難道做零信任,隻是為了縱享絲滑辦公體驗?
好比練習國術,所謂“外練筋骨皮,内練一口氣”,别人看到的是你體格健碩,隻有你自己能感受到,體質變好了,抵抗力提高了,身體倍兒棒。
歸根到底,零信任“關注安全,兼顧體驗”,通過打出更簡單有效的“組合拳”,幫助企業“強身健體”的同時,滿足“安全”的終極需求。
如何證明?多說無益,深信服拿自己作為0号樣闆點,落地零信任,用行動做最好的注解。
說幹就幹,從設計到實施耗時不到1個月
故事要從一環扣一環的假設講起。
1、假設深信服發展到1萬多個員工、2-3萬個終端接入節點,如何做好如此大體量的實時安全管控?
2、假設每個員工都能通路到内網核心伺服器,一旦有一個端點被入侵,如何避免全網失陷?
3、假設采用區域隔離管控的傳統方案,作為一家科技企業,内部技術人員很多,難免提出超過安全基線的要求,比如在深圳搭建的伺服器要給北京的團隊通路,區域之間的互訪打破了原本的分區域隔離,如何平衡業務需求與安全底線?
除了這些假設,當時我們還看到,随着業務發展與人員增長,組織架構在不斷優化調整,針對角色的權限頻繁更換,通路政策難以管控,ACL逐漸“腐化”。這個過程,也不斷考驗着安全運維管理的效率。
推己及人,深信服意識到,這也是很多組織機關在安全建設與營運中遇到的本質難題:
1、業務、使用者、資源都在持續變化,且使用者行為多樣、資源漏洞難以避免,同時使用者與資源、資源與資源之間的通路關系持續變化,而區域邊界是離散、相對靜态的;
2、在少數固定的隔離邊界上,以粗顆粒度的、相對靜态的安全政策,識别多種多樣的使用者行為、防護層出不窮的技術漏洞、維護快速變化的通路關系,不可避免遇到“問題規模大而資源投入小”的沖突。
急使用者之所急,想使用者之所想。我們想為數以萬計的使用者提供零信任安全解決方案,就要做第一個親身實踐者。
在國内還很少零信任落地實際案例的背景下,深信服拿自己做起了“實驗”,從設計到實施耗時不到1個月,有說幹就幹的決心,也有穩紮穩打的技法。
組合拳一:平滑接入,聚焦通路控制與身份認證
過去,深信服内部業務系統衆多,權限管理混亂,埋下了很多安全隐患;權限變更日常維護工作量大,也給運維人員帶來巨大負擔。
可能很多老員工都親身體驗到,第一天入職後需要找不同的人開通系統權限,崗位變更也要申請開放新權限,讓人身心俱疲。
針對這些問題,為了平滑接入零信任,第一步我們聚焦通路控制與統一身份認證。
實作人員與系統權限對接:接入零信任通路控制系統SDP
要對人員權限進行收斂和梳理,首先要通過通路控制,解決什麼身份有通路内網權限的問題。
過去,移動終端隻要在深信服辦公室連上Wi-Fi,不需要通過驗證是否内部員工身份,就可以直接通路業務系統,存在風險可想而知。
我們通過部署零信任通路控制系統SDP,任何人使用移動終端連接配接辦公室Wi-Fi,必須通過身份認證,確定隻有内部員工才能通路業務系統。同時,我們還加強對終端實行基線檢查,不合規終端則無法登入。
而在實際落地時,由于SSL VPN以IP/IP段全端口釋出資源,把通路權限放大了,在SDP替代SSL VPN接入後,開放了不該被通路的資源,甚至是高危端口。針對具體問題具體分析,我們逐漸收斂資源權限,避免了這種情況再次發生。
為了保障員工順暢的辦公體驗,這個階段深信服優先改造移動終端的接入,同步面向員工加強零信任理念的宣貫,扭轉員工的使用習慣。
降低ACL複雜度:IDTrust 統一身份認證單點登入改造
解決了内網通路權限的問題,要徹底根治人員權限管理混亂,接下來就是通過統一身份認證,實作應用通路權限的收斂。
通過深信服統一認證平台IDTrust 對後端應用進行改造,深信服實作了超過200個業務系統的單點登入與雙因認證。員工不再需要記住多個系統賬号密碼,也規避了使用弱密碼帶來的安全問題。此外,IDTrust 的應用對接能夠實作同崗同權,即根據崗位梳理員工通路不同系統的權限,員工崗位變更,權限随之自動改變,大大提升運維管理效率。
現在,新員工入職深信服,隻需要HR在系統為新員工新增賬號,SDP 與IDTrust 自動根據組織結構和角色繼承權限。員工使用SDP賬号即可獲得應用通路權限,通過IDTrust 則可以直接通路崗位對應需要的系統應用。在員工離職時,SDP與IDTrust 還可以自動關閉相關應用與系統權限。
組合拳二:橫向拓展SDP,實作雙源雙因素認證
2021年,深信服内部開展了一次攻防演練。藍軍利用口袋助理釋出釣魚資訊,很多員工“上鈎”。但面對部署了零信任的系統,藍軍投入一半精力嘗試攻擊,都沒有取得突破。這次事件讓我們長了教訓,員工安全意識是整個安全建設最薄弱的環節,也警示我們持續收斂内網權限刻不容緩。
