端、管、云一体化原生安全架构告别外挂式防护!

面对数字化转型浪潮，企业网络安全风险日益凸显。数据泄露、黑客勒索等事件频发，合规要求加速推进。尽管企业纷纷部署了防病毒、身份认证、文件加密、入侵防护、流量监控等多种安全系统，但分散且孤立的架构非但没有有效抵御风险，反而加重了管理负担，阻碍了安全协同，使得安全效果大打折扣。

具体表现在不仅存在业务暴露风险（如业务直接暴露互联网或通过企微、VPN等代理发布没有收敛暴露面等）和数据泄密风险（如网络明文传输中间人劫持、明文存储文件转发泄密等），甚至可能因架构和外挂式技术实现影响业务效率和高可用性，进而影响用户体验。

各行各业不断攀升的数据泄密和被勒索事件已说明，以漏洞和资产为防御核心的传统防入侵安全方案已无法有效应对当前网络安全形势。

一、当前企业要如何做好业务安全规划？

从业务安全规划的方向来看，企业首先要做好业务底线风险管控，保障业务安全稳定运行，同时要支撑和助力业务发展，确保投入回报率良好。企业不能追求绝对安全，而应着力解决业务安全的攻防不平衡、安全和效率矛盾这两个核心问题。
针对攻防不平衡问题，企业首先要认清安全对抗的本质是权限控制与权限突破。如何通过容错式权限设计避免业务漏洞被利用，是企业需要考虑的核心问题。企业应从传统的漏洞监测、修复的巨大工作量中解脱出来，通过收敛暴露面的思路，将业务系统的漏洞隐藏在专用安全网关之后。同时，通过构建护城河（如软件安装、白名单管理）等方式，避免被社工钓鱼手段植入含恶意代码的软件，从而防止其“打洞”进入系统。

针对安全和效率矛盾问题，企业应采用原生安全的方式，即采用内建而非外挂的方式。内建通常通过集成方式，使安全能力与业务应用深度融合。其好处主要有以下几点：
首先，内建安全能力即时就绪，无需安装，只需简单配置即可发挥作用。其次，内建的安全性更好，外挂需要部署代理来实现信息收集和管理控制，而这些代理（如VPN网关代理、企业微信代理等）通常因安全能力有限，容易成为被攻击的目标。一旦代理被破坏，安全防护能力也会受损，而内建安全一般与业务充分融合，会采用单包敲门等方式隐藏代理和业务暴露面，使黑客难以利用业务的暴露面和代理存在的漏洞。再次，内建的安全防护能够与业务深度融合，用户体验良好，特别是在弱网环境下，业务不会出现频繁闪断的情况。此外，原生安全采用主动而非被动的方式，基于业务自身的脆弱性提供针对性服务，能够有效抵御已知和未知的安全风险。同时，原生安全采用整合而非孤立的方式，其独立性更强，自成体系。

二、如何建设原生安全防护体系？

通过对大客户需求的深入洞察与安全实践积累，联软科技发现，原生安全涉及企业终端、网络通信、业务应用、企业数据、用户身份、个人隐私等全方位保护。

▲联软科技原生安全体系整体架构

如上图所示，通过联软科技端、管、云一整套落地实践安全架构，可有效解决企业防入侵、防泄密、员工隐私保护等问题，达到提升安全、提升效果、降低成本的建设效果。整体方案包含端、管、云三位一体安全保护，具体如下：
端：客户端，基于多种安全沙箱技术，通过原生安全的方式，在个人终端中隔离出安全工作空间，作为数据在终端层面的安全边界，实现企业数据保护、员工隐私安全保护与个人异常行为管控。同时利用客户端本地可信代理、加密等技术实现终端通讯安全以及授权策略执行点前移，更加先进、全面地保障端侧整体安全；
管：综合网关，集成多种网关能力于一体，包括：应用安全网关、API 安全网关、Web安全网关、入侵检测与防御、身份安全网关。基于单包敲门的零信任网络访问（ZTNA）能力，实现核心业务和网关的隐身，对访问主体的身份和行为进行持续性安全评估和动态授权，并实现安全加密传输、流控与审计；
云：服务端，覆盖应用管理、设备管理、数据管理、身份管理以及安全事件编排等能力，实现策略统一配置、统一下发、统一分析、实时监控和可视化展现。

三、原生安全关键技术要点？

安全工作空间

基于多种沙箱技术并通过原生安全的方式，在用户的终端设备上创建与个人环境完全隔离的安全工作空间，实现企业应用的安全访问和数据加密，有效构筑网络安全的第一道防线。安全工作空间采取了一系列创新的数据安全措施，如落地加密、安全阅读和编辑、混合型水印技术、剪贴板访问控制以及严格的外发限制和安全审计，全面保障企业关键应用和数据的安全性，防止任何形式的数据泄露风险，同时提供微虚拟机技术解决信创终端数据安全隔离的问题。

零信任综合安全网关

▶All in One ：为满足C/S、APP、H5、业务对业务等不同场景暴露面的需要，零信任综合安全网关综合集成各种网关能力，仅需部署一套网关，即可扩展多种网关能力，包括：应用安全网关、API 安全网关、Web 安全网关、入侵攻击检测防护、IAM 身份网关等。
▶应用安全网关：采用双向可信代理架构，通过改进的应用层安全隧道（APN）技术，在网络切换、弱网环境下访问业务应用，可以实现跟互联网应用（如：微信）一样的无等待效果，解决传统传输方案重连耗时长、稳定性差等用户体验性问题。

