文章圖片


文章圖片

但由于持續收斂內網權限 ， 矯枉過正 ， 實際落地我們還是踩了不少小坑：
例如部署方面 ， 全員安裝上萬個訪問控制客戶端 ， 面對各種復雜終端環境 ， 遇到了很多兼容性問題 ， 好在我們有強大的技術服務團隊支撐；
再如員工體驗方面 ， 對員工的權限調研不夠充分 ， 在梳理在系統與應用依賴關系時有疏忽 ， 導致一些員工打開系統頁面有無法顯示的應用 ， 遭到內部吐槽……

文章圖片

通過員工進行產品體驗反饋 ， 我們吸取教訓、小步快走對產品進行功能迭代優化 ， 如管理員可配置認證會話有效期、權限可自助申請、多種認證方式可供選擇、客戶端自帶診斷工具等 ， 從而幫助更多用戶有效規避落地過程中的各種障礙 。
組合拳三：細化策略 ， 實現安全遠程開發
完成第二個階段的零信任落地 ， 非研發人員的遠程辦公體驗已經非常絲滑 ， 但還有一個更精細化的考驗：研發隔離網的零信任改造 。 問題正是在于 ， 研發網雖然是隔離的 ， 但有很多風險因素 ， 如內部有很多安全人員做攻防、做病毒樣本分析 ， 需要從外部傳輸數據 ， 管控難度極大 。 同時 ， 隨著深信服業務不斷發展壯大 ， 還需要考慮離岸研發（ODC）的權限管控 。
隔離網改造：收縮研發/離岸人員應用訪問權限
為了滿足研發與離岸人員的遠程辦公需求 ， 此前我們嘗試過 ， 把云桌面VDI映射到公網上供研發訪問 ， 但這種方式存在延時 ， 性能不足 。 為了平衡安全與體驗的雙重需求 ， 深信服開始對研發服務器進行改造 ， 收縮研發人員的應用訪問權限 ， 以SDP+VDI+SDP的嵌套方案 ， 實現更安全的遠程開發 。
研發人員與離岸人員進入核心研發系統 ， 需要經過三道認證：
1、在互聯網辦公環境下 ， 通過SDP認證進入辦公內網；
2、在辦公網環境下登陸SDP ， 獲得VDI訪問權限；
3、根據不同崗位角色權限 ， 通過SDP身份認證 ， 再進入更加機密的研發應用 。
在保證數據不落地的前提下 ， 進入研發實驗室 ， 相當于把他們的公司電腦桌面 ， 搬到了世界上任何一個角落 。 其中 ， “研發數據不出網”與“零信任”的理念沖突 ， 是最難以平衡的 。 但深信服探索出了一條新的道路——基于零信任動態策略檢測計算機的環境、位置等屬性 ， 來決策員工是否擁有資源訪問權限 ， 權限開放還是限制 ， 一切盡在掌握之中 。
3張圖展示深信服全面落地零信任有多“香”
作為落地零信任的實干派 ， 深信服可以有底氣地向更多用戶證明“零信任真香”：
安全收益

文章圖片

業務收益

文章圖片

運維收益

文章圖片

• 深秋感冒患者謹防四誤區
• 監測|深圳無本土新增病例！最新返校要求來了
• 網友|“一切為了孩子” 深圳派醫生赴高風險地區給孩子做手術
• 毛孔|深度清潔≠抗衰，好皮膚不是“灌”出來的
• 神經元|手抖就是帕金森？年輕人不會得？關于這個病，誤解太深
• 失眠|從嚴重失眠到深度好眠，我用三招兒拯救了自己的睡眠
• 社區|4月10日0-24時，深圳新增1例本土新冠病毒無癥狀感染者，在社區篩查中發現
• 我一個資深高血壓病人，十多年來是怎樣把血壓保持在80一120的
• 隔離|最新！上海本土新增914+25173，警方深夜通報！
• 為何說尊重對方勞動能加深夫妻的情愛