一、背景

1.1 移动办公成常态

　　在后疫情时代，移动办公的需求日益显著，AIG、AVIVA、Berkshire Hathaway、微软、谷歌、亚马逊等一系列国际集团公司，纷纷推出了符合自身需求的移动办公体系，来对应疫情所带来的业务影响，尤其当出现城市级抗疫战役出现时，可以快速实现全员在家办公，以维持企业的业务发展。同时如何应对移动办公所带来的安全隐患，成了每一个企业安全负责人新的挑战。部分企业通过云桌面的形式，为企业员工提供较安全的办公环境，但在接入云桌面的终端侧因传统安全体系的局限，仍存在如社工、VPN漏洞、终端失陷等入侵的风险。

1.2 企业边界逐步消失

　　数字化转型的时代浪潮推动着信息技术的快速演进，云计算、大数据、物联网、 移动互联等新兴技术为各行各业带来了新的生产力，但同时让开放协同、移动办公成为常态，导致企业的人、外部人员、合作伙伴、业务、数据“走”出了企业的边界，企业旧的安全边界正在逐渐瓦解。

　　随着企业边界的消失，传统的基于边界的网络安全架构和解决方案将难以适应现代企业网络基础设施，同时传统以硬件为载体的网络安全设备，如防火墙、杀毒软件、入侵检测等产品，因企业的网络基础设施的云化、动态和弹性的变化，将逐渐被淘汰。

1.3 数据安全方兴未艾

　　随着国家陆续发布了《中华人民共和国数据安全法》、《个人信息保护法》，对企业如何使用数据，保护数据奠定了基调，厘清责任。在移动办公场景下，导致敏感数据很容易有意或无意的外发，导致数据和文件的泄露。对企业而言，面对监管的持续加强，如何在现有基础上加强对数据的保护，对数据流转的管控，对敏感数据的识别，和对使用者的审计将成为新时代安全体系建设重点。

1.4 SaaS安全服务逐步成为企业的主要选择

　　近年来，上“云”已成为众多企业数字化转型过程中的发展趋势与重要一环。随着2020年9月公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安[2020]1960号文）中明确“网络运营者可将网络迁移上云，或将网络安全服务外包，充分利用云服务商和网络安全服务商提升网络安全保护能力和水平”，为上“云”和网络安全服务外包的安全性考虑奠定制度基础。

　　同时企业上“云”，进行数字化转型需要更加弹性、动态的安全保障，此时具备低成本，部署迅速、按需采购等优势的SaaS安全服务，已成为企业数字化转型的安全保障引擎。

　　在海外，企业上“云”，并选择SaaS安全产品构建企业安全防线，已成为企业默认选项。

　　在国内，SaaS安全服务正处于快速爆发阶段，已被电商、教育、金融等高准入门槛的行业接受，成为数字化企业的主要选择。

二、云枢

　　云枢是一款SaaS云安全服务，提供终端安全、零信任、上网行为管控、API安全、用户行为分析和数据安全等安全服务，为企业提供办公安全的一站式解决方案。

　　一朵安全云、一个终端，一体化安全防护，形成“1+1+1”的云原生安全体系，是为下一代企业安全而设计的一体化、弹性、安全的新架构。

2.1 重新定义企业安全边界

　　云枢以人为中心，重新定义企业安全边界。

- 永不信任，持续验证，确保只有企业内部授权的员工才能访问企业网络；
- 无论何时、何地，通过云枢即可安全连接企业网络；

2.2 架构

　　基于阿里云、腾讯云、AWS、GCP构建全球多云多活的云枢平台，为企业带来如下优势

- 以零信任为理念，以身份为中心的安全运营体系，为企业提供细粒度的访问控制和持续安全检测的高等级安全认证服务，建立企业安全新边界；
- 将企业被迫暴露在互联网上的内网应用进行隐身收敛，实现对互联网攻击的免疫；
- 一体化的安全服务，开箱即用，解决数字化企业办公遇到的安全威胁；
- 轻松实现多分支、移动办公场景的统一安全管控；
- 支持全球应用加速服务，为企业搭建高效、安全的极致办公体验；
- 全球部署POP点，为企业搭建天然的业务容灾体系；

