端、管、云一體化原生安全架構告別外掛式防護!

面對數字化轉型浪潮，企業網絡安全風險日益凸顯。數據泄露、黑客勒索等事件頻發，合規要求加速推進。盡管企業紛紛部署了防病毒、身份認證、文件加密、入侵防護、流量監控等多種安全系統，但分散且孤立的架構非但沒有有效抵御風險，反而加重了管理負擔，阻礙了安全協同，使得安全效果大打折扣。

具體表現在不僅存在業務暴露風險（如業務直接暴露互聯網或通過企微、VPN等代理發布沒有收斂暴露面等）和數據泄密風險（如網絡明文傳輸中間人劫持、明文存儲文件轉發泄密等），甚至可能因架構和外掛式技術實現影響業務效率和高可用性，進而影響用戶體驗。

各行各業不斷攀升的數據泄密和被勒索事件已說明，以漏洞和資產為防御核心的傳統防入侵安全方案已無法有效應對當前網絡安全形勢。

一、當前企業要如何做好業務安全規劃？

從業務安全規劃的方向來看，企業首先要做好業務底線風險管控，保障業務安全穩定運行，同時要支撐和助力業務發展，確保投入回報率良好。企業不能追求絕對安全，而應著力解決業務安全的攻防不平衡、安全和效率矛盾這兩個核心問題。
針對攻防不平衡問題，企業首先要認清安全對抗的本質是權限控制與權限突破。如何通過容錯式權限設計避免業務漏洞被利用，是企業需要考慮的核心問題。企業應從傳統的漏洞監測、修復的巨大工作量中解脫出來，通過收斂暴露面的思路，將業務系統的漏洞隱藏在專用安全網關之后。同時，通過構建護城河（如軟件安裝、白名單管理）等方式，避免被社工釣魚手段植入含惡意代碼的軟件，從而防止其“打洞”進入系統。

針對安全和效率矛盾問題，企業應采用原生安全的方式，即采用內建而非外掛的方式。內建通常通過集成方式，使安全能力與業務應用深度融合。其好處主要有以下幾點：
首先，內建安全能力即時就緒，無需安裝，只需簡單配置即可發揮作用。其次，內建的安全性更好，外掛需要部署代理來實現信息收集和管理控制，而這些代理（如VPN網關代理、企業微信代理等）通常因安全能力有限，容易成為被攻擊的目標。一旦代理被破壞，安全防護能力也會受損，而內建安全一般與業務充分融合，會采用單包敲門等方式隱藏代理和業務暴露面，使黑客難以利用業務的暴露面和代理存在的漏洞。再次，內建的安全防護能夠與業務深度融合，用戶體驗良好，特別是在弱網環境下，業務不會出現頻繁閃斷的情況。此外，原生安全采用主動而非被動的方式，基于業務自身的脆弱性提供針對性服務，能夠有效抵御已知和未知的安全風險。同時，原生安全采用整合而非孤立的方式，其獨立性更強，自成體系。

二、如何建設原生安全防護體系？

通過對大客戶需求的深入洞察與安全實踐積累，聯軟科技發現，原生安全涉及企業終端、網絡通信、業務應用、企業數據、用戶身份、個人隱私等全方位保護。

▲聯軟科技原生安全體系整體架構

如上圖所示，通過聯軟科技端、管、云一整套落地實踐安全架構，可有效解決企業防入侵、防泄密、員工隱私保護等問題，達到提升安全、提升效果、降低成本的建設效果。整體方案包含端、管、云三位一體安全保護，具體如下：
端：客戶端，基于多種安全沙箱技術，通過原生安全的方式，在個人終端中隔離出安全工作空間，作為數據在終端層面的安全邊界，實現企業數據保護、員工隱私安全保護與個人異常行為管控。同時利用客戶端本地可信代理、加密等技術實現終端通訊安全以及授權策略執行點前移，更加先進、全面地保障端側整體安全；
管：綜合網關，集成多種網關能力于一體，包括：應用安全網關、API 安全網關、Web安全網關、入侵檢測與防御、身份安全網關。基于單包敲門的零信任網絡訪問（ZTNA）能力，實現核心業務和網關的隱身，對訪問主體的身份和行為進行持續性安全評估和動態授權，并實現安全加密傳輸、流控與審計；
云：服務端，覆蓋應用管理、設備管理、數據管理、身份管理以及安全事件編排等能力，實現策略統一配置、統一下發、統一分析、實時監控和可視化展現。

三、原生安全關鍵技術要點？

安全工作空間

基于多種沙箱技術并通過原生安全的方式，在用戶的終端設備上創建與個人環境完全隔離的安全工作空間，實現企業應用的安全訪問和數據加密，有效構筑網絡安全的第一道防線。安全工作空間采取了一系列創新的數據安全措施，如落地加密、安全閱讀和編輯、混合型水印技術、剪貼板訪問控制以及嚴格的外發限制和安全審計，全面保障企業關鍵應用和數據的安全性，防止任何形式的數據泄露風險，同時提供微虛擬機技術解決信創終端數據安全隔離的問題。

零信任綜合安全網關

?All in One ：為滿足C/S、APP、H5、業務對業務等不同場景暴露面的需要，零信任綜合安全網關綜合集成各種網關能力，僅需部署一套網關，即可擴展多種網關能力，包括：應用安全網關、API 安全網關、Web 安全網關、入侵攻擊檢測防護、IAM 身份網關等。
?應用安全網關：采用雙向可信代理架構，通過改進的應用層安全隧道（APN）技術，在網絡切換、弱網環境下訪問業務應用，可以實現跟互聯網應用（如：微信）一樣的無等待效果，解決傳統傳輸方案重連耗時長、穩定性差等用戶體驗性問題。

