随着移动办公和多云业务的兴起,企业数字化办公面临新的挑战,如远程办公、办公网动态准入、多云业务接入、终端管理与安全合规、办公网零信任等。飞连在这些场景中都有相应的应用。
随着远程办公需求的增长,"随时随地、多终端办公“成为常态化。员工需要在非办公区接入内部办公网络并访问业务系统。
解决方案
飞连具备虚拟专用网络(VPN)模块和办公安全能力,如身份认证、基线检查和病毒查杀,帮助企业构建安全、稳定、便捷的无边界办公模式,确保对内网数据的安全发布,并实现业务数据的加密传输。
VPN 模块采用多节点底层架构,支持 TCP/UDP 双协议。员工只需一键开启,即可默认连接当前最畅通的网络节点。企业管理员可以根据业务需求为节点配置不同的网络资源,从而实现基于身份的精细化网络资源授权。无总控节点的分布式部署模式使 VPN 突破性能瓶颈,能够实现更快的部署速度,并随着业务的扩展实现无缝扩展,避免了基于办公区硬件的繁琐配置。
针对远程办公场景下的安全需求,飞连帮助企业集中管理入网终端,并提供终端安全检测项目。同时,它还能与 VPN 权限管理、账号登录状态、通知告警等方式联动处理,实现更灵活、更高效的安全处理方式。管理员可以定制企业的动态访问控制策略,确保内网业务资源的安全受控访问,减少暴露面。
此外,由于在远程办公场景下,IT 支持的服务效率会因地理距离的增加而降低,飞连还加强了客户端的 IT 能力,包括网络诊断、DNS 重置、帮助中心、一键反馈、一键 Oncall 等服务项目,以提高企业 IT 故障排除能力。
使用效果
- 管理视角
- 企业可以快速响应远程办公需求,节约硬件成本。
- 企业能够收敛业务后台,保障业务安全。
- 企业拥有高稳定性和可用性,降低 IT 运维成本。
- 员工视角
- 员工可一键连接 VPN,实现随时随地高效办公。
- 员工在弱网环境下仍能保持顺畅的工作体验。
- 员工能通过手机便捷地处理工作。
当前企业办公网络的可见性不足,不但对于内、外部威胁缺乏感知,而且缺乏集中管理,企业管理员需要分别对员工 Wi-Fi、访客 Wi-Fi 进行配置。
解决方案
飞连基于独立的 RADIUS 节点扩展能力,支持有线和无线准入认证,并提供集中的策略配置和管理能力。
针对员工入网,飞连提供了基于 802.1x 认证协议和 Portal 认证协议的认证方案,避免了传统局域网接入场景下的横向威胁扩散风险。此外,它还支持基于动态 VLAN 的权限管控,能够实时调整员工的网络权限,缩小风险暴露面,并提供基于业务安全视角的动态控制能力。
飞连还提供了持续的终端安全检测能力,能够持续洞察终端和成员的行为风险,并在业务访问过程中及时收缩网络权限,从而提高目标业务的数据安全性。同时,基于一体化产品架构,飞连客户端自身融合了病毒检测和敏感数据检测能力,无需额外对接第三方杀毒软件或桌面管理软件,检测更全面,运维更高效。
使用效果
- 管理视角
- 基于员工身份,企业可以细粒度地管控员工入网权限,离职员工可一键回收权限。
- 基于员工行为与设备安全状态,企业能够实现动态准入控制,提升办公网络的安全性,并可将风险溯源到具体人员。
- 企业能够更便捷地进行 IT 管理,获取入网设备和入网人员的连接信息。
- 企业可以提升密码治理效率,并控制密码泄露的影响面。
- 员工视角
- 员工无需管理账号和密码,可一键连接办公网络。
- 员工无需选择 Wi-Fi 名称,避免误连接钓鱼 Wi-Fi。
- 员工可进行网络故障的自助修复。
新公司往往缺乏员工身份权限管理,需要从零开始建设;而对于具有一定规模的企业,员工的身份体系又分散在各个系统中,如即时通讯(IM)、轻量级目录访问协议(LDAP)等,每个业务系统都容易成为信息孤岛。这种分散的身份权限管理导致安全性不足和管理效率低下。
解决方案
围绕无界办公模式下的业务资源访问方式,飞连以身份为中心,帮助企业重新塑造精细化的动态资源授权模型,包括 VPN、Wi-Fi、有线网络等网络资源,以及内网业务系统、公网资源等业务资源,实现统一管理和分级保护。
为了提高业务访问的安全性,飞连在每次访问过程中会执行身份认证和全面的终端安全检测。当访问环境的安全状态不符合要求时,会降低或禁止本次访问,通过动态访问控制来确保业务安全。