2.3 优势

维度	传统安全产品	云枢产品
理念	基于边界构建纵深防护体系	以人为中心的零信任安全体系
架构	传统物理架构	云原生
安全	1、安全能力碎片化，单一能力无法安全闭环 2、安全数据孤岛，单一数据难以溯源 3、受限于硬件本身的算力，安全效果差	1、安全融合，实现威胁处置闭环 2、安全数据天然融合， 3、无限云算力，深度挖掘安全威胁
效率	1、终端用户安装多个安全工具，造成资源占用，影响办公体验 2、管理员需运维多个产品控制台，消耗大量精力，却难以保障防护效果	1、终端用户只需安装一个客户端，简单、极致的体验 2、一个平台统一管理与运营，提高安全运营生产力
成本	1、一次性投入，多点硬件部署安装，需升级维护、扩容时繁琐耗时 2、需配备专业技术人员和购买安全服务后，才能有效使用	1、按需采购，无需运维、无需升级、一键扩容 2、无需配备专业技术人员，7X24小时提供安全保障

三、应用场景

3.1 企业安全建设与运营

　　企业安全建设是一个持续迭代的过程，传统基于物理边界的安全建设思考，往往采购一家或多家厂商的多个安全产品，如EDR、AV、FW、UBA、AC、DLP、IPS等，但随着云服务、便携设备、移动办公的普及，企业内外网的边界逐渐模糊，传统基于物理边界的安全模式开始逐步面临以下挑战：

- 无法应对移动化场景；
- 碎片化的安全能力形成新的数据孤岛，使得事件调查取证难，成本大，效率低；
- 单一安全能力无法闭环处置；
- 缺乏全局统一安全视角；

解决之道

　　云枢一体化平台，打破企业需要部署10多个安全产品且安全产品间孤立的现状，从身份认证、终端管控、网络连接到数据安全防护，为不同安全成熟度的企业提供一站式的安全防护服务，简化企业安全运营难度和成本，同时提高安全效果。

价值

　　基于企业安全建设的最佳实践，为不同安全阶段的企业提供最合适的安全解决方案，快速、高效的提升企业安全保障能力。

• Phase1：实现可信人员、可信设备的安全边界和准入；
• Phase2：实现企业资源的安全连接和访问；
• Phase3：解决终端和互联网访问存在的安全威胁；
• Phase4：解决企业敏感数据的自动化识别、分类和保护。

3.2 安全远程办公（多分支/外包/合作商）

　　越来越多的规模企业，业务迅速发展，会有非常多的分支机构、外包合同单位、供应商、合作商等访问企业内网应用的场景，在这些场景中，因为传统安全解决方案的高昂成本、架构缺陷等原因，企业常常只能无奈接受安全风险，而无法进行高效的管控。

　　企业常见的场景如下：

- 分支机构访问总部应用风险

　　　　企业分公司或驻点办分布在全国乃至全球各地，他们的员工都有访问企业应用的需求，如内部OA、知识系统等，但因没有好的解决方案，企业需将内网应用被迫暴露在互联网上，常常出现数据泄露的安全事件；

- BYOD设备临时接入体验差

　　　　企业员工以及合作伙伴等第三方人员临时接入访问内网，这些设备往往不希望安装管控客户端，不安装又无法进行安全检查，常常被员工吐槽。

- 外包人员权限管控难

　　　　外包、第三方人员访问GitHub、jira、禅道进行运维以及开发场景，需要为合作伙伴、供应商和承包商提供对应内网应用的访问权限，这些权限常常是风险的源头。

- 外出员工办公体验差

　　　　企业内部员工出差、居家等远程轻度办公场景，需安装各种认证客户端或VPN终端，体验差，风险高，且访问行为无法追溯。

- 远程运维风险

　　　　运维人员通过VPN远程访问运维管理平台、服务器远程维护等，但可能因VPN存在安全漏洞或某员工终端存在安全弱点，便成为黑客的攻击突破点，造成横向或向上移动至集团总部的数据中心，严重可导致企业内网数据被窃取或破坏。