?API 安全網關：作為后端服務接口的聚合點，統一管理所有API，提供安全驗證、路由轉發、流量控制等功能。API 安全網關剝離業務無關的邏輯，讓業務團隊專注于核心邏輯，提高迭代效率，促進跨部門和系統的業務交互與流程整合，助力企業構建高效、標準化的業務管理體系。
?Web 安全網關：輕量級 Web 業務安全防護方案，基于 ZTNA 架構實現 Web 應用隱身，確保遠程訪問、移動辦公及數據傳輸的安全，無需復雜配置和調試即可迅速集成到現有網絡架構中。
?入侵攻擊檢測防護：為業務提供一站式全面安全防護，檢測防護 SQL 注入、XSS、惡意漏洞掃描、密碼暴力破解、CC 攻擊、DDOS攻擊等。提供機器學習、自動對抗規則，有效識別惡意流量，保障業務安全和數據安全。
?IAM 身份網關：實現員工賬號全生命周期身份管理、統一認證與單點登錄、多因素認證、動態權限管理、員工賬號全生命周期身份管理、全網零信任。

態勢感知&風險管控

?平臺安全運營態勢：通過態勢感知大屏及安全報表中心實現設備、用戶、應用等平臺運營數據的全局可視，保障安全態勢的實時監測及安全建設成果的直觀可視化呈現。
?業務請求交易分析：追蹤應用交易調用鏈，進行多維智能分析，包括性能、問題、影響用戶范圍等，打破數據孤島，有效降低平均修復時間、提升運維效率、改善用戶體驗，助力企業實現基于大數據技術精細智能化運營能力。
?安全事件編排：提供安全事件策略，可對用戶訪問的環境、行為等源數據配置安全事件和處理預案并進行編排，做到風險預警、實時處置，實現事前智能風險防范。
?可視化身份大屏：低代碼方式自定義可視化身份大屏，直觀展示應用訪問態勢、用戶態勢、認證態勢、安全態勢，針對可能存在風險的用戶行為進行持續監控與可視化顯示，如：連續多次登錄失敗、短時間頻繁登錄、異地登錄、非工作時間登錄等。

強大的兼容性與可靠性

?框架適配：系統已與各類業務應用開發框架適配，擁有大量的實踐積累經驗和技術創新能力。
?適應各種網絡部署：具備兩地三中心、多地多中心的高可用部署能力，并在眾多大型客戶中成功落地，平臺具備靈活的橫向擴展能力，保障數字化業務系統網絡傳輸可用、高效、穩定。
?業務連續性保障：集群化高可用部署，并具備強大的應急逃生機制，面對突發的安全事件能及時啟動應急預案，第一時間恢復平臺的正常運行，更好地保障業務連續性。

四、通過原生安全建設帶來哪些業務價值？
?

提升業務安全能力

降本增效：作為數字化安全中間件、原子化安全能力中臺，簡化企業的安全開發及業務管理流程，提升應用的安全性、降低安全建設和維護成本降低生產成本，提高企業的整體安全運營效率。
風險可視：企業能夠更清晰地識別和管理潛在風險，確保業務運行的穩定性和安全性。
風險可控：內置安全事件編排引擎，管理員可自主編排安全風險處置流程，包括觸發條件、執行動作等，發生安全風險后系統能夠自動進行安全決策。
用戶體驗優化：解決傳統 VPN 隧道弱網環境不穩定以及容易被黑客利用等問題，增強了員工使用體驗和業務原生安全。

顯著提升投入產出比（ROI）

節約 IT 運維成本：通過減少對正版軟件的依賴、簡化設備及應用的管理流程，有效降低IT運維成本。
節約開發與安全成本：通過整合應用開發、推廣、維護和更新全流程，同時使得應用系統滿足安全測試和等級保護測評，大幅度降低應用開發和安全改造成本。
減少硬件和網絡資源成本：通過減少對專用平板設備配發以及對 VPDN 線路的依賴，降低企業在硬件和網絡資源上的資金投入。

數字化業務賦能

拓展業務市場：提供強大的原生安全防護能力、合規性支持和安全擴展能力，能夠助力企業業務持續對外拓展，迅速響應市場變化，與合作伙伴建立更加緊密的聯系，抓住業務增長的新機遇。
提升企業競爭力：深度賦能企業業務，以數據為驅動力，幫助企業洞察市場趨勢，實現防入侵、防泄密、保護員工及用戶個人隱私，在激烈的市場競爭中保持領先地位。

五、原生安全最佳實踐及落地案例？

原生安全方案目前已成功在金融、運營商、制造等行業落地，下面以某銀行為例：原生安全方案目前已成功在某銀行總行落地，項目規模覆蓋 30+國內分行、50+海外分行、10000+營業網點、30萬+個人設備、15萬+配發設備以及 3萬+智慧屏，已累計近200個應用集成數字化安全基座能力，包括移動柜臺、智能柜臺、移動展業等業務，承載了某銀行大量的對內對外業務。數字化安全基座平臺保障級別高達A4級，年可用性要求達到 99.9%，僅次于行內金融交易業務。該方案為某銀行開發人員提供標準安全開發框架和技術規范，平均每個應用節省 20% 的安全研發成本，節省上千萬的安全研發與管理成本。
主要業務場景：