2020,一場突如其來的新冠疫情,引發了史上最大規模的遠端辦公。疫情讓安全問題暴露得更加突出,與疫情的對抗也是阿裡雲安全的戰場。
9月18日,2020雲栖大會技術重磅釋出專場,阿裡巴巴副總裁、阿裡雲智能事業部總經理肖力釋出“遠端辦公零信任解決方案”。
方案基于阿裡巴巴集團十幾萬員工每天大規模遠端接入的安全響應,以及疫情期間服務衆多客戶緊急擴縮容的安全實踐落地,幫助百萬雲上使用者了解如何基于不斷變化的網絡内動态因素建構一套成熟的安全體系,進而體驗到與阿裡巴巴同等能力的安全服務。
疫情催化遠端辦公常态化
上半年,遠端辦公、遠端授課等需求在短時間内迅速增加,而種種迹象也顯示,這一現象或将常态化。
- Gartner調研顯示,在新冠疫情之後,有74%的企業将至少5%的前現場從業人員,轉移到永久性的遠端職位。
現代複雜商業決定了,遠端辦公早已不局限于傳統意義的通路公司OA系統、審批系統、公司郵件、視訊會議等常見需求,還包括遠端開發、遠端測試、遠端運維、遠端客服等更加複雜的場景。
當典型辦公場景面臨安全挑戰
全球累計使用者數量突破4億的猿輔導,員工總數已達三萬餘人。疫情期間,響應“停課不停學”的号召,大量員工需要遠端辦公。
每日需要接入的裝置逾十萬台,内部IT建設越來越複雜,安全隐患逐漸顯現,擺在面前的是衆多的難題:
·員工衆多而安全力量有限,員工入職、調崗、離職權限管理壓力大;
·辦公網沒有綜合管控體系,一旦出現後門存在資料洩露風險;
·各應用系統賬戶體系分散,系統出現卡頓;
·員工辦公需要在20多個應用間切換,重複驗證體驗感差;
·大批量使用iPad移動終端授課,系統無法自動識别并進行管控;
·企業應用的雲化和 SAAS 化,環境更動态多變;
·......
阿裡雲遠端辦公零信任解決方案
阿裡雲遠端辦公零信任解決方案以可信、動态為核心,經過可信認證體系的IP、裝置、應用,在進入辦公網絡進行權限擷取和資料調用時,憑借可信認證擷取權限,實作動态安全檢測防護。
整個方案包含了三大核心子產品:遠端終端安全管理、雲端動态決策管控、統一可信網絡。
遠端終端安全管理
對遠端終端進行可信認證以及身份管理,通過認證的裝置才能通路内部系統,系統同時采集分析終端安全資料,實時而非靜态的判斷入網裝置的安全性。
雲端動态決策管控
對通路者資訊進行統一的高強度安全認證。采用包括人臉識别、指紋識别、人聲識别、動态二維碼、手機短信、令牌等交叉安全認證方式來提升整個身份認證的強度。同時,系統會以智能模型分析可信驗證結果,綜合判斷通路身份的可信等級,實作使用者權限的動态配置設定。
例如,若某位員工偏離了日常登入位址,突然有一天顯示海外登入,那麼系統就會給出不同的身份認證,比對不同的通路權限。
統一可信網絡
通過IDaaS産品打通了不同應用系統間的賬戶認證和授權體系,通過智能管理中心和多種安全管控節點,實作集中權限管理以及全面審計能力,使企業的所有應用系統可信接入辦公網絡,幫助企業提升安全性與便利性。
阿裡雲遠端辦公零信任解決方案典型應用場景
猿輔導建構全新辦公安全體系
為了實作完善的辦公安全性與業務流暢度、員工體驗感的統一,阿裡雲的遠端辦公零信任解決方案進入猿輔導的視野。
自動覆寫所有員工關聯管理
基于IDaaS平台的集中式身份管理服務,阿裡雲為猿輔導建立統一身份管理中心,基于裝置和人的綁定關系,批量覆寫所有員工的關聯管理,全面提升通路情況的能見度。
細粒度硬體裝置入網組網管理
猿輔導網絡直播課程中,為保證網絡傳輸速度,提出了需要通過有線網絡連接配接大規模大批量使用iPad的終端資産管理和網絡安全需求,阿裡雲通過控制入網組網,實作了對移動裝置轉接頭入網情況的突破性識别,同時監控裝置狀态,針對裝置可能出現的異常狀态做好動态分級的權限管理,結合終端安全檢測與殺毒,實作全生态的移動裝置管理。
跨應用免驗證高速切換提升體驗
IDaaS平台内預置了多種模闆應用,同時平台自帶開發者服務功能子產品,支援應用內建,結合上網行為管理和終端資料防洩漏能力,高效、安全地實作在猿輔導20多個應用間的便捷切換和統一管理。
持續監控確定全鍊路可信
分段、隔離和控制網絡的能力,仍然是零信任網絡安全的關鍵點,阿裡雲遠端辦公零信任政策組合利用了多種現有技術和方法,基于微隔離技術的網絡分段,輔以持續的通路控制、安全監控和審計,幫助猿輔導實作遠端通路過程中網絡鍊路的可信。
方案通過最小授權原則,對進入系統的任何人和動作進行持續的安全監控和審計,不再以邊界防護、IP信任模式來判斷安全性,實作自适應的安全防護。使用者無需配置内網準入和VPN,使用公網即可接入辦公網絡,避免了繁瑣配置和技術本身限制帶來的網絡延遲,提升辦公、業務效率和使用者體驗。
成熟的遠端辦公零信任解決方案三大特征:
特征一:經過大型實戰場景驗證
經曆過多年的“雙11”和 COVID-19 疫情的大考,阿裡雲遠端辦公零信任解決方案在日常辦公中持續不斷優化對使用者身份管理、裝置管理、應用和網絡管理的實踐,成功支撐來自阿裡巴巴集團十幾萬員工、數十萬台裝置的遠端辦公需求。
特征二、面對流量峰值實作業務高效、員工無感
承載過諸如雙十一期間一天抵禦峰值超百億次攻擊,辦公系統與業務系統仍不受影響的考驗,阿裡雲幫助集團内部員工實作無感、平滑、高效的辦公網絡通路。這種基于多年實踐積累的豐富經驗,在不同行業實作了進一步的精準落地。
特征三、了解雲端環境靈活應對複雜場景
“雲化”和龐大分支機構等情況使安全邊界逐漸消融,以邊界安全為尺度的防護理念,正疲于應對靈活動态的使用标準,和對安全更加嚴苛的要求:
·所有的裝置、使用者和網絡流量都應該經過認證和授權;
·安全的政策必須是動态的,并基于盡可能多的資料源計算而來。
“雲釘一體”是阿裡雲遠端辦公零信任解決方案在數字新基建的大環境下,賦能行業的重要實踐,已經為政務、教育、醫療、新零售、制造等多行業提供多元度的解決方案。
方案基于阿裡雲安全自身辦公網絡管理在零信任架構實踐中的精細化打磨和落地經驗,為不同行業多樣化的業務類型和作業系統提出了定制化的政策設計,完美适配複雜辦公場景下職場分部多、辦公位置不确定、協作廠商多、網際網路應用使用量大、資産資訊龐雜和業務資料規模大等架構特點,幫助各行業企業提升資産資訊、使用者資訊和業務資料的能見度,實作在遠端辦公場景的動态、智能、無感防護。