- 企业数据交换风险（B2B）

　　　　合作伙伴通过VPN访问DMZ区以及内网应用，但因无法对接入方的人员、设备和行为进行全链路的管控，常常出现企业数据的泄露。

- 堡垒机公网暴露风险

　　　　外包人员登入堡垒机安全运维场景，堡垒机将原本暴露在公网的端口收敛至内网，从而减小暴露面。

解决之道

　　云枢提供了客户端和企业门户两个接入方案，一站式解决企业多方人员的安全准入、管控和资源访问。

客户端

　　通过轻量级的客户端，一键接入企业内网，享受高速、稳定、安全的极致办公体验。

企业门户

　　通过专属的企业门户，轻松实现全体员工、合作伙伴、外包团队的入网认证和精细化应用访问控制，满足安全和IT团队的管理需求。

　　合作伙伴、外包人员通过身份认证后，登录企业门户，访问对应授权的应用进行数据交换，在该过程中该人员的所有行为将被全流程审计，且传输过程中所有数据都将通过云枢加密的可信链路进行传输，确保数据交换过程中数据完整性与可追溯性。

价值

• 暴露面收敛

　　应用隐身，实现互联网暴露面收敛。

• 极简易用

　　通过客户端或企业门户即可轻松访问企业内网应用。

• 全生命周期权限管控

　　以“身份”为核心，将权限的授予和回收与身份生命周期自动关联，杜绝权限滥用以及回收不及时现象。

• 企业间数据安全交换

　　基于精细化访问控制策略，给予授权客户相应应用访问权限，保障企业间数据交换安全

• 全链路流量加密

　　企业门户将内网HTTP 应用自动转换成HTTPS，实现全链路加密访问，保证流量数据安全

• 应用安全屏障

　　通过云枢平台，为内网应用支起“天然”的应用安全屏障

3.3 终端安全一站式解决方案

　　企业传统的终端安全建设过程中，往往面临五大挑战：

- 移动资产难管理

　　　　因终端的种类与数量巨大、及用户使用终端的地点多变等因素，移动办公环境下的终端无法实现统一管理；

- 缺少安全准入控制

　　　　企业内部网络包含着多种多样的网络设备和网络终端，内部服务器和PC搭载着许多重要的应用平台和数据，外来访客可能安全意识薄弱，通过带毒终端接入企业网络，可能造成病毒感染及扩散，严重威胁企业内部安全；

- 无法防御高级新型威胁

　　　　传统终端安全防护手段只能对已知威胁进行静态防御，针对病毒变种的情景不能快速且有效的检测，无法实现对企业终端的安全保护，当用户终端存在病毒或已经失陷时，可能横向或向上移动至集团总部的数据中心，严重可导致企业内网数据被窃取、加密破坏；

- 缺乏统一处置能力

　　　　当终端出现漏洞风险或威胁事件时，企业管理员无法快速定位问题及影响范围，也无法快速的响应解决，可能近一步扩大安全风险及损失；

- 缺乏互联网安全防护能力

　　　　 ①员工在工作时间访问与工作无关的娱乐型网站，导致工作效率低下，企业带宽资源被占用浪费。②又或者员工无意识的访问恶意网站、接收恶意邮件/文件等，导致木马病毒植入，攻击者可能通过失陷终端作为跳板进入企业内部，导致企业安全受到威胁，严重可造成数据被窃取、加密、破坏等。

解决之道

　　云枢XDR（Extended Detection and Response）是将防病毒（EPP）、检测响应（EDR）、威胁情报（TI）、DNS安全等能力融合一体的安全运营体系，一站式解决企业办公终端中面临的安全威胁。

• 全网终端资产的全面盘点

　　支持Windows、Mac、Linux、Android、iOS等主流设备的统一管理，获取设备硬件信息、软件列表及登录用户等信息，并进行安全可视化。

• 全方位的可信准入能力

　　构建可信用户、可信且合规终端的安全准入体系，杜绝非法用户/终端、或不安全终端接入。

• 一体化终端的威胁防护

　　事前基于EDR能力对全网终端漏洞定期扫描，自动修复及上报，实现终端漏洞安全的统一管控及自动闭环；

　　事中联动NDR能力实现上网行为管控和云端威胁情报、病毒引擎实时监测安全响应，快速识别威胁风险并告警，实现自动化安全闭环；

　　事后对事件进行日志记录，实现安全事件溯源分析。

价值

• 简单

　　 一个客户端满足企业安全防护的需求。

• 自动化安全运营

　　自动化修复终端弱点提升安全防线；

　　自动化联动终端与威胁情报，实现安全威胁的拦截。

• 安全闭环

　　通过云+端的模式，融合防病毒、漏洞修复、威胁检测、威胁情报、上网行为管控等安全能力，实现安全威胁的一站式处置。

3.4 敏感数据安全防护

　　数据安全是企业安全运营的生命线，随着企业数字化转型的深入，企业数据资产量级与日激增，面临着严峻的数据泄露风险，禁止外部攻击和内部泄露成为当前企业数据安全防护的重点。

