虛擬專(zhuān)用網(wǎng)（VPN）一直都是企業(yè)遠(yuǎn)程接入的首選方案，業(yè)務(wù)人員靠它接入公司OA、郵箱、CRM，開(kāi)發(fā)人員靠它訪問(wèn)測(cè)試環(huán)境、代碼庫(kù)，運(yùn)維人員靠它遠(yuǎn)程登錄運(yùn)維系統(tǒng)。但隨著云計(jì)算、5G的快速發(fā)展，遠(yuǎn)程辦公、協(xié)同開(kāi)發(fā)成為常態(tài)，很多企業(yè)忽然發(fā)現(xiàn)，用了那么多年的VPN，竟然成了自己最大的安全隱患……

VPN，越來(lái)越不安全

VPN是基于傳統(tǒng)邊界防護(hù)開(kāi)發(fā)的產(chǎn)品，通過(guò)在互聯(lián)網(wǎng)上建立加密隧道，實(shí)現(xiàn)外網(wǎng)到內(nèi)網(wǎng)的訪問(wèn)。因?yàn)檫B接機(jī)制、認(rèn)證方式上的固有缺陷，VPN非常容易成為攻擊者進(jìn)入企業(yè)內(nèi)網(wǎng)的“突破口”：1.VPN暴露在互聯(lián)網(wǎng)上，易被攻擊者利用：VPN采用“先連接后認(rèn)證”的機(jī)制，設(shè)備的IP和端口在互聯(lián)網(wǎng)上公開(kāi)可見(jiàn)，攻擊者既可以利用DDoS攻擊耗盡VPN設(shè)備資源，影響正常登錄，也可以利用0day漏洞攻陷VPN設(shè)備進(jìn)入企業(yè)內(nèi)網(wǎng)，把加密隧道變成任意進(jìn)出的“后門(mén)”；2.VPN采用靜態(tài)認(rèn)證，易遭到拖庫(kù)撞庫(kù)攻擊：VPN多采用賬號(hào)+密碼的方式，攻擊者一旦用拖庫(kù)撞庫(kù)等方式攻擊得手，就可冒用員工身份進(jìn)入企業(yè)內(nèi)網(wǎng)，竊取機(jī)密數(shù)據(jù)，傳播網(wǎng)絡(luò)病毒；3.登錄設(shè)備和環(huán)境不可控，終端易成為攻擊者“跳板”：傳統(tǒng)的VPN客戶(hù)端只有接入功能，無(wú)法監(jiān)測(cè)終端的安全狀態(tài)。登錄設(shè)備如果沒(méi)有安裝防護(hù)軟件或使用不安全的網(wǎng)絡(luò)，有可能被攻擊者入侵，成為他們?cè)竭^(guò)安全邊界進(jìn)入企業(yè)內(nèi)網(wǎng)的“跳板”。

芯盾時(shí)代零信任安全接入網(wǎng)關(guān)（ZVG）

遠(yuǎn)程接入是剛需，VPN又不安全，于是越來(lái)越多的企業(yè)把目光轉(zhuǎn)向了更適應(yīng)邊界模糊化網(wǎng)絡(luò)環(huán)境的零信任理念。利用基于零信任理念的產(chǎn)品方案替換VPN，重構(gòu)遠(yuǎn)程接入系統(tǒng)，成為了企業(yè)的新需求。芯盾時(shí)代零信任安全接入網(wǎng)關(guān)（ZVG），打破傳統(tǒng)以網(wǎng)絡(luò)邊界為信任的條件，從身份、設(shè)備、行為等維度展開(kāi)全方位防護(hù)。ZVG采用采用“先認(rèn)證后連接”的機(jī)制，拒絕一切非法連接，實(shí)現(xiàn)端口隱藏，有效縮小企業(yè)的資源暴露面。同時(shí)，ZVG提供安全基線檢測(cè)和移動(dòng)免密認(rèn)證，保障企業(yè)在遠(yuǎn)程辦公場(chǎng)景的網(wǎng)絡(luò)安全與業(yè)務(wù)安全，讓企業(yè)用戶(hù)與合作伙伴能夠使用任意設(shè)備，在任意地點(diǎn)、任意時(shí)間，以最小化權(quán)限安全地訪問(wèn)企業(yè)資源，是替換VPN的理想方案。

比VPN更安全，比VPN更便捷

相比VPN，芯盾時(shí)代零信任安全接入網(wǎng)關(guān)（ZVG）在安全性與便捷性上優(yōu)勢(shì)顯著。借助ZVG，企業(yè)可實(shí)現(xiàn)以下效果：1.縮小資源暴露面，實(shí)現(xiàn)企業(yè)“網(wǎng)絡(luò)隱身”：采用“先認(rèn)證后連接”的機(jī)制，利用SPA單包授權(quán)對(duì)可信客戶(hù)端進(jìn)行預(yù)認(rèn)證，執(zhí)行默認(rèn)“Deny All”策略的高性能流量過(guò)濾，實(shí)現(xiàn)業(yè)務(wù)資源和網(wǎng)關(guān)自身的雙重隱藏，緩解掃描、DDos和其他非法攻擊，成為惡意流量的“黑洞”；2.實(shí)現(xiàn)多因素認(rèn)證，認(rèn)證安全體驗(yàn)好：結(jié)合用戶(hù)所知、所持、所有進(jìn)行身份認(rèn)證，提供用戶(hù)名+密碼、掃碼、短信驗(yàn)證碼、一鍵確認(rèn)（APP、微信、釘釘）、人臉識(shí)別等多種認(rèn)證方式，多因素認(rèn)證可通過(guò)自研APP進(jìn)行，簡(jiǎn)化認(rèn)證流程，提升認(rèn)證體驗(yàn)；3.終端安全基線核查，不安全的設(shè)備不接入：多維感知終端環(huán)境風(fēng)險(xiǎn)、病毒與系統(tǒng)漏洞等安全基線，避免不安全的設(shè)備接入系統(tǒng)，提升遠(yuǎn)程接入安全性。

遠(yuǎn)程辦公更安全，攻防演練拿高分

芯盾時(shí)代零信任安全接入網(wǎng)關(guān)（ZVG）從企業(yè)的實(shí)際需求出發(fā)，適用于用戶(hù)遠(yuǎn)程辦公、VPN替換、攻防演練三大場(chǎng)景：1.遠(yuǎn)程辦公：能夠滿(mǎn)足政府、教育、醫(yī)療、金融等各行業(yè)用戶(hù)，在辦公、開(kāi)發(fā)測(cè)試、運(yùn)維等場(chǎng)景中的遠(yuǎn)程接入需求，提升遠(yuǎn)程辦公的安全性和便捷性；

2.VPN替換：改VPN“先連接后認(rèn)證”的模式為“先認(rèn)證后連接”，通過(guò)端口隱藏、多因素認(rèn)證、安全基線檢測(cè)，有效提升遠(yuǎn)程接入的安全性；3.攻防演練：通過(guò)SPA單包授權(quán)，幫助企業(yè)“網(wǎng)絡(luò)隱身”，使攻擊者無(wú)法掃描探測(cè)到任何信息，大幅縮小暴露面，曾幫助客戶(hù)在上級(jí)組織的攻防演練中實(shí)現(xiàn)0失分。 芯盾時(shí)代零信任業(yè)務(wù)安全接入網(wǎng)關(guān)（ZVG）還滿(mǎn)足等級(jí)保護(hù)和密碼應(yīng)用安全性測(cè)評(píng)要求，支持國(guó)產(chǎn)化適配，能夠滿(mǎn)足客戶(hù)的合規(guī)需求。

審核編輯 ：李倩