從SDP與SSL VPN并行,到全員部署SDP
此前深信服各區域和總部均部署SD-WAN,開通加密隧道,員工可以直接通路總部業務系統。一旦有攻擊者連接配接上分支網絡,也可以直接通路總部資源,存在一定的安全風險。
在全員安裝零信任通路控制系統SDP用戶端後,無論是總部還是區域員工,以及外包員工的通路請求,可以将原有多個暴露的業務直接收斂成一個入口,業務系統的IP、端口等資訊都被隐藏起來。
通過收縮業務暴露面,在這種情況下,即使員工被釣魚成功,因為通路到的資源有限,攻擊者很難直接進入業務系統,内網防護能力大幅提升。
從IAM單點登入,到雙源雙因素認證
深信服進而采用了IAM主認證+SDP輔認證的雙源雙因素認證方式,當員工通路業務時,重定向到深信服統一認證平台IDTrust彈出掃碼界面,新使用者認證後會彈出SDP二次增強認證,再彈出是否綁定授信終端;完成首次掃碼後,老使用者登入隻需要通過IDTrust掃碼+SDP硬體特征碼完成身份校驗。
但由于持續收斂内網權限,矯枉過正,實際落地我們還是踩了不少小坑:
例如部署方面,全員安裝上萬個通路控制用戶端,面對各種複雜終端環境,遇到了很多相容性問題,好在我們有強大的技術服務團隊支撐;
再如員工體驗方面,對員工的權限調研不夠充分,在梳理在系統與應用依賴關系時有疏忽,導緻一些員工打開系統頁面有無法顯示的應用,遭到内部吐槽……
通過員工進行産品體驗回報,我們吸取教訓、小步快走對産品進行功能疊代優化,如管理者可配置認證會話有效期、權限可自助申請、多種認證方式可供選擇、用戶端自帶診斷工具等,進而幫助更多使用者有效規避落地過程中的各種障礙。
組合拳三:細化政策,實作安全遠端開發
完成第二個階段的零信任落地,非研發人員的遠端辦公體驗已經非常絲滑,但還有一個更精細化的考驗:研發隔離網的零信任改造。問題正是在于,研發網雖然是隔離的,但有很多風險因素,如内部有很多安全人員做攻防、做病毒樣本分析,需要從外部傳輸資料,管控難度極大。同時,随着深信服業務不斷發展壯大,還需要考慮離岸研發(ODC)的權限管控。
隔離網改造:收縮研發/離岸人員應用通路權限
為了滿足研發與離岸人員的遠端辦公需求,此前我們嘗試過,把雲桌面VDI映射到公網上供研發通路,但這種方式存在延時,性能不足。為了平衡安全與體驗的雙重需求,深信服開始對研發伺服器進行改造,收縮研發人員的應用通路權限,以SDP+VDI+SDP的嵌套方案,實作更安全的遠端開發。
研發人員與離岸人員進入核心研發系統,需要經過三道認證:
1、在網際網路辦公環境下,通過SDP認證進入辦公内網;
2、在辦公網環境下登陸SDP,獲得VDI通路權限;
3、根據不同崗位角色權限,通過SDP身份認證,再進入更加機密的研發應用。
在保證資料不落地的前提下,進入研發實驗室,相當于把他們的公司電腦桌面,搬到了世界上任何一個角落。其中,“研發資料不出網”與“零信任”的理念沖突,是最難以平衡的。但深信服探索出了一條新的道路——基于零信任動态政策檢測計算機的環境、位置等屬性,來決策員工是否擁有資源通路權限,權限開放還是限制,一切盡在掌握之中。
3張圖展示深信服全面落地零信任有多“香”
作為落地零信任的實幹派,深信服可以有底氣地向更多使用者證明“零信任真香”:安全收益
業務收益
運維收益
深信服以親身實踐為使用者帶來建設啟示
1. 統一規劃、分步實施
零信任落地難是老生常談的問題,根本原因在于,步子邁得太大,迫切想要一步到位。結合目前國内疫情遠端辦公的現實需求,以及深信服的實踐經驗,組織機關可以優先從遠端辦公場景切入,逐漸切換到内網、資料中心等場景的零信任建設。
2.選擇合适的技術路線
零信任理念可以通過多種技術路徑落地,深信服根據自身改造難度,選擇從SSL VPN切換SDP技術,經過實踐在遠端辦公、混合辦公場景已具備非常成熟的經驗,組織機關可以根據自身需求,選擇最适配的技術路線。
3.強大的服務與端點能力支撐
實踐證明,零信任落地是一個長期且持續的過程,這個過程必定需要專業的人員輔助,組織機關應找具備強大服務能力以及端點能力支撐的廠商。
深信服全面落地零信任,立足于“防”,發力于“早”,落腳于“實”。
至此,深信服的零信任建設一直在路上,已經有上千家使用者與我們并肩同行,選擇了深信服零信任。目前,深信服也已将戰場逐漸延伸至内網辦公、資料中心等場景。下一步,為了持續有效落地,讓零信任成為更多使用者的選擇,深信服還會出什麼招式呢?且聽下回分解。
雷峰網