2025年，信創(chuàng)替代“收官戰(zhàn)”的號(hào)角已經(jīng)吹響。

國(guó)資委79號(hào)文明確要求，2027年前，網(wǎng)絡(luò)安全設(shè)備必須“全面替代”。VPN作為央國(guó)企遠(yuǎn)程辦公的標(biāo)配，是通往企業(yè)內(nèi)網(wǎng)的“咽喉要道”，自然首當(dāng)其沖。

其實(shí)，央國(guó)企早已苦VPN久矣：VPN網(wǎng)絡(luò)暴露面大，是紅方的重點(diǎn)攻擊目標(biāo)，攻防演練時(shí)常常要“拉閘保命”；VPN終端管控能力弱，黑客一旦攻陷終端，就能以其為“跳板”進(jìn)入內(nèi)網(wǎng)；VPN權(quán)限管理粗放，一旦被攻破，黑客可以在內(nèi)網(wǎng)自由橫移……

更重要的是，隨著企業(yè) IT 架構(gòu)向混合云、多數(shù)據(jù)中心轉(zhuǎn)型，基于邊界防御理念打造的VPN已經(jīng)難以適配復(fù)雜的遠(yuǎn)程訪(fǎng)問(wèn)場(chǎng)景。

在“全面替換”的硬性要求下，尋找VPN替代方案，既是央國(guó)企信創(chuàng)建設(shè)的必由之路，更是企業(yè)升級(jí)遠(yuǎn)程辦公系統(tǒng)、構(gòu)筑數(shù)字化轉(zhuǎn)型安全基座的必然選擇。

零信任，VPN的最佳“接班人”

與基于邊界防御理念打造、容易“過(guò)度信任”的VPN相比，“持續(xù)驗(yàn)證、永不信任”的零信任架構(gòu)在安全性、可用性上存在天然優(yōu)勢(shì)。

1.優(yōu)勢(shì)一：消除“過(guò)度信任”，遠(yuǎn)程辦公更安全

傳統(tǒng)VPN構(gòu)建信任的邏輯是“一旦接入，皆是內(nèi)網(wǎng)”。因此，VPN普遍存在網(wǎng)絡(luò)資源暴露面大、身份認(rèn)證強(qiáng)度低、訪(fǎng)問(wèn)權(quán)限管理粗放、終端安全管理能力不足、訪(fǎng)問(wèn)控制能力弱、無(wú)法管控員工行為等問(wèn)題。

零信任架構(gòu)則完全不同。它誕生于邊界模糊化的網(wǎng)絡(luò)環(huán)境，默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，以“身份”為核心構(gòu)建動(dòng)態(tài)化、隨身化、微粒化的安全邊界，能夠智能感知網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)等維度的風(fēng)險(xiǎn)信息，對(duì)每一次業(yè)務(wù)訪(fǎng)問(wèn)實(shí)施全程的、動(dòng)態(tài)的、細(xì)粒度的動(dòng)態(tài)訪(fǎng)問(wèn)控制，全方位提升遠(yuǎn)程訪(fǎng)問(wèn)的安全性。

2.優(yōu)勢(shì)二：軟件定義邊界，適配新網(wǎng)絡(luò)架構(gòu)

當(dāng)今企業(yè)的IT架構(gòu)，正經(jīng)歷基礎(chǔ)設(shè)施云化、業(yè)務(wù)互聯(lián)網(wǎng)化和辦公移動(dòng)化的深刻變革。內(nèi)網(wǎng)與外網(wǎng)的“邊界逐漸模糊”，數(shù)據(jù)中心也演變?yōu)椤氨镜?多云”的混合模式。

傳統(tǒng)VPN是為“內(nèi)網(wǎng)-外網(wǎng)”二元對(duì)立的簡(jiǎn)單網(wǎng)絡(luò)而設(shè)計(jì)的，面對(duì)復(fù)雜的混合云環(huán)境，已顯得力不從心。

