難道做零信任，只是為了縱享絲滑辦公體驗？

好比練習武術(shù)，所謂“外練筋骨皮，內(nèi)練一口氣”，別人看到的是你體格健碩，只有你自己能感受到，體質(zhì)變好了，抵抗力提高了，身體倍兒棒。

歸根到底，零信任“關(guān)注安全，兼顧體驗”，通過打出更簡單有效的“組合拳”，幫助企業(yè)“強身健體”的同時，滿足“安全”的終極需求。

如何證明？多說無益，深信服拿自己作為0號樣板點，落地零信任，用行動做最好的注解。

說干就干，從設(shè)計到實施耗時不到1個月

故事要從一環(huán)扣一環(huán)的假設(shè)講起。

1、假設(shè)深信服發(fā)展到1萬多個員工、2-3萬個終端接入節(jié)點，如何做好如此大體量的實時安全管控？

2、假設(shè)每個員工都能訪問到內(nèi)網(wǎng)核心服務器，一旦有一個端點被入侵，如何避免全網(wǎng)失陷？

3、假設(shè)采用區(qū)域隔離管控的傳統(tǒng)方案，作為一家科技企業(yè)，內(nèi)部技術(shù)人員很多，難免提出超過安全基線的要求，比如在深圳搭建的服務器要給北京的團隊訪問，區(qū)域之間的互訪打破了原本的分區(qū)域隔離，如何平衡業(yè)務需求與安全底線？

除了這些假設(shè)，當時我們還看到，隨著業(yè)務發(fā)展與人員增長，組織架構(gòu)在不斷優(yōu)化調(diào)整，針對角色的權(quán)限頻繁更換，訪問策略難以管控，ACL逐漸“腐化”。這個過程，也不斷考驗著安全運維管理的效率。

推己及人，深信服意識到，這也是很多組織單位在安全建設(shè)與運營中遇到的本質(zhì)難題：

1、業(yè)務、用戶、資源都在持續(xù)變化，且用戶行為多樣、資源漏洞難以避免，同時用戶與資源、資源與資源之間的訪問關(guān)系持續(xù)變化，而區(qū)域邊界是離散、相對靜態(tài)的；

2、在少數(shù)固定的隔離邊界上，以粗顆粒度的、相對靜態(tài)的安全策略，識別多種多樣的用戶行為、防護層出不窮的技術(shù)漏洞、維護快速變化的訪問關(guān)系，不可避免遇到“問題規(guī)模大而資源投入小”的矛盾。

急用戶之所急，想用戶之所想。我們想為數(shù)以萬計的用戶提供零信任安全解決方案，就要做第一個親身實踐者。

在國內(nèi)還很少零信任落地實際案例的背景下，深信服拿自己做起了“實驗”，從設(shè)計到實施耗時不到1個月，有說干就干的決心，也有穩(wěn)扎穩(wěn)打的技法。

組合拳一：平滑接入，聚焦訪問控制與身份認證

過去，深信服內(nèi)部業(yè)務系統(tǒng)眾多，權(quán)限管理混亂，埋下了很多安全隱患；權(quán)限變更日常維護工作量大，也給運維人員帶來巨大負擔。

可能很多老員工都親身體驗到，第一天入職后需要找不同的人開通系統(tǒng)權(quán)限，崗位變更也要申請開放新權(quán)限，讓人身心俱疲。

針對這些問題，為了平滑接入零信任，第一步我們聚焦訪問控制與統(tǒng)一身份認證。

實現(xiàn)人員與系統(tǒng)權(quán)限對接：接入零信任訪問控制系統(tǒng)SDP

要對人員權(quán)限進行收斂和梳理，首先要通過訪問控制，解決什么身份有訪問內(nèi)網(wǎng)權(quán)限的問題。

過去，移動終端只要在深信服辦公室連上Wi-Fi，不需要通過驗證是否內(nèi)部員工身份，就可以直接訪問業(yè)務系統(tǒng)，存在風險可想而知。

我們通過部署零信任訪問控制系統(tǒng)SDP，任何人使用移動終端連接辦公室Wi-Fi，必須通過身份認證，確保只有內(nèi)部員工才能訪問業(yè)務系統(tǒng)。同時，我們還加強對終端實行基線檢查，不合規(guī)終端則無法登錄。

而在實際落地時，由于SSL VPN以IP/IP段全端口發(fā)布資源，把訪問權(quán)限放大了，在SDP替代SSL VPN接入后，開放了不該被訪問的資源，甚至是高危端口。針對具體問題具體分析，我們逐步收斂資源權(quán)限，避免了這種情況再次發(fā)生。

