難道做零信任,只是為了縱享絲滑辦公體驗?
好比練習武術,所謂“外練筋骨皮,內練一口氣”,別人看到的是你體格健碩,只有你自己能感受到,體質變好了,抵抗力提高了,身體倍兒棒。
歸根到底,零信任“關注安全,兼顧體驗”,通過打出更簡單有效的“組合拳”,幫助企業“強身健體”的同時,滿足“安全”的終極需求。
如何證明?多說無益,深信服拿自己作為0號樣板點,落地零信任,用行動做最好的注解。
說干就干,從設計到實施耗時不到1個月
故事要從一環扣一環的假設講起。
1、假設深信服發展到1萬多個員工、2-3萬個終端接入節點,如何做好如此大體量的實時安全管控?
2、假設每個員工都能訪問到內網核心服務器,一旦有一個端點被入侵,如何避免全網失陷?
3、假設采用區域隔離管控的傳統方案,作為一家科技企業,內部技術人員很多,難免提出超過安全基線的要求,比如在深圳搭建的服務器要給北京的團隊訪問,區域之間的互訪打破了原本的分區域隔離,如何平衡業務需求與安全底線?
除了這些假設,當時我們還看到,隨著業務發展與人員增長,組織架構在不斷優化調整,針對角色的權限頻繁更換,訪問策略難以管控,ACL逐漸“腐化”。這個過程,也不斷考驗著安全運維管理的效率。
推己及人,深信服意識到,這也是很多組織單位在安全建設與運營中遇到的本質難題:
1、業務、用戶、資源都在持續變化,且用戶行為多樣、資源漏洞難以避免,同時用戶與資源、資源與資源之間的訪問關系持續變化,而區域邊界是離散、相對靜態的;
2、在少數固定的隔離邊界上,以粗顆粒度的、相對靜態的安全策略,識別多種多樣的用戶行為、防護層出不窮的技術漏洞、維護快速變化的訪問關系,不可避免遇到“問題規模大而資源投入小”的矛盾。
急用戶之所急,想用戶之所想。我們想為數以萬計的用戶提供零信任安全解決方案,就要做第一個親身實踐者。
在國內還很少零信任落地實際案例的背景下,深信服拿自己做起了“實驗”,從設計到實施耗時不到1個月,有說干就干的決心,也有穩扎穩打的技法。
組合拳一:平滑接入,聚焦訪問控制與身份認證
過去,深信服內部業務系統眾多,權限管理混亂,埋下了很多安全隱患;權限變更日常維護工作量大,也給運維人員帶來巨大負擔。
可能很多老員工都親身體驗到,第一天入職后需要找不同的人開通系統權限,崗位變更也要申請開放新權限,讓人身心俱疲。
針對這些問題,為了平滑接入零信任,第一步我們聚焦訪問控制與統一身份認證。
實現人員與系統權限對接:接入零信任訪問控制系統SDP
要對人員權限進行收斂和梳理,首先要通過訪問控制,解決什么身份有訪問內網權限的問題。
過去,移動終端只要在深信服辦公室連上Wi-Fi,不需要通過驗證是否內部員工身份,就可以直接訪問業務系統,存在風險可想而知。
我們通過部署零信任訪問控制系統SDP,任何人使用移動終端連接辦公室Wi-Fi,必須通過身份認證,確保只有內部員工才能訪問業務系統。同時,我們還加強對終端實行基線檢查,不合規終端則無法登錄。
而在實際落地時,由于SSL VPN以IP/IP段全端口發布資源,把訪問權限放大了,在SDP替代SSL VPN接入后,開放了不該被訪問的資源,甚至是高危端口。針對具體問題具體分析,我們逐步收斂資源權限,避免了這種情況再次發生。
為了保障員工順暢的辦公體驗,這個階段深信服優先改造移動終端的接入,同步面向員工加強零信任理念的宣貫,扭轉員工的使用習慣。
降低ACL復雜度:IDTrust 統一身份認證單點登錄改造
解決了內網訪問權限的問題,要徹底根治人員權限管理混亂,接下來就是通過統一身份認證,實現應用訪問權限的收斂。
通過深信服統一認證平臺IDTrust 對后端應用進行改造,深信服實現了超過200個業務系統的單點登錄與雙因認證。員工不再需要記住多個系統賬號密碼,也規避了使用弱密碼帶來的安全問題。此外,IDTrust 的應用對接能夠實現同崗同權,即根據崗位梳理員工訪問不同系統的權限,員工崗位變更,權限隨之自動改變,大大提升運維管理效率。
現在,新員工入職深信服,只需要HR在系統為新員工注冊賬號,SDP 與IDTrust 自動根據組織結構和角色繼承權限。員工使用SDP賬號即可獲得應用訪問權限,通過IDTrust 則可以直接訪問崗位對應需要的系統應用。在員工離職時,SDP與IDTrust 還可以自動關閉相關應用與系統權限。
組合拳二:橫向拓展SDP,實現雙源雙因素認證
2021年,深信服內部開展了一次攻防演練。藍軍利用口袋助理發布釣魚信息,很多員工“上鉤”。但面對部署了零信任的系統,藍軍投入一半精力嘗試攻擊,都沒有取得突破。這次事件讓我們長了教訓,員工安全意識是整個安全建設最薄弱的環節,也警示我們持續收斂內網權限刻不容緩。