零信任架構(gòu)采用“軟件定義邊界”設(shè)計(jì)，將控制器與網(wǎng)關(guān)分離，企業(yè)可以按照自身需求，以“1個(gè)控制器+N個(gè)網(wǎng)關(guān)”的方式靈活組網(wǎng)，不但能建立適配混合云架構(gòu)的遠(yuǎn)程接入系統(tǒng)，還能統(tǒng)一全局訪(fǎng)問(wèn)控制策略，大幅降低訪(fǎng)問(wèn)管理復(fù)雜度，滿(mǎn)足信創(chuàng)建設(shè)中IT架構(gòu)升級(jí)的需求。

芯盾時(shí)代SDP：替代VPN，重塑遠(yuǎn)程辦公體系

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，以零信任理念為指引，以軟件定義邊界為架構(gòu)，以自主研發(fā)的核心技術(shù)為支撐，打造了擁有完全自主知識(shí)產(chǎn)權(quán)的零信任安全網(wǎng)關(guān)（SDP），不但能夠幫助央國(guó)企替代VPN，滿(mǎn)足信創(chuàng)合規(guī)要求，更能夠全面升級(jí)遠(yuǎn)程接入系統(tǒng)，讓遠(yuǎn)程辦公更安全，構(gòu)建數(shù)字化轉(zhuǎn)型安全基座。

1.全面合規(guī)：全面滿(mǎn)足信創(chuàng)與行業(yè)監(jiān)管

作為VPN的替代者，“合規(guī)”是底線(xiàn)。芯盾時(shí)代SDP的核心技術(shù)全類(lèi)型身份標(biāo)識(shí)、智能風(fēng)險(xiǎn)度量、切面安全、終端密碼安全等均為自主研發(fā)，擁有完全自主知識(shí)產(chǎn)權(quán)，不僅滿(mǎn)足《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法律法規(guī)對(duì)訪(fǎng)問(wèn)控制和身份認(rèn)證的要求，也滿(mǎn)足金融、教育、能源、醫(yī)療等行業(yè)的規(guī)章和標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)安全防護(hù)、個(gè)人信息保護(hù)的要求。

同時(shí)，芯盾時(shí)代SDP全面適配國(guó)產(chǎn)芯片、數(shù)據(jù)庫(kù)、中間件、云平臺(tái)等信創(chuàng)產(chǎn)業(yè)鏈軟硬件，能為央國(guó)企建立信創(chuàng)化的零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)體系，為信創(chuàng)建設(shè)提供有力支撐。

2.安全升級(jí)：五維度的動(dòng)態(tài)精細(xì)化防護(hù)

在安全層面，芯盾時(shí)代SDP采用“All in One”設(shè)計(jì)，將企業(yè)遠(yuǎn)程辦公所需的核心安全能力融為一體，從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個(gè)維度，為企業(yè)構(gòu)建零信任安全架構(gòu)：

在網(wǎng)絡(luò)層面，芯盾時(shí)代SDP采用SPA單包授權(quán)和流量代理技術(shù)，實(shí)現(xiàn)網(wǎng)關(guān)和業(yè)務(wù)應(yīng)用的雙重“網(wǎng)絡(luò)隱身”，收斂資源暴露面，從源頭攔截惡意掃描；采用國(guó)密算法，在客戶(hù)端與網(wǎng)關(guān)之間建立加密隧道，讓數(shù)據(jù)傳輸更加安全可控；采用“網(wǎng)絡(luò)隔離”技術(shù)，禁止終端設(shè)備訪(fǎng)問(wèn)內(nèi)網(wǎng)服務(wù)時(shí)連接互聯(lián)網(wǎng)，避免設(shè)備成為黑客攻擊的“跳板”。

在設(shè)備層面，芯盾時(shí)代SDP憑借設(shè)備指紋和終端威脅態(tài)勢(shì)感知技術(shù)，確保只有可信、安全、合規(guī)的設(shè)備才能接入系統(tǒng)。

