難道做零信任，只是為了縱享絲滑辦公體驗(yàn)？

好比練習(xí)武術(shù)，所謂“外練筋骨皮，內(nèi)練一口氣”，別人看到的是你體格健碩，只有你自己能感受到，體質(zhì)變好了，抵抗力提高了，身體倍兒棒。

歸根到底，零信任“關(guān)注安全，兼顧體驗(yàn)”，通過(guò)打出更簡(jiǎn)單有效的“組合拳”，幫助企業(yè)“強(qiáng)身健體”的同時(shí)，滿足“安全”的終極需求。

如何證明？多說(shuō)無(wú)益，深信服拿自己作為0號(hào)樣板點(diǎn)，落地零信任，用行動(dòng)做最好的注解。

說(shuō)干就干，從設(shè)計(jì)到實(shí)施耗時(shí)不到1個(gè)月

故事要從一環(huán)扣一環(huán)的假設(shè)講起。

1、假設(shè)深信服發(fā)展到1萬(wàn)多個(gè)員工、2-3萬(wàn)個(gè)終端接入節(jié)點(diǎn)，如何做好如此大體量的實(shí)時(shí)安全管控？

2、假設(shè)每個(gè)員工都能訪問(wèn)到內(nèi)網(wǎng)核心服務(wù)器，一旦有一個(gè)端點(diǎn)被入侵，如何避免全網(wǎng)失陷？

3、假設(shè)采用區(qū)域隔離管控的傳統(tǒng)方案，作為一家科技企業(yè)，內(nèi)部技術(shù)人員很多，難免提出超過(guò)安全基線的要求，比如在深圳搭建的服務(wù)器要給北京的團(tuán)隊(duì)訪問(wèn)，區(qū)域之間的互訪打破了原本的分區(qū)域隔離，如何平衡業(yè)務(wù)需求與安全底線？

除了這些假設(shè)，當(dāng)時(shí)我們還看到，隨著業(yè)務(wù)發(fā)展與人員增長(zhǎng)，組織架構(gòu)在不斷優(yōu)化調(diào)整，針對(duì)角色的權(quán)限頻繁更換，訪問(wèn)策略難以管控，ACL逐漸“腐化”。這個(gè)過(guò)程，也不斷考驗(yàn)著安全運(yùn)維管理的效率。

推己及人，深信服意識(shí)到，這也是很多組織單位在安全建設(shè)與運(yùn)營(yíng)中遇到的本質(zhì)難題：

1、業(yè)務(wù)、用戶、資源都在持續(xù)變化，且用戶行為多樣、資源漏洞難以避免，同時(shí)用戶與資源、資源與資源之間的訪問(wèn)關(guān)系持續(xù)變化，而區(qū)域邊界是離散、相對(duì)靜態(tài)的；

2、在少數(shù)固定的隔離邊界上，以粗顆粒度的、相對(duì)靜態(tài)的安全策略，識(shí)別多種多樣的用戶行為、防護(hù)層出不窮的技術(shù)漏洞、維護(hù)快速變化的訪問(wèn)關(guān)系，不可避免遇到“問(wèn)題規(guī)模大而資源投入小”的矛盾。

急用戶之所急，想用戶之所想。我們想為數(shù)以萬(wàn)計(jì)的用戶提供零信任安全解決方案，就要做第一個(gè)親身實(shí)踐者。

在國(guó)內(nèi)還很少零信任落地實(shí)際案例的背景下，深信服拿自己做起了“實(shí)驗(yàn)”，從設(shè)計(jì)到實(shí)施耗時(shí)不到1個(gè)月，有說(shuō)干就干的決心，也有穩(wěn)扎穩(wěn)打的技法。

組合拳一：平滑接入，聚焦訪問(wèn)控制與身份認(rèn)證

過(guò)去，深信服內(nèi)部業(yè)務(wù)系統(tǒng)眾多，權(quán)限管理混亂，埋下了很多安全隱患；權(quán)限變更日常維護(hù)工作量大，也給運(yùn)維人員帶來(lái)巨大負(fù)擔(dān)。

可能很多老員工都親身體驗(yàn)到，第一天入職后需要找不同的人開(kāi)通系統(tǒng)權(quán)限，崗位變更也要申請(qǐng)開(kāi)放新權(quán)限，讓人身心俱疲。

