以下文章来源于网络安全和信息化 ，作者网络安全和信息化

当前，数字化、网络化、智能化成为数字经济时代发展的重要特征。与此同时，网络安全也在向体系化、常态化、实战化方向迈进，网络安全建设正从产品驱动向服务驱动转变。在此背景下，《网络安全和信息化》杂志推出“2022安全样板工程”系列专题，通过样板案例展示，向广大企业用户推介网络安全建设思路和经验，提升企业网络安全防护能力，更好地护航数字经济发展。绿盟科技T-ONE CLOUD之SASE-NPA服务荣获2022安全样板工程（远程办公安全）。

绿盟科技T-ONE CLOUD之SASE-NPA服务（简称SASE-NPA服务），以身份驱动为核心，云原生架构为基础，全球分布式部署，支持多种类型终端准入的一款主打零信任的内网访问安全SaaS服务。通过SDP隐藏应用、网关暴露面和基于零信任思想的授权认证，解决数据泄露、内部人员恶意威胁和DDoS攻击等问题，可以持续地保证访问的可信度，为企业提供更好的网络安全环境。该产品在快速满足客户远程访问场景下的稳定性要求的同时，让安全可视可控，让业务无忧运行。

零信任访问控制能力

SASE-NPA服务基于零信任理念，为接入的所有应用统一设置一道强认证保障，对应用实现统一的认证策略，降低弱口令等安全风险。提供丰富的无密码认证方式、认证策略自适应以及自定义编排等，满足不同业务场景下对安全认证等级的要求。SASE-NPA服务实现了动态按需最小授权功能，确保只有可信的访问主体（人和设备）才对应用可见可连接、可访问。此外，SASE-NPA服务还可根据用户上下文行为，实时评估风险，执行放行或阻断访问。该能力可以解决远程办公场景下，传统VPN基于IP授权粒度过粗等问题。

全面隐藏应用与网络

SASE-NPA服务融入SDP技术，可隐藏客户部署在云上或本地的各类应用，同时也隐藏云服务自身的网关IP和端口，仅允许授权的用户使用可信的客户端访问被保护应用。除此之外，受保护的应用均处在不可见、不可被扫描、不能与之建立连接的状态。该能力可以很好地解决资产云化、多地部署后的互联网暴露面增加问题，全面的网络和应用隐身让攻击者无从下手。

强大的自身安全加固

SASE-NPA服务从多个维度为自身安全加固。第一，SASE-NPA服务的客户端拥有防植入、防仿冒技术。客户端PKI证书提供客户端认证和数据加密签名，并由服务端验证，防植入或篡改，防客户端仿冒。第二，数据防窃取、防回放。利用PKI非对称密钥进行双向身份验证，存储数据进行加密和数字签名，防窃取防篡改；签名中加入动态指纹，防回放。第三，通信加密防会话劫持。SASE-NPA服务的所有通信均做TLS双向加密，防止会话被劫持。第四，避免自身成为突破口。SASE云端的控制器和网关默认不开启任何TCP端口，也不响应，避免自身暴露，只有“敲门”成功后，云上网关才给该客户端开放注册端口。该能力提升了SASE-NPA服务自身的安全性，不再是攻击突破点，让用户使用云服务更放心。

全球多点弹性SD-WAN组网

SASE-NPA服务为客户提供全球多分支到各点资产的SD-WAN组网服务。客户的各个分支部署SD-WAN CPE，将受SASE保护的应用访问流量就近导入绿盟SASE，基于SASE的优质底层链路，实现跨国访问加速、云上应用访问加速。SASE-NPA服务可为客户在全球弹性构建SD-WAN网络，灵活设置云PoP点，全球分支部署CPE即插即用，为客户快速升级跨境组网，降低跨境时延。同时，用户可登录绿盟提供的网络管理监控平台，实现全局可视化运维，轻松省力。

实施效果与经验价值

SASE-NPA管控员工访问云上办公系统

绿盟SASE-NPA服务具备收敛应用暴露面、统一应用管理、统一多因子认证管理、统一账户管理、统一终端管理、精细化应用授权、自适应访问控制的能力，可以满足客户的提升应用访问安全性、优化运维管理效率的需求。通过应用入口收敛，减少公有云上业务暴露面，提升应用安全性；提供一套服务平台统一管理应用、授权、认证，提升运维效率；静态密码登录升级为多因子认证，配合自适应访问控制提升访问安全性。

SASE-NPA管控海外工厂访问国内系统

为了帮助客户在提升跨国访问质量的同时，解决远程访问统一管理和安全性欠缺的问题，本方案将SD-WAN服务与SASE-NPA服务结合，为客户提供综合解决方案，给客户带来跨国访问质量提升，加速跨国访问。通过SD-WAN零配置开局上线海外工厂，搭建跨国广域网，加密传输应用数据；替换传统VPN，避免端口暴露，以零信任技术提升应用访问安全性；提供统一平台管理应用，完善全球员工的应用访问管理；采用SDP技术，相比传统VPN实现不掉线，支持高并发，更适应移动办公场景。

SASE-NPA管控合作农场访问内网业务

通过SASE-NPA服务的平台统一对合作伙伴账户做精细化授权，并开启自适应访问控制，对异常风险访问触发OTP认证，增强访问控制力度；轻量管理合作伙伴终端安全，设置合规基线，减少外部访问带给内网应用的风险；替换传统VPN，避免端口暴露，以零信任技术提升应用访问安全性。

T-ONE CLOUD是绿盟科技“智慧安全3.0”理念的全新实践，旨在以云的思路重构安全运营体系，为用户提供弹性敏捷的安全闭环保障能力。SASE-NPA服务是T-ONE CLOUD提供的服务之一。SASE-NPA服务以其方案先进性、服务完整性、能力专业性获得了市场的认可，订阅SASE-NPA服务为客户带来多维的显著可量化的价值。欲了解更多详情，可咨询绿盟科技当地销售。