為了保障員工順暢的辦公體驗，這個階段深信服優(yōu)先改造移動終端的接入，同步面向員工加強零信任理念的宣貫，扭轉(zhuǎn)員工的使用習慣。

降低ACL復雜度：IDTrust 統(tǒng)一身份認證單點登錄改造

解決了內(nèi)網(wǎng)訪問權(quán)限的問題，要徹底根治人員權(quán)限管理混亂，接下來就是通過統(tǒng)一身份認證，實現(xiàn)應用訪問權(quán)限的收斂。

通過深信服統(tǒng)一認證平臺IDTrust 對后端應用進行改造，深信服實現(xiàn)了超過200個業(yè)務系統(tǒng)的單點登錄與雙因認證。員工不再需要記住多個系統(tǒng)賬號密碼，也規(guī)避了使用弱密碼帶來的安全問題。此外，IDTrust 的應用對接能夠?qū)崿F(xiàn)同崗同權(quán)，即根據(jù)崗位梳理員工訪問不同系統(tǒng)的權(quán)限，員工崗位變更，權(quán)限隨之自動改變，大大提升運維管理效率。

現(xiàn)在，新員工入職深信服，只需要HR在系統(tǒng)為新員工注冊賬號，SDP 與IDTrust 自動根據(jù)組織結(jié)構(gòu)和角色繼承權(quán)限。員工使用SDP賬號即可獲得應用訪問權(quán)限，通過IDTrust 則可以直接訪問崗位對應需要的系統(tǒng)應用。在員工離職時，SDP與IDTrust 還可以自動關(guān)閉相關(guān)應用與系統(tǒng)權(quán)限。

組合拳二：橫向拓展SDP，實現(xiàn)雙源雙因素認證

2021年，深信服內(nèi)部開展了一次攻防演練。藍軍利用口袋助理發(fā)布釣魚信息，很多員工“上鉤”。但面對部署了零信任的系統(tǒng)，藍軍投入一半精力嘗試攻擊，都沒有取得突破。這次事件讓我們長了教訓，員工安全意識是整個安全建設(shè)最薄弱的環(huán)節(jié)，也警示我們持續(xù)收斂內(nèi)網(wǎng)權(quán)限刻不容緩。

從SDP與SSL VPN并行，到全員部署SDP

此前深信服各區(qū)域和總部均部署SD-WAN，開通加密隧道，員工可以直接訪問總部業(yè)務系統(tǒng)。一旦有攻擊者連接上分支網(wǎng)絡，也可以直接訪問總部資源，存在一定的安全風險。

在全員安裝零信任訪問控制系統(tǒng)SDP客戶端后，無論是總部還是區(qū)域員工，以及外包員工的訪問請求，可以將原有多個暴露的業(yè)務直接收斂成一個入口，業(yè)務系統(tǒng)的IP、端口等信息都被隱藏起來。

通過收縮業(yè)務暴露面，在這種情況下，即使員工被釣魚成功，因為訪問到的資源有限，攻擊者很難直接進入業(yè)務系統(tǒng)，內(nèi)網(wǎng)防護能力大幅提升。

從IAM單點登錄，到雙源雙因素認證

在第一階段，深信服單獨依靠SSL VPN或IDTrust一套系統(tǒng)進行認證，一旦出現(xiàn)身份冒用，盡管部署零信任訪問控制系統(tǒng)SDP，攻擊者依然可以趁虛而入。

深信服進而采用了IAM主認證+SDP輔認證的雙源雙因素認證方式，當員工訪問業(yè)務時，重定向到深信服統(tǒng)一認證平臺IDTrust彈出掃碼界面，新用戶認證后會彈出SDP二次增強認證，再彈出是否綁定授信終端；完成首次掃碼后，老用戶登錄只需要通過IDTrust掃碼+SDP硬件特征碼完成身份校驗。

但由于持續(xù)收斂內(nèi)網(wǎng)權(quán)限，矯枉過正，實際落地我們還是踩了不少小坑：

例如部署方面，全員安裝上萬個訪問控制客戶端，面對各種復雜終端環(huán)境，遇到了很多兼容性問題，好在我們有強大的技術(shù)服務團隊支撐；

再如員工體驗方面，對員工的權(quán)限調(diào)研不夠充分，在梳理在系統(tǒng)與應用依賴關(guān)系時有疏忽，導致一些員工打開系統(tǒng)頁面有無法顯示的應用，遭到內(nèi)部吐槽……

