一、零信任aTrust移动办公场景概述

 

企业微信&钉钉&飞书H5微应用远程办公接入场景概述

 

安全性方面

随着移动办公的推进，越来越多的业务系统需要开放的互联网，仅靠原有的DMZ边界防护已经无法满足安全需求。

1.  通过端口映射方式将企业内网的办公系统发布到移动办公平台上，内网服务器直接暴露在互联网中，增加了服务器在互联网的暴露面，容易被直接攻击。

2.  在复杂的互联网环境中，企业数据的传输安全堪忧，被篡改、劫持导致数据泄漏或遭受攻击的情况时有发生。

 

体验性方面

大多数的企业移动安全建设，都是以牺牲用户体验为代价，如需要额外安装安全客户端或插件，多次身份认证才可以接入访问等。虽然保证了移动办公的安全，但是原有的便捷性、易用性大打折扣，导致增加了推广成本、运维成本，最终使用效果不佳，移动化建设步伐缓慢。

 

零信任aTrust的安全体验改进

1.  aTrust提供无感知安全接入方案：支持在企业微信、钉钉、飞书、微信公众号等第三方办公平台上，采用纯WEB安全代理方式接入企业内网访问业务系统，无需安装任何插件，具有超高兼容性特点，最大程度保障原有站点的正常访问。

2. 支持与企业微信、钉钉、飞书、CAS等多种认证系统进行对接，可实现便捷的单点登录功能，为用户提供无感知第三方办公平台安全接入解决方案，让客户感受极致体验。

 

二、零信任aTrust移动办公场景核心需求

 

企业微信&钉钉&飞书H5微应用远程办公接入场景核心需求

 

缩小暴露面

越来越多业务对外发布，面向内部员工、第三方供应商等，需要尽可能地业务缩小暴露面，降低被恶意扫描、攻击、入侵的风险

 

身份安全保障

使用群体环境复杂，需要通过双因素等手段进行身份认证强化；当访问环境、访问时间发生变化进行强化认证，确保身份合法性。

 

最小化访问权限

用户角色众多，需要进行规范化、最小化的访问权限设定，避免用户权限过大，暴露过多内网业务，带来核心业务被攻击的风险。

 

访问行为安全

用户接入内网后，访问行为需要进行安全审计；访问高敏感度业务需要更安全的策略；发现可疑、异常访问行为需要进行及时阻断或者二次确认用户身份。

 

三、铭冠网安零信任aTrust移动办公场景需求解决方案

 

企业微信&钉钉&飞书H5微应用移动办公场景需求解决方案

在钉钉/企业微信/飞书访问企业H5应用时，实现免登录，无感知访问内网H5应用系统。

 

实现过程：

将H5应用的域名指向Trust外网地址

aTrust配置钉钉/企业微信/飞书认证对接；

访问添加的H5应用，访问请求转发到aTrust，aTrust通oauth2认证接口获取当前钉钉/企业微信/飞书的登录账户并登录aTrust，通过aTrust认证后由aTrust代理安全访问内网OA服务器；

如果OA服务器也对接了钉钉/企业微信/飞书认证接口，访问OA也自动完成单点登录。

 

实现效果：

正常登录：用户登录钉钉/企业微信/飞书，点击H5应用，无感知单点登录访问业务系统，无需过多操作即可安全的正常访问。

增强认证：对指定业务设置了增强认证后，点击H5应用，弹出二次认证界面，完成认证后自动访问业务系统。

异常访问：当用户出现认证信息失效、触及安全基线等异常情况时，访问H5应用，阻断访问并进行提示。