如何平衡安全访问和办公效率？零信任安全×统一身份才是解决之道

在远程办公、混合办公、跨团队协作日益频繁的今天，企业的业务开展需要支持多种访问接入的需求和场景。如何平衡企业数据的安全访问和办公效率将成为挑战。

在业务的多种接入场景上，企业引入零信任（Zero Trust，ZT）产品实现暴露面收缩，为内外网应用建立可信的网络访问环境。零信任产品虽然解决了访问层的安全需求，但底层的身份认证能力没有覆盖，分散的业务系统无法通过零信任产品来提升办公敏捷性。因此，零信任产品和统一身份认证的联合解决方案，才是企业平衡安全访问和办公效率的解决之道。

身份是零信任安全架构的基石

零信任产品准确来说是零信任网络接入产品，是指通过安全的网络通道接入服务器资源，并提供持续的访问控制、安全评估及阻断。零信任安全的防护理念在于持续验证、多源安全评估、动态访问控制等，但就目前零信任产品的功能而言，并未完全做到以“身份”为基石进行展开。尽管国内厂商开发了很多零信任产品，但在实际应用过程中，零信任产品并未发挥真正的力量。

零信任技术由SDP（软件定义边界）、身份增强（IAM 身份和访问管理）、微隔离三大组件组成，其中身份增强部分主要与IAM相关。原因在于零信任安全理念在国外提出时，身份模块建立在微软 AD 运用已十分广泛的基础上，因此 IAM 用于增强 AD 在其他场景下的能力。但国内 IT 建设并无成熟的身份底座，从理论上来说，身份增强组件应包含 LDAP 目录服务才能形成闭环。

宁盾统一身份认证与零信任联合解决方案

宁盾统一身份认证系统以 LDAP 目录服务为核心，集成了LDAP、RADIUS、SSO及 IAM 系统所具备的协议/能力，对接零信任网络接入系统后，既可以作为活动目录（微软AD角色），为零信任提供身份认证源，也可以提供网络层身份鉴别、应用层身份认证和权限管控、多因素身份认证、SSO单点登录等能力，以满足不同企业不同场景不同需求。方案场景如下所示：

收拢分散身份，为ZT提供标准身份认证源

统一身份认证系统主要为企业身份、认证、授权的全场景提供相关的身份认证及权限管理的基础服务。支持对接企业现有的内网和外网系统的用户身份信息，如OA、HR、4A、AD、自研系统等，通过将企业现有的身份源进行梳理和整合，打通身份流程链路，实现对企业员工身份生命周期自动化管理，为零信任网络接入平台提供身份基础设施服务。

宁盾提供 LDAP 身份源，将零信任通过 LDAP 协议与宁盾目录进行对接，实现 LDAP 同步用户和用户 LDAP 认证，同时宁盾支持将零信任的认证转发到其他用户源进行认证，保障企业员工的用户账密使用习惯。

图源：宁盾 