最近更新时间:2024.02.18 15:55:13
首次发布时间:2022.08.08 17:22:43
本文将介绍飞连使用过程中可能涉及的功能概念,帮助您更好地了解产品。
无论虚拟专用网络(VPN)、Wi-Fi、有线网络,或是业务系统、云服务、公网应用,所有接入飞连的资源均以权限组方式授予用户使用。当管理员为全员启用某项资源时,企业成员实际上归属于默认权限组;当改为部分启用某项资源时,则需基于部门、角色、成员定义权限组的生效范围,并设置策略之间的生效优先级,以此实现精细化的访问权限控制。
应用网关的作用是对未经授权的来访请求进行认证和授权转发,对已正确授权的请求进行资源访问转发;对禁止访问的请求进行拦截和阻断,防止其向后访问。
零信任应用网关通常通过七层 HTTP 协议反向代理的技术手段来实现,具体做法是将后端业务域名解析到网关上,以此达到对资源访问的拦截和转发目的。它具有用户操作简单、无需依赖终端 agent 等优点,适用于管理不受控的终端用户的场景,例如学校校园官网访问等。
身份与访问管理,通过身份认证和授权管理来确保对业务资源的安全访问。飞连支持各种应用程序的接入,包括业务系统、云服务和公网资源等,并在登录应用时默认进行身份认证,提高访问的安全性。
在身份源对接方面,飞连既支持自建组织架构,也支持对接飞书和钉钉等数据源。此外,为了满足项目组、一人多部门等灵活管理需求,飞连在部门和员工授权的基础上,增加了角色维度的资源授权方式。通过动态角色定义,实现了更精细、更符合业务场景的访问权限管理。
多因素认证是在完成账号密码验证的第一层认证后,通过添加 OTP、短信、邮件等第二层身份认证来提高访问安全性的方法。这种方式可以有效地帮助企业识别员工设备丢失或账号密码被攻击者获取时的账号盗用或冒用风险。
在飞连中,管理员可以配置由 VPN 连接、应用访问等操作触发,或由终端风险触发的二次认证策略。
为了确认入网者的真实身份,飞连提供了多种认证方式。对于企业成员,采用基于 802.1x 和 Portal 的认证方案,并根据认证结果分配 VPN、Wi-Fi 和有线网络的权限。
网络准入是指通过划分 VLAN 来管理办公终端的网络接入行为,以防止恶意程序等攻击在办公内网中横向传播。通过网络准入控制,企业可以只允许合法、可信的终端设备(如 PC、手机等)接入网络,而阻止其他设备的接入。
基于一体化的终端管理和安全能力,飞连可以帮助企业快速建立移动办公的基础安全标准。例如,当办公终端缺少锁屏密码或存在私搭 Wi-Fi 等行为时,飞连将动态降低其网络连接(VPN、Wi-Fi、有线网络)的权限。在风险消除后,终端的原有权限将自动恢复,从而实现远程或工区的一体化动态网络准入建设。
访问控制是一种通过某种方式来限制或允许主体对客体访问范围的方法,用于防止非法用户入侵或合法用户的不慎操作造成的损失,以确保业务资源的受控和合法使用。
在飞连中,员工是访问主体,网络(VPN、Wi-Fi、有线网络)和应用资源(业务系统、云服务、公网应用等)是访问客体。企业管理员可以根据企业制度自定义风险场景,并结合成员属性、网络环境、设备属性和风险状态等来评估信任等级。然后,根据信任等级和应用安全策略分配最小访问权限,从而实现成员、角色和资源之间的映射,实现基于角色的访问控制(RBAC)。
通过设置 VPN 节点策略,飞连实现对 VPN 资源的精细化管理。每个节点对应不同的内网或公网 IP、控制端口、数据端口和 DNS 服务器。管理员可以自定义节点名称,查看节点的连通性、并发量、吞吐量等指标趋势,以及该节点在线的员工账号。员工客户端支持自动选择节点路径和手动切换节点。
飞连的公有云服务部署在云端,因此 VPN 节点以组件方式部署在企业内部网络中。
远程用户拨号认证服务(RADIUS,Remote Authentication Dial in User Service)服务器提供了 3A 功能,即认证(Authentication)、授权(Authorization)和计费( Accounting)。在传统的网络管理实践中,企业通过路由设备将人员与工区网络权限进行静态对应。而飞连则通过自研的 RADIUS 服务器实现了“人-角色-权限”的动态关联,以便根据身份类型进行精细化的网络权限管理,或根据身份和设备的安全状态更改角色标签,实时降低权限。
通过配置多个 RADIUS 节点,飞连可以更好地满足企业多工区办公的需求。飞连的公有云服务部署在云端,因此 RADIUS 节点以组件方式部署在企业内部网络中。
在数字化办公场景下,企业需要管理的办公终端类型和型号更加多样化,除了公司资产外,还包括员工用于办公的个人设备。因此,全面、准确的终端管理能力可以帮助提高办公网络接入管理的效率,并为员工提供更便捷的 IT 服务支持。
飞连支持与企业资产管理平台打通,实现对公司设备和 BYOD(自带设备)的统一管理。它可以实时采集设备的基本信息、软件列表、登录记录和运行状态,并根据工区、部门和人员对终端进行分组,为实现精细化的终端准入做好准备。
终端基线是指企业办公终端资产和员工 BYOD(自带设备)的安全实践及合规检查的配置红线,包括锁屏密码、杀毒软件安装、是否连接不安全的 Wi-Fi、是否有不合规的应用或进程运行等安全配置检查。
飞连针对日常办公涉及的 Windows、Mac、Android、iOS、Linux 系统提供了多种检测项。企业管理员可以灵活配置定时巡检策略或触发式扫描策略,以实现更全面的终端安全合规保障。
数据和代码是企业的核心资产。数据防泄露是指通过对员工的数据外发操作进行审计,以解决在办公环境下的数据泄露问题,如个人隐私数据泄露、企业财务等核心文档泄露、代码和技术文档泄露等。
与传统解决思路相比,飞连的数据防泄露能力更注重事前的数据发现、事中的外发阻断以及事后的泄露溯源。它提供了多种敏感业务数据识别模板,并包含多个敏感业务数据定义标签,帮助企业轻松找到敏感信息。同时,通过文件存档、截图存证、告警上报等多种方式实现风险审计和溯源。