　　内部威胁：员工可能有意无意的通过电脑/手机/U盘/打印机，或通过网盘/社交媒体/邮件等各种外发途径泄露企业机密文件，一旦发生泄密，会给企业造成无法估量的损失。

　　外部威胁：外部恶意攻击者通常采用邮件钓鱼、社工、恶意软件等手段窃取企业员工的凭证，并冒充合法访问权限的用户，通过横向移动、提权等恶意操作窃取企业核心机密数据。

　　且传统的数据安全检测工具往往基于设立基线来进行检测，无法进行机器学习和深度关联分析，缺少多角度全景呈现，很难发现发现恶意人员与实体，也存在误报率高的特点。

解决之道

　　XDLP（X-Data Loss Prevention），是将终端数据防泄漏（EDLP），网关数据防泄漏（NDLP）和用户行为分析（UEBA）安全能力，通过云原生的架构，进行安全融合，从而从源头解决传统单点数据防泄漏产品中遇到的难运维、高误报、漏报和终端用户体验差的难题。

　　通过XDLP，建立用户和数据的全生命周期管控体系，具备敏感数据识别、分类分级，全通道管控，用户异常行为分析和处置能力，有效保护企业数据安全。

　　事前分析：结合AI和深度学习对用户维度进行行为建模，并根据用户行为动态评估用户数据泄露的风险值，及时发现内部员工的违规行为，或失陷用户的恶意行为。

　　事中响应：实时监测偏离用户基线的异常行为，如针对内部员工的泄密行为可以采取通道封堵，常用通道包括拷贝资料到U盘带走，通过QQ、电子邮件外发文件等，及时发现员工泄露商业机密的行为，进行全链路取证。

　　事后审计：数据泄露后支持对源文件、文件内容、水印等信息进行录屏取证及全过程溯源。

价值

• 全链路审计与取证

　　全链路用户行为审计，预警和取证。

• 全通道管控

　　通过EDLP和NDLP的联动，实现员工数据外发通道和行为的全面管控。

• 可运营低误报

　　基于UEBA的上下文信息，可有效解决传统数据防泄漏高误报的缺陷，并通过大量内置的最佳实践经验，实现数据防护的运营体系。

• 员工体验无感

　　通过结合云的算力，使得云枢客户端已成为业界最小的客户端，将对员工的打扰和终端性能消耗降至最低，保障员工良好的办公体验。

3.5 全球应用加速

　　随着全球经济协作的不断深入，融合，企业跨国业务和云应用日渐普及，跨区域访问业务，往往会因为区域之间的网络状况不同而导致延时和丢包率增加，影响跨域访问业务的用户体验。同类型业务场景如：跨国网站、跨境电商、全球运营类 App、全球化直播、视频，全球金融等，基于SD-WAN或VPN的传统方案，都面临如下挑战：

• 跨地域网络质量差

　　跨地域网络体验较差，会妨碍有效的协作，拖慢互联网应用的访问速度。

• 缺乏网络安全保护

　　企业在设法确保全球访问应用的同时，还需持续保证各应用端点的安全。

• 缺乏弹性能力

　　传统网络采购模式无法面对互联网时代业务的模型架构。

• 运维管理困难

　　传统网络基础设施的部署、管理和扩展能力难以应对互联网时代服务的快速迭代需求。

解决之道

　　基于云原生架构，云枢构建了全球一张网，并与运营商合作，合法合规的建立跨国网络连接能力，轻松助力企业应用的全球加速，具备更低成本、更好体验、更好保障和更高效率的特性。

　　云枢的全球应用加速能力依赖全球化布局的多个边缘pop节点、高速通道、转发集群与智能路由技术。用户访问目标业务时就近接入PoP节点，通过最短访问路径来保证最优链路的通信加速，以此保证用户良好的访问体验。

