万物互联时代，企业因自身存在多地分支机构、业务系统多样等特性，让零信任成为持续关注的话题。白山云作为甲方零信任实施者，选择用零信任架构来保障企业安全，有效解决各场景下的挑战：

八个分支分布在全球不同区域，客户遍布全球各地，基于业务发展需求，员工随时随地可能通过VPN方式远程开展工作，受限于接入方式和接入环境，在接入工作前需要执行终端安全检查，避免处于风险的网络环境，工作效率受到很大的影响；

员工远程访问企业内部服务，存在一定安全隐患，一是可能受账密脆弱性影响，导致被窃取或撞库风险，二是BYOD可能被监听或劫持，导致内部数据存在泄露风险；

不同员工职能不同，具有不同的业务环境访问需求，业务系统繁多，既有云上SaaS服务，又有企业内部自建服务，以粗粒度方式管理员工应用访问授权，每个应用都有一个独立访问路径和账户体系，给管理员带来极大挑战。

白山云零信任远程访问实践项目完成了白山云内部应用的ZTNA改造，涉及到白山云内部自建系统及SaaS服务，同时还有Linux、Windows服务的SSH、RDP、VPN等协议应用。兼顾高可用访问和安全可信访问，提供统一管控平台，实现业务按需隐藏，帮助白山云建立身份认证体系、高效便捷的接入方式、标准化资源控制、降低IT复杂度，全面强化安全。

一方面针对全员近千人，几十种职能角色，实现由单一本地化办公模式，拓展至支持依托ZTNA的远程访问方式，大大提升远程办公体验、效率和安全性；另一方面针对用户、访问链路、应用、数据等各个环节进行全局统一管控，构筑可管控、可审计的零信任安全访问闭环。

项目部署基于零信任架构和理念，构建“访问端、身份、应用端”三元合一的可信访问实体，实现在非特权网络中对业务资源和数据的安全、稳定、高效的访问。采用SaaS模式，无需复杂的部署和安装，所要求的功能可以在产品上自主通过可视化界面配置，平台使用B/S设计架构，不需要安装任何软件和代理，可以通过浏览器远程使用。

边缘网关充当业务应用的访问入口，最大化地降低了业务应用被暴露在互联网中遭受各类攻击的风险，无法被外部扫描渗透，不再被动地修复漏洞，实现了对源站应用的隐身保护；

访问可信检测：基于每个访问连接施行动态授权，辅以用户行为分析，更好地透视与管控企业应用安全，按需限制或拒绝存在安全性风险的访问请求；

访问控制引擎：根据特定用户/用户组的身份、职能、需求授予访问权限，实行最小权限原则，更好地保护敏感生产环境的访问安全；

身份信任管理：提供身份生命周期管理，包括OTP动态口令、企业微信、OIDC、SAML等多种身份验证方式；

应用可信接入：提供上千种SaaS应用接入模板，集中SaaS应用访问入口；提供SSH、RDP、VNC等协议应用远程安全接入；提供内网仅出站连接的单向隧道，实现内网应用 SaaS化。

项目实践具体效果如下：

整体工作接入效率提升3-5倍，具有更强的安全体系和更便捷的管理工作；

建立集中身份信任服务，形成统一的身份认证中心、SSO和多因子认证，辅助建立多层次防御，加强身份验证的安全性；

可通过统一门户接入，提升用户体验，内网应用快速SaaS化，集中管控云上SaaS应用，保障所有终端同时在线的情况下稳定、高效、安全的办公，提高员工生产力；

标准化资源控制、隐藏资产攻击面，无法被外部扫描渗透，不再被动地修复漏洞，摆脱对防火墙、设备的依赖，降低IT维护成本；

细粒度访问控制手段，可视化的策略管理能力，云原生安全平台防护能力，多维度的强化网络安全。

业内普遍认为，“持续验证 永不信任”这一理念彻底颠覆了传统基于企业网络边界的安全防御模型，能够有效帮助企业用户解决数字化转型过程中遇到的安全难题。白山云也正持续借助零信任安全架构，为更多用户提供不同应用场景的解决方案。