安全隔离场景

沙箱

核心需求:

  • 网络业务隔离:解决用户业务暴露面大、终端环境不安全等,同时对落到终端上的数据进行防泄密保护,防止数据被下载保存、转发或被恶意程序窃取;
  • 远程办公数据防泄密:解决传统VPN远程访问内网业务系统权限不清晰,登录后任意下载数据进行转存和外发,解决数据泄露风险问题;
  • 开发/设计安全管控:解决传统DLP方案中不支持远程办公访问业务,是适配BYOD场景,对员工终端管控太重,无法区分个人数据/应用和工作应用/数据、使用体验性差的问题;
  • 业务隔离安全访问:解决传统桌面云方案强依赖网络、强制使用云端桌面,用户体验差,同时方案中和建设成本高的问题。

沙箱功能概述

aTrust客户端可以在终端上创建一个与个人桌面(域)完全逻辑隔离的安全工作空间,在工作空间中运行的软件(应用)具备VPN安全链路、落地文件加密、网络隔离、剪切板隔离、进程保护、屏幕水印等数据保护功能,与其他数据安全产品相比,具备部署成本低、用户体验好、安全性高等优点。

一、windows沙箱功能

  • 工作空间形态,单窗口化形态和多窗口化形态
  • 无痕模式,支持用户退出工作空间将清除空间内新增数据
  • 文件导入导出,支持文件导入/导出权限控制及审计
  • 剪切板拷贝,支持剪切板拷贝的权限控制及文本内容审计
  • 打印权限,支持工作空间打印权限控制
  • 窗口保护,支持工作空间程序窗口截屏权限及水印控制
  • 支持登录后打开工作空间浏览器
  • ADB调试控制

二、MAC OS沙箱功能

  • 剪切板拷贝,支持剪切板拷贝权限控制
  • 窗口保护,工作空间程序窗口水印,和禁止截屏控制

三、统信UOS/麒麟Kylin沙箱功能

  • 文件导入导出控制,支持文件从个人空间和工作空间互导
  • 剪切板拷贝,支持剪切板拷贝权限控制
  • 外设权限控制,支持工作空间外设权限控制,如打印机
  • 光盘权限控制,支持光盘的读取和刻录等
  • 窗口保护,工作空间程序窗口标记及水印控制

工作空间核心安全能力

  • 网络隔离
  • 文件隔离、文件加密
  • 剪切板隔离
  • 窗口保护
  • 外设管控

工作空间适用场景

  • 远程办公业务防泄密场景
  • 第三方外包场景
  • 政务一机两用场景

虚拟网络域

  • 虚拟网络域给终端提供多网隔离机制,管理员可创建多个虚拟网络区域(比如“互联网”、“办公网”、“研发网”等),每张虚拟网络域一组网络规则的合集。
  • 终端同一时刻只能访问一张虚拟网络,做到“专网专用”效果。
    • 终端出站规则:出站规则用来限制本地终端对外部设备发起的网络请求
    • 终端入站规则:入站规则用来限制外部设备对本地终端发起的网络请求
  • 终端同一时刻只能访问一张虚拟网络,做到“专网专用”效果。
  • 虚拟网络域支持windows、MacOs、UOS、kylin、中科方德系统
  • 虚拟网络域对于已建立的连接可以立即中断,即使终端被远程控制(rdp或木马),当切到工作网络,会自动断开互联网外联。

虚拟网络域规则配置

  • 设备默认内置了两个网络域,规则说明如下:
    • 零信任网络:出站规则-默认仅允许访问用户关联的隧道应用,适用全平台;入站规则:未内置入站规则,默认会放通所有的网络入站请求;
    • 终端本地网络:出站规则:默认仅允许访问用户关联的隧道应用之外的地址;入站规则:未内置入站规则,默认会放通所有的网络入站请求;

虚拟网络域效果

  • 支持专网专用,同一时间只能访问一张网络,支持出站管控、入站管控
  • 可通过悬浮球快速切换网络域
  • 可有效阻断已建立的长连接

虚拟网络域应用场景

  • 一机两网场景,满足办公不上网、上网不办公的合规要求
  • 远程办公时阻断互联网,可有效防止木马远控场景