Asana 采用 1Password 方案，保护敏感凭据和客户数据安全

阻止所有未经授权的访问尝试

在一天内部署了 1Password

所有 Asana 员工现在都使用已知的、安全的设备

结果

• 从基础设备安全升级为跨敏感系统的全面实施，同时不影响帮助台团队的工作量或员工的生产力。

• 确保所有身份验证都通过经批准的合规设备进行。

• 简化了 Asana 企业和政府客户提出的安全审查和要求。

• 通过注销离职员工个人设备的访问权限，加强离职流程管控。

• 以简单直接的部署方式实现安全访问保障，兼顾了工作效率，并获得工程团队的欢迎。

理想的安全工具应不影响用户，易于 IT 团队管理，并能发挥其应有的作用。1Password 都满足这些要求。

Johan Dowdy
Global Head of IT and IT Security at Asana

挑战

Asana 是一个工作行动系统，它让人类和人工智能协同工作，帮助个人更智能地工作，团队更快地行动，组织取得成果。Asana 在全球拥有 1,700 名员工，需要一套安全的方式来管理和共享凭证，同时确保敏感系统只能通过授权、合规的设备访问。

Asana 自 2019 年起一直使用 1Password Enterprise Password Manager，并于 2024 年引入了 1Password Device Trust，进一步推进零信任安全环境建设目标。Asana 全球 IT 与 IT 安全负责人 Johan Dowdy 选择了 1Password，以推进建立零信任安全环境的目标，从而应对以下几项关键挑战：

• 凭证管理。Asana 需要一个单一、安全的平台，在分布式团队间保护与共享凭证。

• 设备合规。公司需要一种方式来验证其可接受使用政策（AUP）的合规性，并确保员工只能通过授权设备访问系统。

• 监管与企业要求。随着合规要求不断提升，包括 FedRAMP 和企业客户要求，需要更强大、可验证的设备和身份管控机制。

• 零信任建设入口。公司需要一个务实的切入点来实现零信任安全，避免大型复杂工具带来的业务中断。

在向零信任迈进的路上，追求稳步提升而非业务中断

Dowdy 的目标是为 Asana 部署零信任网络架构，以加强安全状况。零信任策略往往成本高、复杂度大、实施周期长，并可能影响业务运行。所以 Dowdy 采取了一种务实、分阶段的方法，优先聚焦零信任体系中最关键的一环：终端安全，特别是最终用户设备安全。他表示：“我们需要确信终端安全，并知道终端用户只通过受信任的设备登录我们的系统。”

Dowdy 选择 1Password 主要有两个原因。首先，1Password Enterprise Password Manager 早已在 Asana 内部获得信任且被广泛采用。其次，与其他解决方案相比，1Password Device Trust 能以更简单、更有效的方式拦截不受信任的访问请求。1Password Device Trust 还可与 Asana 使用的身份与访问管理 (IAM) 平台 Okta 无缝集成。

对 Dowdy 来说，最重要的是，终端用户体验将是透明的，几乎无感知，服务台压力极低。当设备或操作不符合安全策略时，系统会明确提示用户访问受限。同时，1Password 提供的专业部署指导和客户成功支持，确保方案快速落地、员工平稳过渡。

我们选择 1Password 是因为它为我们提供了有效且用户友好的解决方案，可以应对基础和高级安全挑战。

Johan Dowdy
Global Head of IT and IT Security at Asana

从零信任最关键环节开始：终端安全

1Password Device Trust 与 Asana 的身份提供商 Okta 合作，在用户访问敏感应用前先对设备进行安全核验。系统会验证用户是否使用受管理、安全、可信的办公设备，从而实现零信任安全的核心原则。

1Password Device Trust 也让 IT 团队对入职流程更有信心。一旦员工的设备通过 Device Trust 检查后，只需按照常规流程完成 SSO/Okta 登录，即可解锁 1Password EPM 或访问 Asana 通过 SSO 保护的应用程序。

“一旦完成这一流程，员工就可以正常开展工作，无需额外操作，”Dowdy 解释道。“安全工具是透明的，每次用户使用 Okta 进行身份验证时，只有一个界面快速闪过。”

终端用户设备是我们最关键的终端节点。我们希望确保员工仅通过受信任、可核验的设备登录公司的系统。1Password Device Trust 让这一切成为可能。

Johan Dowdy
Global Head of IT and IT Security at Asana

为了最大限度地减少对业务的影响，Dowdy 的团队分阶段、有序部署了1Password Device Trust，逐步引入新的检查项和安全策略。这种方法几乎不影响员工工作，同时让零信任安全建设迈出重大一步。Dowdy 表示：“现在，我们不再仅依赖可接受使用政策，而是可以真正验证用户是否遵守安全规范。”

在保持效率与服务台能力的同时，拦截更多安全威胁

Asana 使用 1Password Enterprise Password Manager，供团队共享密码、API 密钥、服务器管理凭证等敏感信息。该解决方案为 Asana 提供了一个统一、安全的敏感信息保管平台，确保生产系统的密钥、服务器登录信息等核心权限不会以表格等不安全形式存储。

随着 1Password Device Trust 的全面实施，Asana 从几乎无设备安全管控的状态，升级为全员全覆盖的强制安全验证体系。Dowdy 团队现在具备可靠的监控能力，可清晰查看用户行为和设备访问模式。这种可见性使他们能够确保所有登录行为都来自经批准且合规的设备。

最终，Asana 实现了绝大多数设备登录行为的安全加固。Asana 生态系统中的所有用户现在都使用可识别、合规的设备；所有未经授权的访问尝试都被拦截。Asana 已经实施了多项安全检查，包括 MDM、CS Falcon Sensor、macOS、Windows 更新、FileVault/磁盘加密等。公司还建立起清晰、可验证的安全管控机制，显著提升企业和政府客户安全评审通过率。

如果从 1Password Device Trust 入手，作为解决零信任难题的第一步，那么整个过程就会轻松得多。我们运行该解决方案已有几个月了，到目前为止，目前未收到任何投诉反馈。

Johan Dowdy
Global Head of IT and IT Security at Asana

Asana 能够快速完成技术部署，并根据业务需求和用户接受度逐步强化管控策略。1Password 也增强了 IT 团队对离职流程的信心：员工从入职第一天即可无感知使用 1Password 设备信任方案；离职时，其个人设备的访问权限会立即失效。1Password Device Trust 还为 IT 团队增加了额外的安全层，即使突然离职的员工仍持有公司凭证，1Password 设备信任方案也会立即阻止其通过不受信任的个人设备登录公司资源。

所有这一切都在不显著影响员工体验的情况下实现。Dowdy 表示：“借助 1Password，我们实现了关键的安全升级，同时避免了生产力损失和工程团队抵触。”

构建分层零信任架构，基于终端完整性

Dowdy 计划此基础上逐步完善零信任网络架构。通过部署 1Password Device Trust 来确保设备可信、健康，Dowdy 有信心团队已具备进一步加固企业安全的坚实基础。

在 Dowdy 扩展 Asana 的零信任安全性时，他将继续采取务实的“轻量化”方法，以最大限度减少干扰并提高采用率。

“在人与技术的交汇点上成功运作，意味着既要为员工提供工作所需的数字访问能力，又要保障系统安全合规，”Dowdy 表示。“我们正在用 1Password 做到这一目标。”