針對(duì)這些問(wèn)題，為了平滑接入零信任，第一步我們聚焦訪問(wèn)控制與統(tǒng)一身份認(rèn)證。

實(shí)現(xiàn)人員與系統(tǒng)權(quán)限對(duì)接：接入零信任訪問(wèn)控制系統(tǒng)SDP

要對(duì)人員權(quán)限進(jìn)行收斂和梳理，首先要通過(guò)訪問(wèn)控制，解決什么身份有訪問(wèn)內(nèi)網(wǎng)權(quán)限的問(wèn)題。

過(guò)去，移動(dòng)終端只要在深信服辦公室連上Wi-Fi，不需要通過(guò)驗(yàn)證是否內(nèi)部員工身份，就可以直接訪問(wèn)業(yè)務(wù)系統(tǒng)，存在風(fēng)險(xiǎn)可想而知。

我們通過(guò)部署零信任訪問(wèn)控制系統(tǒng)SDP，任何人使用移動(dòng)終端連接辦公室Wi-Fi，必須通過(guò)身份認(rèn)證，確保只有內(nèi)部員工才能訪問(wèn)業(yè)務(wù)系統(tǒng)。同時(shí)，我們還加強(qiáng)對(duì)終端實(shí)行基線檢查，不合規(guī)終端則無(wú)法登錄。

而在實(shí)際落地時(shí)，由于SSL VPN以IP/IP段全端口發(fā)布資源，把訪問(wèn)權(quán)限放大了，在SDP替代SSL VPN接入后，開(kāi)放了不該被訪問(wèn)的資源，甚至是高危端口。針對(duì)具體問(wèn)題具體分析，我們逐步收斂資源權(quán)限，避免了這種情況再次發(fā)生。

為了保障員工順暢的辦公體驗(yàn)，這個(gè)階段深信服優(yōu)先改造移動(dòng)終端的接入，同步面向員工加強(qiáng)零信任理念的宣貫，扭轉(zhuǎn)員工的使用習(xí)慣。

降低ACL復(fù)雜度：IDTrust 統(tǒng)一身份認(rèn)證單點(diǎn)登錄改造

解決了內(nèi)網(wǎng)訪問(wèn)權(quán)限的問(wèn)題，要徹底根治人員權(quán)限管理混亂，接下來(lái)就是通過(guò)統(tǒng)一身份認(rèn)證，實(shí)現(xiàn)應(yīng)用訪問(wèn)權(quán)限的收斂。

通過(guò)深信服統(tǒng)一認(rèn)證平臺(tái)IDTrust 對(duì)后端應(yīng)用進(jìn)行改造，深信服實(shí)現(xiàn)了超過(guò)200個(gè)業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄與雙因認(rèn)證。員工不再需要記住多個(gè)系統(tǒng)賬號(hào)密碼，也規(guī)避了使用弱密碼帶來(lái)的安全問(wèn)題。此外，IDTrust 的應(yīng)用對(duì)接能夠?qū)崿F(xiàn)同崗?fù)瑱?quán)，即根據(jù)崗位梳理員工訪問(wèn)不同系統(tǒng)的權(quán)限，員工崗位變更，權(quán)限隨之自動(dòng)改變，大大提升運(yùn)維管理效率。

現(xiàn)在，新員工入職深信服，只需要HR在系統(tǒng)為新員工注冊(cè)賬號(hào)，SDP 與IDTrust 自動(dòng)根據(jù)組織結(jié)構(gòu)和角色繼承權(quán)限。員工使用SDP賬號(hào)即可獲得應(yīng)用訪問(wèn)權(quán)限，通過(guò)IDTrust 則可以直接訪問(wèn)崗位對(duì)應(yīng)需要的系統(tǒng)應(yīng)用。在員工離職時(shí)，SDP與IDTrust 還可以自動(dòng)關(guān)閉相關(guān)應(yīng)用與系統(tǒng)權(quán)限。

組合拳二：橫向拓展SDP，實(shí)現(xiàn)雙源雙因素認(rèn)證

2021年，深信服內(nèi)部開(kāi)展了一次攻防演練。藍(lán)軍利用口袋助理發(fā)布釣魚(yú)信息，很多員工“上鉤”。但面對(duì)部署了零信任的系統(tǒng)，藍(lán)軍投入一半精力嘗試攻擊，都沒(méi)有取得突破。這次事件讓我們長(zhǎng)了教訓(xùn)，員工安全意識(shí)是整個(gè)安全建設(shè)最薄弱的環(huán)節(jié)，也警示我們持續(xù)收斂?jī)?nèi)網(wǎng)權(quán)限刻不容緩。

