统。

3、安全认证：

由于企业通过单点登录将多个业务系统集中到一个门户网站中进行认证，一旦账号被盗将危害多个应用的使用安全。因此MFA多因素认证常常与单点登录配套使用：

a)  OTP 动态口令形式：在账号密码的基础上增加动态密码提升账号密码认证安全性；

b)  “扫一扫”免密认证形式：借助企业微信/钉钉“扫一扫”免密认证的形式提升认证安全；

推送认证形式：用户手机上接收到PC认证消息时进行免密授权，实现安全认证；

4、用户访问：

a)  PC端User Center：Web端统一认证门户，用于存放业务系统链接及登录；

b)  移动端与企业微信/钉钉等第三方应用工作台整合：移动端统一认证门户，将User Center整合到第三方APP的工作台，避免用户重复安装应用。

无论是SaaS服务，亦或是本地应用，通过对业务系统进行整合，统一多账号源并提取唯一身份，实现业务系统的统一身份+统一门户+统一授权+MFA安全认证，助力企业移动化办公转型。

 

方案三、移动化办公终端安全

当终端离开了网络，谁来确定终端的可信度。2020 年的疫情告诉了我们，当全员居家办公的时候，接入企业网络的终端也变得不可揣测。各种家用台式机、个人笔记本纷纷接入企业网络，这些不受企业信任的终端让企业运维人员殚精竭虑。企业复工后，第一任务就是整改接入网络的终端：

1、VPN远程办公：某些VPN 设备具备终端MAC绑定及较弱安全检测功能；

2、  VPN/VDI联动终端准入，VPN负责远程接入和隧道加密，宁盾终端准入引擎（NDACE）负责检测入网终端及运行在网络内终端的合规性。联动VPN 后，NDACE 可视化所有通过VPN接入网络的终端，根据企业网络准入条件，并隔离非合规终端，以确保只有合规终端才被允许接入企业网络。

 

四、方案价值

1、远程办公接入安全得到保障：在账号密码的基础上增加动态密码或采用其他认证方式提升远程办公接入安全，助力企业移动化转型；

2、多维度联动，严格把控接入企业网络终端的合规性，并自动隔离非合规终端；

3、基于“身份+终端”，构建以“身份+终端”的动态访问策略，弥补“边界安全”防护的不足，加速企业零信任安全落地。

来源：freebuf.com 2020-03-26 11:11:46 by: 宁盾nington