价值

　　为企业提供更低成本、更好体验、更高保障的全球应用加速服务，实现降本增效的目标。

3.6 等保合规性分析

　　《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

　　（一）、制定内部安全管理制度和操作规程，严格身份认证和授权管理；

　　（二）、采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；

　　（三）、采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；

　　（四）采取数据分类，重要数据备份和加密认证等措施。

第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

解决之道

　　基于以上安全法规，各行业业务系统都需要进行等级保护测评，而云枢产品能够更好的帮助企业满足等保合规需求。产品可以在以下几个方面支撑等级保护要求，帮助企业拿到更多的等保测评分数。

• 身份鉴别

　　云枢客户端支持多因子验证，如人脸识别、指纹、声纹、短信等。

　　云枢客户端具备设备信息的绑定功能，只有在满足合规要求的可信设备才能登录，连接企业网络。

• 访问控制

　　云枢支持用户访问权限配置，只允许合法用户访问特定应用，从而以黑白名单的形势，避免用户拥有不必要的操作权限。

　　云枢支持企业应用的隐身功能，非法用户无法连接，无从发起网络攻击。

　　云枢可以针对用户做到基于应用的细粒度访问控制，防止合法用户泄露数据。

• 安全审计

　　云枢客户端可以监控、报告和管控用户行为以及访问轨迹，以防发生违法操作行为，并支持行为全链路的审计溯源。

　　云枢客户端具有锁屏保护功能，用户有事离开，即使忘记也会自动锁屏，防止他人窃取机密数据。

• 通讯保密性、完整性

　　云枢客户端支持密码算法SSL链接，保证数据传输过程中安全性和完整性。

• 数据保密性

　　产品不搜集用户隐私，不推精准广告。

• 防范计算机病毒

　　支持主流病毒的主动检测和查杀能力，防止病毒破坏企业核心数据。

• 上网行为管控

　　支持对员工的上网行为进行安全合规的管控，防止员工访问不良网站导致终端被黑客控制植入恶意样本。

价值

　　为企业提供更全面、简单、安全的一体化合规解决方案，助力企业更低成本、更高效的满足合规监管要求。

四、核心功能

4.1 功能架构图

4.2 功能模块

模块	简介	功能列表	功能说明
IT提效	全域终端统一管理，解决基础运维工作，实现办公终端安全合规。	终端统一管理	对员工终端进行管理，支持Mac、Windows、Android、IOS等终端设备管理，包括资产盘点、在线情况、挂失等能力
		软件分发、一键安装	通过终端管控实现特定软件分发、安装等功能
		软件市场	支持企业自己上传相关白名单软件，规避下载源风险
		合规检测	通过策略配置可对Mac、Windows终端进行磁盘加密、屏保、违规软件、必装软件等内容进行合规检测
零信任	更安全、高效、可靠的解决企业内网应用连接的难题	身份认证	同步当前组织身份源，连接之前进行身份认证，所有设备、应用访问与身份源关联，支持多种身份源接入
		应用管理	对内部的应用进行盘点、发现，并配置对应访问策略，支持URL应用的权限配置与控制，包括优先级、生效时间等
		日志审计	对当前用户身份、设备、应用、时间、访问日志、策略等进行记录与管理，方便对各类访问数据进行审计
安全防护XDR	提供一站式安全防护能力，并满足合规监管需求	上网行为管控	对上网行为进行管理，可支持网站分类、自定义网址访问记录与控制
		威胁情报	对域名进行情报管理与分析，有效管理企业员工访问相关域名，规避风险
		杀毒软件	支持企业对终端进行杀毒管理，解决多端的病毒查杀问题
		漏洞修复	对当前终端的漏洞进行分析并支持修复功能
		EDR	通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式，主动发现来自外部或内部的安全威胁
数据安全XDLP	从人、数据、通道，三位一体一站式解决企业办公、数据安全需求	敏感数据识别	对企业敏感数据进行自动化识别、分类分级
		用户分析	基于用户行为进行分析，识别异常通道管理对各类外传通道进行管理与控制
		通道管理	对各类外传通道进行管理与控制
全球应用加速	全球一张网，一站式实现全球应用加速，为企业提供简单、高效的办公体验	全球应用加速	支持全球SaaS办公应用的加速访问。