從SDP與SSL VPN并行，到全員部署SDP

此前深信服各區(qū)域和總部均部署SD-WAN，開(kāi)通加密隧道，員工可以直接訪問(wèn)總部業(yè)務(wù)系統(tǒng)。一旦有攻擊者連接上分支網(wǎng)絡(luò)，也可以直接訪問(wèn)總部資源，存在一定的安全風(fēng)險(xiǎn)。

在全員安裝零信任訪問(wèn)控制系統(tǒng)SDP客戶端后，無(wú)論是總部還是區(qū)域員工，以及外包員工的訪問(wèn)請(qǐng)求，可以將原有多個(gè)暴露的業(yè)務(wù)直接收斂成一個(gè)入口，業(yè)務(wù)系統(tǒng)的IP、端口等信息都被隱藏起來(lái)。

通過(guò)收縮業(yè)務(wù)暴露面，在這種情況下，即使員工被釣魚(yú)成功，因?yàn)樵L問(wèn)到的資源有限，攻擊者很難直接進(jìn)入業(yè)務(wù)系統(tǒng)，內(nèi)網(wǎng)防護(hù)能力大幅提升。

從IAM單點(diǎn)登錄，到雙源雙因素認(rèn)證

在第一階段，深信服單獨(dú)依靠SSL VPN或IDTrust一套系統(tǒng)進(jìn)行認(rèn)證，一旦出現(xiàn)身份冒用，盡管部署零信任訪問(wèn)控制系統(tǒng)SDP，攻擊者依然可以趁虛而入。

深信服進(jìn)而采用了IAM主認(rèn)證+SDP輔認(rèn)證的雙源雙因素認(rèn)證方式，當(dāng)員工訪問(wèn)業(yè)務(wù)時(shí)，重定向到深信服統(tǒng)一認(rèn)證平臺(tái)IDTrust彈出掃碼界面，新用戶認(rèn)證后會(huì)彈出SDP二次增強(qiáng)認(rèn)證，再?gòu)棾鍪欠窠壎ㄊ谛沤K端；完成首次掃碼后，老用戶登錄只需要通過(guò)IDTrust掃碼+SDP硬件特征碼完成身份校驗(yàn)。

但由于持續(xù)收斂?jī)?nèi)網(wǎng)權(quán)限，矯枉過(guò)正，實(shí)際落地我們還是踩了不少小坑：

例如部署方面，全員安裝上萬(wàn)個(gè)訪問(wèn)控制客戶端，面對(duì)各種復(fù)雜終端環(huán)境，遇到了很多兼容性問(wèn)題，好在我們有強(qiáng)大的技術(shù)服務(wù)團(tuán)隊(duì)支撐；

再如員工體驗(yàn)方面，對(duì)員工的權(quán)限調(diào)研不夠充分，在梳理在系統(tǒng)與應(yīng)用依賴關(guān)系時(shí)有疏忽，導(dǎo)致一些員工打開(kāi)系統(tǒng)頁(yè)面有無(wú)法顯示的應(yīng)用，遭到內(nèi)部吐槽……

通過(guò)員工進(jìn)行產(chǎn)品體驗(yàn)反饋，我們吸取教訓(xùn)、小步快走對(duì)產(chǎn)品進(jìn)行功能迭代優(yōu)化，如管理員可配置認(rèn)證會(huì)話有效期、權(quán)限可自助申請(qǐng)、多種認(rèn)證方式可供選擇、客戶端自帶診斷工具等，從而幫助更多用戶有效規(guī)避落地過(guò)程中的各種障礙。

組合拳三：細(xì)化策略，實(shí)現(xiàn)安全遠(yuǎn)程開(kāi)發(fā)

完成第二個(gè)階段的零信任落地，非研發(fā)人員的遠(yuǎn)程辦公體驗(yàn)已經(jīng)非常絲滑，但還有一個(gè)更精細(xì)化的考驗(yàn)：研發(fā)隔離網(wǎng)的零信任改造。問(wèn)題正是在于，研發(fā)網(wǎng)雖然是隔離的，但有很多風(fēng)險(xiǎn)因素，如內(nèi)部有很多安全人員做攻防、做病毒樣本分析，需要從外部傳輸數(shù)據(jù)，管控難度極大。同時(shí)，隨著深信服業(yè)務(wù)不斷發(fā)展壯大，還需要考慮離岸研發(fā)（ODC）的權(quán)限管控。

