SASE框架下以身份为中心的办公安全最佳实践

最新推荐文章于 2025-06-15 22:58:05 发布

网宿安全演武实验室

最新推荐文章于 2025-06-15 22:58:05 发布

阅读量754

点赞数 21

CC 4.0 BY-SA版权

文章标签： SASE 零信任办公安全终端安全数据安全

本文链接：https://blog.csdn.net/WangsuSecurity/article/details/147993288

零信任代表了新一代网络安全防护理念，其核心在于打破默认的“信任”。在当今的安全环境中，信任不再与网络环境相关，而是与访问系统的人员及其访问控制密切相关。零信任理念用一句通俗的话来概括，就是“持续验证，永不信任”。默认情况下，企业网络内外的任何人、设备和系统都不被信任，而是通过身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。

从零信任的理念可以看出，网络安全的架构体系正从“网络为中心”向“以身份为中心”转变。

什么是身份？

在企业中，用户的网络身份通常由企业管理员分配，它通过名称信息、组织架构和角色信息来确定，并存储在特定的身份源中，如Windows AD域、企业微信、钉钉、飞书等系统。

用户身份被其他程序或应用获取的前提是，用户的身份必须通过有效的验证/认证手段。身份验证/认证后，确定用户是否能访问特定资源或操作的过程称为授权。例如，常见的支持认证的协议有CAS、OIDC、SAML等；常见的支持授权的协议有OAuth（如企业微信、钉钉、飞书等实现）、OIDC等。

这些身份信息系统和可靠的身份认证系统是对外提供服务的出发点，也是零信任理念下业务系统和数据信息安全的基石。

在SASE框架下，身份能与哪些元素串联？

SASE框架是融合了零信任“以身份为中心”的理念，并衔接了关键应用的网络和安全融合框架，它可以将CISA（网络安全和基础设施安全局）提出的零信任成熟度模型的五个支柱——身份、设备、网络、应用、数据——串联起来，应用于企业在不同场景中，提升远程访问、企业员工移动办公、数据保护等场景的安全性和便捷性。

SASE框架下以身份为中心的办公安全最佳实践

1、统一身份认证与单点登录：身份与应用的串联

在企业业务发展过程中，往往存在多套应用和对应的身份系统。用户通常需要记录不同应用的认证凭据（如账号密码）来完成登录。而在SASE框架下，可以实现企业用户只需输入一次账号密码，在一处完成登录，之后即可直接进入所有业务系统。这种统一身份源和单点登录的效果可以显著提升企业员工的身份认证效率。

网宿基于SASE框架打造的SecureLink产品，可以一键将第三方平台维护的组织架构和员工信息导入SecureLink平台进行统一管理，免去管理员重复创建企业员工账号的繁琐操作。针对特定场景访问、敏感数据访问等，SecureLink支持设置二次认证、防止暴力破解等安全功能，以提高客户端的安全性，保障用户身份安全。此外，产品支持通过SAML、OAuth2.0、CAS、Radius协议对接第三方SSO单点登录认证服务器，已成功对接竹云、派拉、阿里、腾讯、谷歌、ADFS、OKTA等厂商。

2、更快速安全的访问体验：身份与网络的串联

在SASE框架下，身份可以与网络结合，实现不同用户在不同地理位置一致的网络访问体验，并且可以直接绑定员工身份信息，完整记录员工的上网行为，方便后续追溯查询。

网宿SecureLink基于全球2800+ POP节点，帮助企业全球员工就近接入，并通过SD-WAN加速网络，使访问速度显著提升，视频会议流畅不卡顿。员工无需切换账号，即可访问部署在多个数据中心的应用。基于1900万+全球威胁情报能力，SecureLink可以有效抵御全球恶意攻击威胁；一键拦截涉恐、赌博、成人等不良网站，避免法律风险，确保员工合规上网；同时拦截恶意域名、IP，有效防范恶意软件、勒索病毒、挖矿病毒、钓鱼链接、非法站点等多种威胁，确保员工安全上网。

3、动态与安全的访问控制：身份、应用、设备、网络的安全串联

在SASE框架下，用户与应用之间的访问控制不仅基于RBAC（基于角色的访问控制），还可以结合ABAC（基于属性的访问控制）和PBAC（基于策略的访问控制）模型，提供基于风险的自适应访问策略。例如，实施PBAC的访问控制模型可以实现普通经理在公司内网工作时间内访问项目应用，而财务领导可以在任何时间、任何地点访问财务应用，从而更灵活地满足不同用户在不同网络环境下的接入安全需求。

网宿SecureLink不仅能够灵活满足上述场景，还在安全方面表现出色。它可对认证过的用户行为进行实时的可信度建模和全时空分析，基于访问环境（如时空、是否授信设备、网络）、访问目标内容（如应用系统、频率）以及访问过程中的安全事件（如应用漏洞攻击、

应用弱口令爆破、SQL注入攻击等）进行异常识别，进而进行应用权限控制。利用基线偏离的AI算法，SecureLink可以识别离群、历史偏差等潜在风险和攻击行为，确保应用在安全的环境中、正确的时间节点以及规范的操作下被访问，保障企业应用的访问安全。

4、身份&数据全生命周期溯源：身份、设备、应用、网络、数据的串联

在SASE框架下，企业可以打造数据安全的新范式。管理员可以通过用户在访问过程中的身份、设备、应用、网络和数据信息，综合判定一次数据泄密事件，而无需在海量日志中寻找证据。

例如，上图复现了“内鬼”窃取内部敏感文档的全过程：通过重命名、修改后缀、移动、压缩等动作对文档进行“伪装”后外发。网宿SecureLink能够结合用户身份、设备、所处网络环境IP等内容，从文档下载环节开始对数据打标，实时跟踪文档在终端的绕过操作，并在外发阶段进行精准拦截，有效防止数据泄露，误拦率为0%。

当然，以身份为基石的最佳实践远不止上述场景。企业可以利用SASE架构的优势，以身份为中心，实现灵活的应用权限控制和高度可靠的安全性。这使得SASE框架下的产品成为适应当前企业需求的最佳选择。