深信服零信任和行为管理高级认证培训课程资料（二） 大安全aTrust+AC.pptx

;;01产品定位-从SSLVPN到零信任aTrust;;;零信任主流的架构参考与核心原则;零信任涉及的三条主要技术路线;从SSLVPN到零信任aTrust-从远程接入到业务安全访问;aTrust的战略意图和定位;02产品介绍-aTrust到底是个啥产品;零信任aTrust是深信服基于零信任理念，以VPN领域近20年的技术积累，采用必威体育精装版的SDP（软件定义边界）架构打造的新一代安全接入产品，更安全、体验更好，能够为办公访问提供端到端的安全防护，支持多种认证方式、安全工作空间、终端合规准入等功能，全方位保障用户身份安全、终端安全、数据安全、传输安全、应用权限安全和审计安全，具有安全、快速、易用等优势特点，给办公访问带来全新安全、全新体验、全新运维！;简单直白的来理解aTrust;深信服aTrust能力全方位保障业务访问安全;深信服aTrust-主动防御;主动防御-威胁诱捕：实战效果展示;深信服aTrust的两种形态;收敛互联?暴露?

在应?侧部署连接器（Connector），连接器反向TLS隧道连接POP?关，内?应?和连接器都不对互联?暴露

有端访问场景对互联?暴露POP?关，POP

?关通过TCP-basedSPA隐?

?端访问场景对互联?暴露企业?户

快速落地零信任

?需修改路由或者预留IP段，?需改造应

?，快速落地零信任

灵活的访问?式

?持零信任客户端访问内?B/S及C/S应?

?持?端通过企业?户访问内?B/S应?

?持钉钉、企微、?书?作台通过企业?户访问内?B/S应?;深信服SASE能力全景;03销售场景-aTrust可以卖到哪？;aTrtust的通用销售场景;深信服零信任SDP方案主要应对的业务场景;场景一：远程接入安全访问;;场景三：一机多专网安全访问（无互联网访问）;场景四：办公数据泄密防护（专项场景）;场景五：移动办公安全访问（专项场景）;aTrust行业场景故事;aTrust可以让员工在外面也能随时随地远程接入访问内网系统

中国交通建设集团在办公系统建设上采用私有化部署企业微信的方式，将内部业务系统集成到企业微信中，这些业务系统需要开放到互联网供集团在外办公人员及分支人员日常接入访问，业务直接映射到互联网后容易遭到攻击者的扫描、渗透、口令爆破等攻击。用户原本计划通过VPN进???远程接入防护，但是在实际测试过程中存在使用体验差、性能瓶颈、同时担心VPN自身端口暴露带来的安全隐患等问题。

使用aTrust后，通过第三代UDP+TCPSPA单包授权技术对业务进行服务隐藏（未授权用户无法扫描到业务的任何端

口）、并对接企业微信认证，以企业微信的通讯录实现细粒度的权限管控，访问业务时直接单点登录，简化认证操作，满足整个集团数万人的远程安全接入。

互联网、交通运输、服务业、房地产、建筑业、零售连锁、科研设计、制造业等单位都存在从互联网远程接入访问内网业务的需求、如员工出差要通过互联网访问办公系统、审批系统，销售在外跑业务需要访问CRM、差旅、报销系统，还有不少外部供应商需要接入内网进行运维调试设备：aTrust可以提供远程接入，系统不用发布到互联网也能安全访问。即使是企业微信/钉钉/飞书H5，也能通过aTrust将H5业务系统收缩到内网。效果上不需要安装额外的客户端APP，就能实现企业微信/钉钉/飞书单点登录、以及按需的双因素增强认证。如果是第三方移动OA软件，如泛微、蓝凌等，还可以通过SDK与OA软件集成或者对OA软件进行自动封装，员工在手机上使用OA软件时，自动拉起隧道进行加密传输。

同样使用零信任aTrust进行远程办公/移动办公的企业客户还有携程、京东集团、海尔集团、商汤科技、杭州钢铁、娃哈哈、伊利等。;业务分布在多个数据中心/多个云环境的客户，通过aTrust可以同时访问位于不同数据中心/云池上的业务

山东省港口集团是基于青岛港、日照港等几个港口公司重组而成，各业务系统分布在不同的数据中心，员工需要同时接 入多个数据中心访问业务系统，这些业务系统如果直接映射到互联网上，很容易被扫描、攻击，另外不同港口、不同业 务板块的人员职责不同，如果不能按照不同角色、用户进行最小化权限的划分，很容易产生越权访问、敏感数据泄露的 风险。

通过aTrust分布式部署方案，山东省港口集团员工只需要认证一次，就可以随时随地同时访问多个数据中心的业务，而 无需来回切换aTrust客户端，无需重复登录认证，基于不同用户角色进行最小化授权，降低权限过大导致数据泄露的风 险。

互联网、交通运输、服务业、房地产、建筑业、零售连锁、科研设计、制造业等单位很多都存在业务分布在多数据中心的情况，考虑到安全性业务系统不能直接暴露在互联网，而且要保证员工在切换访问不同数据中心的业务时无感知。aTru