隔離網(wǎng)改造：收縮研發(fā)/離岸人員應(yīng)用訪問(wèn)權(quán)限

為了滿足研發(fā)與離岸人員的遠(yuǎn)程辦公需求，此前我們嘗試過(guò)，把云桌面VDI映射到公網(wǎng)上供研發(fā)訪問(wèn)，但這種方式存在延時(shí)，性能不足。為了平衡安全與體驗(yàn)的雙重需求，深信服開(kāi)始對(duì)研發(fā)服務(wù)器進(jìn)行改造，收縮研發(fā)人員的應(yīng)用訪問(wèn)權(quán)限，以SDP+VDI+SDP的嵌套方案，實(shí)現(xiàn)更安全的遠(yuǎn)程開(kāi)發(fā)。

研發(fā)人員與離岸人員進(jìn)入核心研發(fā)系統(tǒng)，需要經(jīng)過(guò)三道認(rèn)證：

1、在互聯(lián)網(wǎng)辦公環(huán)境下，通過(guò)SDP認(rèn)證進(jìn)入辦公內(nèi)網(wǎng)；

2、在辦公網(wǎng)環(huán)境下登陸SDP，獲得VDI訪問(wèn)權(quán)限；

3、根據(jù)不同崗位角色權(quán)限，通過(guò)SDP身份認(rèn)證，再進(jìn)入更加機(jī)密的研發(fā)應(yīng)用。

在保證數(shù)據(jù)不落地的前提下，進(jìn)入研發(fā)實(shí)驗(yàn)室，相當(dāng)于把他們的公司電腦桌面，搬到了世界上任何一個(gè)角落。其中，“研發(fā)數(shù)據(jù)不出網(wǎng)”與“零信任”的理念沖突，是最難以平衡的。但深信服探索出了一條新的道路——基于零信任動(dòng)態(tài)策略檢測(cè)計(jì)算機(jī)的環(huán)境、位置等屬性，來(lái)決策員工是否擁有資源訪問(wèn)權(quán)限，權(quán)限開(kāi)放還是限制，一切盡在掌握之中。

3張圖展示深信服全面落地零信任有多“香”

作為落地零信任的實(shí)干派，深信服可以有底氣地向更多用戶證明“零信任真香”：安全收益

業(yè)務(wù)收益

運(yùn)維收益

深信服以親身實(shí)踐為用戶帶來(lái)建設(shè)啟示

1. 統(tǒng)一規(guī)劃、分步實(shí)施

零信任落地難是老生常談的問(wèn)題，根本原因在于，步子邁得太大，迫切想要一步到位。結(jié)合當(dāng)前國(guó)內(nèi)疫情遠(yuǎn)程辦公的現(xiàn)實(shí)需求，以及深信服的實(shí)踐經(jīng)驗(yàn)，組織單位可以優(yōu)先從遠(yuǎn)程辦公場(chǎng)景切入，逐步切換到內(nèi)網(wǎng)、數(shù)據(jù)中心等場(chǎng)景的零信任建設(shè)。

2.選擇合適的技術(shù)路線

零信任理念可以通過(guò)多種技術(shù)路徑落地，深信服根據(jù)自身改造難度，選擇從SSL VPN切換SDP技術(shù)，經(jīng)過(guò)實(shí)踐在遠(yuǎn)程辦公、混合辦公場(chǎng)景已具備非常成熟的經(jīng)驗(yàn)，組織單位可以根據(jù)自身需求，選擇最適配的技術(shù)路線。

3.強(qiáng)大的服務(wù)與端點(diǎn)能力支撐

實(shí)踐證明，零信任落地是一個(gè)長(zhǎng)期且持續(xù)的過(guò)程，這個(gè)過(guò)程必定需要專業(yè)的人員輔助，組織單位應(yīng)找具備強(qiáng)大服務(wù)能力以及端點(diǎn)能力支撐的廠商。

深信服全面落地零信任，立足于“防”，發(fā)力于“早”，落腳于“實(shí)”。

至此，深信服的零信任建設(shè)一直在路上，已經(jīng)有上千家用戶與我們并肩同行，選擇了深信服零信任。目前，深信服也已將戰(zhàn)場(chǎng)逐步延伸至內(nèi)網(wǎng)辦公、數(shù)據(jù)中心等場(chǎng)景。下一步，為了持續(xù)有效落地，讓零信任成為更多用戶的選擇，深信服還會(huì)出什么招式呢？且聽(tīng)下回分解。

雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。