在身份層面，芯盾時(shí)代SDP內(nèi)置輕量化的IAM，能夠幫助企業(yè)一站式實(shí)現(xiàn)多因素認(rèn)證（MFA）、單點(diǎn)登錄、動(dòng)態(tài)認(rèn)證等功能，還能與企業(yè)微信、釘釘?shù)日J(rèn)證源無(wú)縫對(duì)接，打破系統(tǒng)間身份壁壘，讓業(yè)務(wù)訪(fǎng)問(wèn)更順暢、IT運(yùn)維更簡(jiǎn)單。

在權(quán)限層面，芯盾時(shí)代首創(chuàng)“零信任切面安全能力”，無(wú)需改造業(yè)務(wù)系統(tǒng)，即可將權(quán)限管理能力細(xì)化至URL級(jí)別，落實(shí)“最小化授權(quán)”原則，并綜合設(shè)備、IP、時(shí)間、行為、賬號(hào)、位置等維度的風(fēng)險(xiǎn)信息，對(duì)每一次訪(fǎng)問(wèn)實(shí)施動(dòng)態(tài)訪(fǎng)問(wèn)控制，實(shí)現(xiàn)“安全訪(fǎng)問(wèn)全程無(wú)感，不確定訪(fǎng)問(wèn)強(qiáng)化認(rèn)證，不安全訪(fǎng)問(wèn)直接拒絕”。

在數(shù)據(jù)層面，芯盾時(shí)代SDP內(nèi)置終端安全沙箱，實(shí)現(xiàn)“數(shù)據(jù)不落地”，核心數(shù)據(jù)只能在隔離空間內(nèi)查看，禁止復(fù)制、截屏、打印；具備動(dòng)態(tài)脫敏功能，對(duì)業(yè)務(wù)應(yīng)用中的敏感信息進(jìn)行脫敏，保證數(shù)據(jù)“可用不可見(jiàn)”；具備Web水印功能，能夠?yàn)轫?yè)面添加防偽溯源水印，震懾并追溯泄密行為。

3.架構(gòu)先進(jìn)：彈性擴(kuò)容更便捷

芯盾時(shí)代SDP采用軟件定義的方式，將控制器與網(wǎng)關(guān)分離，在安全性、可用性上具備天然優(yōu)勢(shì)。企業(yè)可以按照自身組織架構(gòu)、業(yè)務(wù)需求，以“1個(gè)控制器+N個(gè)網(wǎng)關(guān)”的方式靈活組網(wǎng)。SDP網(wǎng)關(guān)支持本地、云上多種部署模式，企業(yè)能夠用一套系統(tǒng)實(shí)現(xiàn)多數(shù)據(jù)中心、多網(wǎng)絡(luò)域的遠(yuǎn)程接入，在低改造甚至0改造的情況下將應(yīng)用、設(shè)備與SDP對(duì)接，大幅縮減改造周期，降低部署成本，多、快、好、省的建立遠(yuǎn)程辦公系統(tǒng)。

為了滿(mǎn)足不同場(chǎng)景下的安全需求，芯盾時(shí)代SDP支持有客戶(hù)端和免客戶(hù)端兩種訪(fǎng)問(wèn)模式，企業(yè)可根據(jù)實(shí)際場(chǎng)景選擇部署模式。

憑借先進(jìn)的架構(gòu)、全面的性能，芯盾時(shí)代SDP能夠覆蓋分支機(jī)構(gòu)組網(wǎng)、內(nèi)部員工遠(yuǎn)程辦公、運(yùn)維人員遠(yuǎn)程運(yùn)維、外包人員遠(yuǎn)程開(kāi)發(fā)、合作伙伴遠(yuǎn)程訪(fǎng)問(wèn)等幾乎所有遠(yuǎn)程接入場(chǎng)景。

央國(guó)企“全面替代”VPN，絕不是“換個(gè)國(guó)產(chǎn)牌子”這么簡(jiǎn)單。以信創(chuàng)替代為契機(jī)，用零信任替換VPN，不但能滿(mǎn)足79號(hào)文的剛性需求，更是企業(yè)在混合云架構(gòu)普及、安全邊界模糊化時(shí)代下，實(shí)現(xiàn)安全、高效、敏捷發(fā)展的“最優(yōu)解”。