通過員工進行產(chǎn)品體驗反饋，我們吸取教訓、小步快走對產(chǎn)品進行功能迭代優(yōu)化，如管理員可配置認證會話有效期、權(quán)限可自助申請、多種認證方式可供選擇、客戶端自帶診斷工具等，從而幫助更多用戶有效規(guī)避落地過程中的各種障礙。

組合拳三：細化策略，實現(xiàn)安全遠程開發(fā)

完成第二個階段的零信任落地，非研發(fā)人員的遠程辦公體驗已經(jīng)非常絲滑，但還有一個更精細化的考驗：研發(fā)隔離網(wǎng)的零信任改造。問題正是在于，研發(fā)網(wǎng)雖然是隔離的，但有很多風險因素，如內(nèi)部有很多安全人員做攻防、做病毒樣本分析，需要從外部傳輸數(shù)據(jù)，管控難度極大。同時，隨著深信服業(yè)務不斷發(fā)展壯大，還需要考慮離岸研發(fā)（ODC）的權(quán)限管控。

隔離網(wǎng)改造：收縮研發(fā)/離岸人員應用訪問權(quán)限

為了滿足研發(fā)與離岸人員的遠程辦公需求，此前我們嘗試過，把云桌面VDI映射到公網(wǎng)上供研發(fā)訪問，但這種方式存在延時，性能不足。為了平衡安全與體驗的雙重需求，深信服開始對研發(fā)服務器進行改造，收縮研發(fā)人員的應用訪問權(quán)限，以SDP+VDI+SDP的嵌套方案，實現(xiàn)更安全的遠程開發(fā)。

研發(fā)人員與離岸人員進入核心研發(fā)系統(tǒng)，需要經(jīng)過三道認證：

1、在互聯(lián)網(wǎng)辦公環(huán)境下，通過SDP認證進入辦公內(nèi)網(wǎng)；

2、在辦公網(wǎng)環(huán)境下登陸SDP，獲得VDI訪問權(quán)限；

3、根據(jù)不同崗位角色權(quán)限，通過SDP身份認證，再進入更加機密的研發(fā)應用。

在保證數(shù)據(jù)不落地的前提下，進入研發(fā)實驗室，相當于把他們的公司電腦桌面，搬到了世界上任何一個角落。其中，“研發(fā)數(shù)據(jù)不出網(wǎng)”與“零信任”的理念沖突，是最難以平衡的。但深信服探索出了一條新的道路——基于零信任動態(tài)策略檢測計算機的環(huán)境、位置等屬性，來決策員工是否擁有資源訪問權(quán)限，權(quán)限開放還是限制，一切盡在掌握之中。

3張圖展示深信服全面落地零信任有多“香”

作為落地零信任的實干派，深信服可以有底氣地向更多用戶證明“零信任真香”：安全收益

業(yè)務收益

運維收益

深信服以親身實踐為用戶帶來建設(shè)啟示

1. 統(tǒng)一規(guī)劃、分步實施

零信任落地難是老生常談的問題，根本原因在于，步子邁得太大，迫切想要一步到位。結(jié)合當前國內(nèi)疫情遠程辦公的現(xiàn)實需求，以及深信服的實踐經(jīng)驗，組織單位可以優(yōu)先從遠程辦公場景切入，逐步切換到內(nèi)網(wǎng)、數(shù)據(jù)中心等場景的零信任建設(shè)。

2.選擇合適的技術(shù)路線

零信任理念可以通過多種技術(shù)路徑落地，深信服根據(jù)自身改造難度，選擇從SSL VPN切換SDP技術(shù)，經(jīng)過實踐在遠程辦公、混合辦公場景已具備非常成熟的經(jīng)驗，組織單位可以根據(jù)自身需求，選擇最適配的技術(shù)路線。

3.強大的服務與端點能力支撐

實踐證明，零信任落地是一個長期且持續(xù)的過程，這個過程必定需要專業(yè)的人員輔助，組織單位應找具備強大服務能力以及端點能力支撐的廠商。

深信服全面落地零信任，立足于“防”，發(fā)力于“早”，落腳于“實”。

至此，深信服的零信任建設(shè)一直在路上，已經(jīng)有上千家用戶與我們并肩同行，選擇了深信服零信任。目前，深信服也已將戰(zhàn)場逐步延伸至內(nèi)網(wǎng)辦公、數(shù)據(jù)中心等場景。下一步，為了持續(xù)有效落地，讓零信任成為更多用戶的選擇，深信服還會出什么招式呢？且聽下回分解。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。