難道做零信任 ， 只是為了縱享絲滑辦公體驗？
好比練習武術 ， 所謂“外練筋骨皮 ， 內練一口氣” ， 別人看到的是你體格健碩 ， 只有你自己能感受到 ， 體質變好了 ， 抵抗力提高了 ， 身體倍兒棒 。
歸根到底 ， 零信任“關注安全 ， 兼顧體驗” ， 通過打出更簡單有效的“組合拳” ， 幫助企業“強身健體”的同時 ， 滿足“安全”的終極需求 。
如何證明？多說無益 ， 深信服拿自己作為0號樣板點 ， 落地零信任 ， 用行動做最好的注解 。

文章圖片

說干就干 ， 從設計到實施耗時不到1個月
故事要從一環扣一環的假設講起 。
1、假設深信服發展到1萬多個員工、2-3萬個終端接入節點 ， 如何做好如此大體量的實時安全管控？
2、假設每個員工都能訪問到內網核心服務器 ， 一旦有一個端點被入侵 ， 如何避免全網失陷？
3、假設采用區域隔離管控的傳統方案 ， 作為一家科技企業 ， 內部技術人員很多 ， 難免提出超過安全基線的要求 ， 比如在深圳搭建的服務器要給北京的團隊訪問 ， 區域之間的互訪打破了原本的分區域隔離 ， 如何平衡業務需求與安全底線？
除了這些假設 ， 當時我們還看到 ， 隨著業務發展與人員增長 ， 組織架構在不斷優化調整 ， 針對角色的權限頻繁更換 ， 訪問策略難以管控 ， ACL逐漸“腐化” 。 這個過程 ， 也不斷考驗著安全運維管理的效率 。
推己及人 ， 深信服意識到 ， 這也是很多組織單位在安全建設與運營中遇到的本質難題：
1、業務、用戶、資源都在持續變化 ， 且用戶行為多樣、資源漏洞難以避免 ， 同時用戶與資源、資源與資源之間的訪問關系持續變化 ， 而區域邊界是離散、相對靜態的；
2、在少數固定的隔離邊界上 ， 以粗顆粒度的、相對靜態的安全策略 ， 識別多種多樣的用戶行為、防護層出不窮的技術漏洞、維護快速變化的訪問關系 ， 不可避免遇到“問題規模大而資源投入小”的矛盾 。
急用戶之所急 ， 想用戶之所想 。 我們想為數以萬計的用戶提供零信任安全解決方案 ， 就要做第一個親身實踐者 。
在國內還很少零信任落地實際案例的背景下 ， 深信服拿自己做起了“實驗” ， 從設計到實施耗時不到1個月 ， 有說干就干的決心 ， 也有穩扎穩打的技法 。
組合拳一：平滑接入 ， 聚焦訪問控制與身份認證
過去 ， 深信服內部業務系統眾多 ， 權限管理混亂 ， 埋下了很多安全隱患；權限變更日常維護工作量大 ， 也給運維人員帶來巨大負擔 。
可能很多老員工都親身體驗到 ， 第一天入職后需要找不同的人開通系統權限 ， 崗位變更也要申請開放新權限 ， 讓人身心俱疲 。

文章圖片

針對這些問題 ， 為了平滑接入零信任 ， 第一步我們聚焦訪問控制與統一身份認證 。
實現人員與系統權限對接：接入零信任訪問控制系統SDP
要對人員權限進行收斂和梳理 ， 首先要通過訪問控制 ， 解決什么身份有訪問內網權限的問題 。
過去 ， 移動終端只要在深信服辦公室連上Wi-Fi ， 不需要通過驗證是否內部員工身份 ， 就可以直接訪問業務系統 ， 存在風險可想而知 。
我們通過部署零信任訪問控制系統SDP ， 任何人使用移動終端連接辦公室Wi-Fi ， 必須通過身份認證 ， 確保只有內部員工才能訪問業務系統 。 同時 ， 我們還加強對終端實行基線檢查 ， 不合規終端則無法登錄 。

• 深秋感冒患者謹防四誤區
• 監測|深圳無本土新增病例！最新返校要求來了
• 網友|“一切為了孩子” 深圳派醫生赴高風險地區給孩子做手術
• 毛孔|深度清潔≠抗衰，好皮膚不是“灌”出來的
• 神經元|手抖就是帕金森？年輕人不會得？關于這個病，誤解太深
• 失眠|從嚴重失眠到深度好眠，我用三招兒拯救了自己的睡眠
• 社區|4月10日0-24時，深圳新增1例本土新冠病毒無癥狀感染者，在社區篩查中發現
• 我一個資深高血壓病人，十多年來是怎樣把血壓保持在80一120的
• 隔離|最新！上海本土新增914+25173，警方深夜通報！
• 為何說尊重對方勞動能加深夫妻的情愛