▶API 安全网关：作为后端服务接口的聚合点，统一管理所有API，提供安全验证、路由转发、流量控制等功能。API 安全网关剥离业务无关的逻辑，让业务团队专注于核心逻辑，提高迭代效率，促进跨部门和系统的业务交互与流程整合，助力企业构建高效、标准化的业务管理体系。
▶Web 安全网关：轻量级 Web 业务安全防护方案，基于 ZTNA 架构实现 Web 应用隐身，确保远程访问、移动办公及数据传输的安全，无需复杂配置和调试即可迅速集成到现有网络架构中。
▶入侵攻击检测防护：为业务提供一站式全面安全防护，检测防护 SQL 注入、XSS、恶意漏洞扫描、密码暴力破解、CC 攻击、DDOS攻击等。提供机器学习、自动对抗规则，有效识别恶意流量，保障业务安全和数据安全。
▶IAM 身份网关：实现员工账号全生命周期身份管理、统一认证与单点登录、多因素认证、动态权限管理、员工账号全生命周期身份管理、全网零信任。

态势感知&风险管控

▶平台安全运营态势：通过态势感知大屏及安全报表中心实现设备、用户、应用等平台运营数据的全局可视，保障安全态势的实时监测及安全建设成果的直观可视化呈现。
▶业务请求交易分析：追踪应用交易调用链，进行多维智能分析，包括性能、问题、影响用户范围等，打破数据孤岛，有效降低平均修复时间、提升运维效率、改善用户体验，助力企业实现基于大数据技术精细智能化运营能力。
▶安全事件编排：提供安全事件策略，可对用户访问的环境、行为等源数据配置安全事件和处理预案并进行编排，做到风险预警、实时处置，实现事前智能风险防范。
▶可视化身份大屏：低代码方式自定义可视化身份大屏，直观展示应用访问态势、用户态势、认证态势、安全态势，针对可能存在风险的用户行为进行持续监控与可视化显示，如：连续多次登录失败、短时间频繁登录、异地登录、非工作时间登录等。

强大的兼容性与可靠性

▶框架适配：系统已与各类业务应用开发框架适配，拥有大量的实践积累经验和技术创新能力。
▶适应各种网络部署：具备两地三中心、多地多中心的高可用部署能力，并在众多大型客户中成功落地，平台具备灵活的横向扩展能力，保障数字化业务系统网络传输可用、高效、稳定。
▶业务连续性保障：集群化高可用部署，并具备强大的应急逃生机制，面对突发的安全事件能及时启动应急预案，第一时间恢复平台的正常运行，更好地保障业务连续性。

四、通过原生安全建设带来哪些业务价值？

提升业务安全能力

降本增效：作为数字化安全中间件、原子化安全能力中台，简化企业的安全开发及业务管理流程，提升应用的安全性、降低安全建设和维护成本降低生产成本，提高企业的整体安全运营效率。
风险可视：企业能够更清晰地识别和管理潜在风险，确保业务运行的稳定性和安全性。
风险可控：内置安全事件编排引擎，管理员可自主编排安全风险处置流程，包括触发条件、执行动作等，发生安全风险后系统能够自动进行安全决策。
用户体验优化：解决传统 VPN 隧道弱网环境不稳定以及容易被黑客利用等问题，增强了员工使用体验和业务原生安全。

显著提升投入产出比（ROI）

节约 IT 运维成本：通过减少对正版软件的依赖、简化设备及应用的管理流程，有效降低IT运维成本。
节约开发与安全成本：通过整合应用开发、推广、维护和更新全流程，同时使得应用系统满足安全测试和等级保护测评，大幅度降低应用开发和安全改造成本。
减少硬件和网络资源成本：通过减少对专用平板设备配发以及对 VPDN 线路的依赖，降低企业在硬件和网络资源上的资金投入。

数字化业务赋能

拓展业务市场：提供强大的原生安全防护能力、合规性支持和安全扩展能力，能够助力企业业务持续对外拓展，迅速响应市场变化，与合作伙伴建立更加紧密的联系，抓住业务增长的新机遇。
提升企业竞争力：深度赋能企业业务，以数据为驱动力，帮助企业洞察市场趋势，实现防入侵、防泄密、保护员工及用户个人隐私，在激烈的市场竞争中保持领先地位。

五、原生安全最佳实践及落地案例？

原生安全方案目前已成功在金融、运营商、制造等行业落地，下面以某银行为例：原生安全方案目前已成功在某银行总行落地，项目规模覆盖 30+国内分行、50+海外分行、10000+营业网点、30万+个人设备、15万+配发设备以及 3万+智慧屏，已累计近200个应用集成数字化安全基座能力，包括移动柜台、智能柜台、移动展业等业务，承载了某银行大量的对内对外业务。数字化安全基座平台保障级别高达A4级，年可用性要求达到 99.9%，仅次于行内金融交易业务。该方案为某银行开发人员提供标准安全开发框架和技术规范，平均每个应用节省 20% 的安全研发成本，节省上千万的安全研发与管理成本。
主要业务场景：