1. 钉钉零信任安全实践分享 关维

2. 目录 远程办公遇到的挑战 1 2 3 钉钉零信任安全解决方案 典型场景

3. 一、远程办公下的安全威胁分析

4. 作为安全运营，你如何解决这些矛盾？ 业务 远程办公的便利性 安全 vs. 安全管控的便利性 上线前 业务：我的业务系统要放到公网！ 安全：内部系统无论如何不能开放！ 业务：那我该怎么让员工在家办公？ 安全：让他们申请VPN！ 业务：安全团队真的￥%…@*&# 上线后 业务：老板反馈VPN经常掉线！ 安全：没办法，解决不了。 老板：看个报表这么麻烦，我不要再用 VPN了！ 安全：好吧，放到公网吧... 真出了问题呢？？？

5. 内部系统很难花大力气去搞安全，大家都觉得没必要 认证弱 • 单因素认证 • 弱口令 • 被爆破 漏洞多 • 人力有限，先修对 外暴露的业务系统 • 供应商找不到了 但 数据敏感 最新X万个人信息出售 100GB新鲜库，支持验货 安全团队

6. 怎么办？ 2010 • Forrester约翰·金德维格正式提出零信任概念 2014 • Google发布BeyondCorp系列文章 2017 • Gartner正式提出“CARTA”零信任模型 2020 • NIST发布《零信任安全架构标准》正式版 零信任体系结构是一种端到端的网络/数据安全方法，包括 身份、凭据、访问管理、操作、端点、托管环境和互联基础 设施。 ——NIST 到2025年，新部署的远程访问能力至少有70%将主要由零信 任网络访问(ZTNA)提供。 ——Gartner 在远程办公场景，零信任最适合落地

7. 二、钉钉零信任安全方案

8. 钉钉零信任安全解决方案参考架构

9. 钉钉零信任安全解决方案 客户端 组织外用户 离职员工 钉钉企业应用网关 组织内部机房应用 钉钉身份平台 内部机房 检查失败 拦截 ❌ WAF 病毒 黑客 安全网关 POP点 DDoS 组织内用户 OA TLS HTTPS 连通器 ✓ 其他应用 检查成功 通过 员工只需安装钉钉即可，无需安装其 他客户端即可实现稳定安全的访问 • • • 七层HTTPS反向代理，短连接不掉线 阿里云高速通道提升访问速度 钉原生能力，即开即用，方便部署 黑客/病 毒 SaaS化服务，无需部署运维 实现身份、组织、时间、设备等多维度安全验证。 实现“零信任”访问 • • • 部署连通器，反向连接到安全网关。 可关闭防火墙入站端口，实现网络隐藏 享受钉钉账号安全保障，离职自动关闭权限 丰富的策略配置，满足不同角色用户的访问控制需求 身份验证、组织权限、时间检查、位置检查、设备状态

10. 钉钉企业应用网关的特点 Version ne 易落地 员工无需安装客户端 高安全 无任何端口暴露 身份识别七层代理 好体验 一键上云高速访问

11. 三、典型用户场景

12. 典型场景： 攻防演练 Version ne 客户场景 解决方案 某国企客户在攻防演练过程中，使用 钉钉收到需求后，帮助客户将业务使用 VPN技术，导致内网被攻破，失分过 频率最高的订单系统接入钉钉企业应用 多，受到上级主管部门的问责。 网关。 客户痛点 产品价值 为确保安全，在后续攻防演练中，IT只能 在攻防演练期间，业务仍然可以通过钉 将VPN下线，不允许通过公网访问系统。 业务部门影响很大，对IT部有有不少负面 声音。 红蓝对抗攻防演练 钉访问订单系统，同时没有被攻击队攻 破。得到了上级主管部门和公司领导的 表彰。

13. 小结 Version ne 业务：我的业务系统要放到公网！ 安全：可以，走零信任网关！ 业务：非常感谢！安全团队，棒棒哒！ 零信任是一个理念，借助产品能够实现一定的零信任架构，但单一产品不是银 弹。仍然需要不断通过评估、检查、改进、持续运营找到更合适自己的解决方 案，希望能有更多的好方案能够涌现。欢迎交流。

14. 让零信任办公安全触手可及 我们都在用钉钉