首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
零信任访问控制系统aTrust 文档 产品手册 UEM介绍 PC端数据安全 典型适用场景
{{sendMatomoQuery("零信任访问控制系统aTrust","典型适用场景")}}

典型适用场景

更新时间:2024-01-09

政务一机双网隔离场景

场景分析:

一机双网使用效果:a.用户开机,通过本地个人空间访问互联网;b.点开零信任沙箱客户端,完成认证和终端环境监测后,在沙箱内访问电子政务外网。

一机双网安全效果:通过内核驱动隔离技术,结合应用层拦截技术,构造全方位沙箱隔离,关键效果如下:

i.文件隔离:所有工作空间文件系统与本地个人空间文件系统安全隔离;

ii.文件加密:工作空间对文件进行加密存储,保证文件安全;

iii.剪切版隔离:可以控制两个空间间的单向拷贝,如只允许工作空间剪切内容到个人空间;

iv.网络隔离:工作空间网络和本地个人空间的网络相互隔离,不能互访;

v.服务隔离:网络打印机,光驱等双域隔离。

 

一机双网场景拓扑:

 

场景方案价值:

i.满足一机两用建设需求

ii.完整的数据防泄密能力,兼容性高

iii.极简部署,支持分布式部署,超大并发

iv.方案轻量、运维简单,建设成本低

 

配置思路:

1、一机双网场景下用户PC仅能访问互联网以及aTrust设备,aTrust设备可以访问政务网(通过内网的网络设备、安全设备做ACL实现);

2、将政务网资源发布成aTrust应用,可根据不同级别的应用设置多个应用组,并授权给具备相应权限的用户;

3、创建多个工作空间,并将各政务网应用分类关联给对应的工作空间;

4、在工作空间创建发布策略,策略关联好对应用户;

5、发布策略根据实际情况做好安全设置,如开启防截屏、开启水印、禁文件导入导出等。

 

远程办公场景

场景分析:

远程办公导致办公环境变得复杂,数据更容易泄密:

i.终端环境更复杂:从内网的Windows台式机,变成员工个人终端(WindowsMac)、.移动智能终端(iOS、安卓)等。

ii.网络位置更复杂:从封闭的单位内网,变成家庭网络、公共WiFi4/5G、酒店WiFi等。

iii.使用场景更复杂:从纯办公使用,变成办公业务和个人上网娱乐混用一台终端。

 

远程办公场景下,传统安全方案难以应对:

i.VPN方案不具备数据落地后的保护:现在远程办公一般都是用VPN,用户访问系统后可以通过下载、截图等把数据存在本地,这样就很容易在终端上发生泄密了,比如终端中毒了、网络备份、员工有意外发等。

ii.个人终端缺乏统一安全防护手段:个人终端往往无法强制安装公司统一的安全软件,且个人使用习惯各异,一旦终端干扰恶意程序就会影响终端上的企业数据、也可能以个人终端作为跳板入侵企业内网。

iii.传统DLP方案不适用于远程办公场景:远程访问的设备大多数是员工个人终端,传统桌管/DLP方案重,偏管控,用户使用体验差;单纯使用桌管/DLP也不具备远程接入能力,还得额外配合VPN使用(要不就只能暴露到互联网);不支持移动终端。

iv.桌面云方案建设成本高且依赖网络:采用远程桌面跳板机或者VDI方案,虽然数据不落地,但建设成本高,后端得准备大量服务器,而且对网络的依赖性大,网质量不好就没法使用。

 

远程办公场景拓扑:

 

场景方案价值:

i.同时满足远程接入和终端数据防泄密需求

ii.完整的数据防泄密能力,兼容性高、适配全终端

iii.对个人终端无侵犯,适配BYOD,不降低体验

iv.极简部署,支持分布式部署,超大并发

v.方案轻量、运维简单,建设成本低

 

配置思路:

1、远程办公场景下业务全部收缩到内网,用户PC在互联网仅能访问aTrust设备,而aTrust设备可以访问内网业务;

2、将内网业务发布成aTrust应用,可根据不同的使用群体设置多个应用组,并授权给具备相应权限的用户;

3、创建多个工作空间,并将各个应用分类关联给对应的空间空间;

4、在工作空间创建发布策略,策略关联好对应用户;

5、发布策略根据实际情况设置好安全相关策略,如开启防截屏、开启水印、禁文件导入导出等。

 

第三方外包场景

 

场景描述:

 

什么是第三方外包场景?很多客户会存在部分业务外包给第三方来完成,例如运营商的客服业务、银行的催收业务等,外包人员在日常工作中需要访问客户内部业务系统、会接触到内部敏感数据,尤其是服务外包时,外包人员不驻场,外包人员经常离职更好、使用的终端是外包公司或外包人员个人的,安全管理难。

 

 

 

场景分析:

 

第三方外包场景数据安全挑战:

 

i.业务外包场景下外包人员和终端不受控:外包人员不驻场,终端是外包公司或外包人员个人的,无法统一安装桌管/DLP软件;桌面云方案成本高,且对网络依赖性高。

 

ii.传统方案建设和维护成本高:传统桌管/DLP方案必须配合专用终端,要给每一个外部人员专门配置电脑,终端采购和运维成本大,且方案重,偏管控,用户使用体验也不好;采用桌面云方案,虽然运维更简单了,但建设成本更高,后端得准备大量服务器

 

 

 

第三方外包场景拓扑:

 

 

 

 

配置思路:

 

1、第三方外包场景下对应业务应收缩到内网,外包人员的PC在互联网仅能访问aTrust设备,而aTrust设备可以访问内网业务;

 

2、将内网外包人员需要访问的业务发布成aTrust应用,并授权给具备相应外包用户;

 

3、创建外包人员专用的工作空间,并将空间关联所有外包人员需要访问的应用分类,从而确保其必须在工作空间方可访问内网应用;

 

4、在工作空间创建发布策略,策略关联给对应外包人员;

 

5、发布策略根据实际情况做好安全策略设置,如开启防截屏、开启水印、禁文件导入导出等。

 

6、开启程序运行管控,仅允许特定的进程方可访问内网业务,最大程度保证业务安全。