從SDP與SSL VPN并行,到全員部署SDP
此前深信服各區域和總部均部署SD-WAN,開通加密隧道,員工可以直接訪問總部業務系統。一旦有攻擊者連接上分支網絡,也可以直接訪問總部資源,存在一定的安全風險。
在全員安裝零信任訪問控制系統SDP客戶端后,無論是總部還是區域員工,以及外包員工的訪問請求,可以將原有多個暴露的業務直接收斂成一個入口,業務系統的IP、端口等信息都被隱藏起來。
通過收縮業務暴露面,在這種情況下,即使員工被釣魚成功,因為訪問到的資源有限,攻擊者很難直接進入業務系統,內網防護能力大幅提升。
從IAM單點登錄,到雙源雙因素認證
在第一階段,深信服單獨依靠SSL VPN或IDTrust一套系統進行認證,一旦出現身份冒用,盡管部署零信任訪問控制系統SDP,攻擊者依然可以趁虛而入。
深信服進而采用了IAM主認證+SDP輔認證的雙源雙因素認證方式,當員工訪問業務時,重定向到深信服統一認證平臺IDTrust彈出掃碼界面,新用戶認證后會彈出SDP二次增強認證,再彈出是否綁定授信終端;完成首次掃碼后,老用戶登錄只需要通過IDTrust掃碼+SDP硬件特征碼完成身份校驗。
但由于持續收斂內網權限,矯枉過正,實際落地我們還是踩了不少小坑:
例如部署方面,全員安裝上萬個訪問控制客戶端,面對各種復雜終端環境,遇到了很多兼容性問題,好在我們有強大的技術服務團隊支撐;
再如員工體驗方面,對員工的權限調研不夠充分,在梳理在系統與應用依賴關系時有疏忽,導致一些員工打開系統頁面有無法顯示的應用,遭到內部吐槽……
通過員工進行產品體驗反饋,我們吸取教訓、小步快走對產品進行功能迭代優化,如管理員可配置認證會話有效期、權限可自助申請、多種認證方式可供選擇、客戶端自帶診斷工具等,從而幫助更多用戶有效規避落地過程中的各種障礙。
組合拳三:細化策略,實現安全遠程開發
完成第二個階段的零信任落地,非研發人員的遠程辦公體驗已經非常絲滑,但還有一個更精細化的考驗:研發隔離網的零信任改造。問題正是在于,研發網雖然是隔離的,但有很多風險因素,如內部有很多安全人員做攻防、做病毒樣本分析,需要從外部傳輸數據,管控難度極大。同時,隨著深信服業務不斷發展壯大,還需要考慮離岸研發(ODC)的權限管控。
隔離網改造:收縮研發/離岸人員應用訪問權限
為了滿足研發與離岸人員的遠程辦公需求,此前我們嘗試過,把云桌面VDI映射到公網上供研發訪問,但這種方式存在延時,性能不足。為了平衡安全與體驗的雙重需求,深信服開始對研發服務器進行改造,收縮研發人員的應用訪問權限,以SDP+VDI+SDP的嵌套方案,實現更安全的遠程開發。
研發人員與離岸人員進入核心研發系統,需要經過三道認證:
1、在互聯網辦公環境下,通過SDP認證進入辦公內網;
2、在辦公網環境下登陸SDP,獲得VDI訪問權限;
3、根據不同崗位角色權限,通過SDP身份認證,再進入更加機密的研發應用。
在保證數據不落地的前提下,進入研發實驗室,相當于把他們的公司電腦桌面,搬到了世界上任何一個角落。其中,“研發數據不出網”與“零信任”的理念沖突,是最難以平衡的。但深信服探索出了一條新的道路——基于零信任動態策略檢測計算機的環境、位置等屬性,來決策員工是否擁有資源訪問權限,權限開放還是限制,一切盡在掌握之中。
3張圖展示深信服全面落地零信任有多“香”
作為落地零信任的實干派,深信服可以有底氣地向更多用戶證明“零信任真香”:
安全收益
業務收益
運維收益
深信服以親身實踐為用戶帶來建設啟示
1. 統一規劃、分步實施
零信任落地難是老生常談的問題,根本原因在于,步子邁得太大,迫切想要一步到位。結合當前國內疫情遠程辦公的現實需求,以及深信服的實踐經驗,組織單位可以優先從遠程辦公場景切入,逐步切換到內網、數據中心等場景的零信任建設。
2.選擇合適的技術路線
零信任理念可以通過多種技術路徑落地,深信服根據自身改造難度,選擇從SSL VPN切換SDP技術,經過實踐在遠程辦公、混合辦公場景已具備非常成熟的經驗,組織單位可以根據自身需求,選擇最適配的技術路線。
3.強大的服務與端點能力支撐
實踐證明,零信任落地是一個長期且持續的過程,這個過程必定需要專業的人員輔助,組織單位應找具備強大服務能力以及端點能力支撐的廠商。
深信服全面落地零信任,立足于“防”,發力于“早”,落腳于“實”。
至此,深信服的零信任建設一直在路上,已經有上千家用戶與我們并肩同行,選擇了深信服零信任。目前,深信服也已將戰場逐步延伸至內網辦公、數據中心等場景。下一步,為了持續有效落地,讓零信任成為更多用戶的選擇,深信服還會出什么招式呢?且聽下回分解。