与传统安全手段降低员工办公体验不同,飞连以资源连通性为第一优先,将单点登录 SSO 和企业门户作为支点,通过一体化平台最大限度地校准安全评估,并复用实时结果,灵活地在安全和效率之间取得平衡,最终实现安全、便捷、高效的“无密码”办公体验。
使用效果
- 管理视角
- 管理员可以快速接入公司的业务系统,实现高效的业务系统权限管理。
- 管理员能够通过员工身份生命周期管理,对网络与应用资源权限进行全流程管控。
- 管理员可以满足账号的安全管理诉求。
- 员工视角
- 员工可以通过一键单点登录系统,体验“无密码”办公的高效。
- 员工无需记忆多套账号和密码。
- 员工能够快捷地申请应用权限,再也不用担心不知道找谁。
员工及生态伙伴在接入办公网时可能存在过度信任的问题,导致设备安全风险、人员违规操作、未修补的软件漏洞等风险因素无法被识别。为了解决这些问题,零信任原则要求实现以下目标:
- 身份:对行为状态进行持续评估。
- 设备:对风险状态进行持续评估。
- 企业应用:实施最小权限访问控制。
解决方案
零信任的核心思想是持续评估和永不信任。飞连可以在不可信的网络环境中,以逻辑身份为基础,通过动态访问控制技术确保对应用、接口和数据的最小权限访问,帮助企业实现办公网零信任安全建设。
在成员的整个访问过程中,飞连服务不参与数据转发流程,只负责对用户和终端进行身份验证和权限策略判断,并将策略下发给 VPN 网关和 RADIUS 节点执行。除了门户端口,飞连默认不对外开放任何业务端口,通过配置业务隐身功能,成员只有通过访问特定的飞连入口链接后,才能正常访问飞连门户端口,完成身份认证和客户端上线。否则,无法访问飞连平台的任何业务端口,从而有效减少外部攻击风险。
飞连客户端持续采集成员接入终端的环境安全信息,并根据管理员预设的安全基线进行实时匹配校验。根据评估结果,动态调整成员的联网和应用访问权限,结合动态 VLAN 能力实现细粒度的办公网动态访问控制。
飞连以轻量化为主要特点,在尽可能保留企业现有网络架构的情况下,补充了零信任范畴内的多源信任评估、持续检测等核心能力。这种方式有效规避了传统方案中的高性能压力和单点风险,最终以更加简洁、轻量的方式帮助企业构建内外网一体化的零信任安全接入方案。
使用效果
- 管理视角
- 避免业务系统直接对互联网开放。
- 以“及时”和“最小权限”为原则向员工提供访问权限,并持续进行身份评估,遏制恶意行为的横向移动。
- 访问策略主要基于用户、设备和应用程序身份,不受地理位置或 IP 限制。
- 帮助全面了解身份、网络和终端的可信状态,形成全链路评估。
- 自动化处置安全事件,通过编排能力降低管理运维成本。
- 员工视角
- 随时随地保持一致的访问体验,无论身处办公区、住所或公共空间。
随着业务的不断发展,越来越多的企业面临多云、多数据中心业务访问需求。传统的内网访问方案需要员工重新登录客户端才能访问分布在多个节点上的业务资源,这降低了业务效率和员工体验。
解决方案
针对多环境部署需求,飞连提供多种交付形态,如一体化 Server 管理控制台、RADIUS 扩展节点、VPN 扩展节点等,以满足相关组件的高可用性和多地用户接入需求。例如,对于游戏行业全球化的业务接入访问模式和集中管理的运维需求,企业可以在公司总部部署飞连 Server 节点进行集中管理,在各个接入地区部署独立的 VPN 节点实现资源扩展。根据各个业务区域的服务内容,各飞连 VPN 节点也可以提供独立的业务发布能力,始终保障当地员工和合作方的最佳接入体验。
与其他方案相比,飞连具有建设成本低、方案简洁的优势,无需额外采购硬件设备,也无需重构网络架构。
使用效果
- 管理视角
- 满足需求:多种交付形态可满足组件高可用性与多地用户接入需求。
- 灵活部署:可根据业务需求在公司总部部署 Server 节点,在各地部署 VPN 节点。
- 保障体验:各 VPN 节点可提供独立业务发布能力,保障员工与合作方的接入体验。
- 成本低、方案简洁:飞连建设成本低,无需额外采购硬件设备和重构网络架构。
- 员工视角
- 便捷接入:多种交付形态和部署方式可满足员工多地接入需求,提供最佳接入体验。
- 高效利用资源:VPN 节点可实现资源扩展,提高网络资源利用率。
- 简单易用:飞连方案使用简单方便。