员工|深信服零信任的0号样板点系统|认证|资源|业务|访问|权限

难道做零信任，只是为了纵享丝滑办公体验？
好比练习武术，所谓“外练筋骨皮，内练一口气” ，别人看到的是你体格健硕，只有你自己能感受到，体质变好了，抵抗力提高了，身体倍儿棒。
归根到底，零信任“关注安全，兼顾体验” ，通过打出更简单有效的“组合拳” ，帮助企业“强身健体”的同时，满足“安全”的终极需求。
如何证明？多说无益，深信服拿自己作为0号样板点，落地零信任，用行动做最好的注解。

文章图片

说干就干，从设计到实施耗时不到1个月
故事要从一环扣一环的假设讲起。
1、假设深信服发展到1万多个员工、2-3万个终端接入节点，如何做好如此大体量的实时安全管控？
2、假设每个员工都能访问到内网核心服务器，一旦有一个端点被入侵，如何避免全网失陷？
3、假设采用区域隔离管控的传统方案，作为一家科技企业，内部技术人员很多，难免提出超过安全基线的要求，比如在深圳搭建的服务器要给北京的团队访问，区域之间的互访打破了原本的分区域隔离，如何平衡业务需求与安全底线？
除了这些假设，当时我们还看到，随着业务发展与人员增长，组织架构在不断优化调整，针对角色的权限频繁更换，访问策略难以管控， ACL逐渐“腐化” 。这个过程，也不断考验着安全运维管理的效率。
推己及人，深信服意识到，这也是很多组织单位在安全建设与运营中遇到的本质难题：
1、业务、用户、资源都在持续变化，且用户行为多样、资源漏洞难以避免，同时用户与资源、资源与资源之间的访问关系持续变化，而区域边界是离散、相对静态的；
2、在少数固定的隔离边界上，以粗颗粒度的、相对静态的安全策略，识别多种多样的用户行为、防护层出不穷的技术漏洞、维护快速变化的访问关系，不可避免遇到“问题规模大而资源投入小”的矛盾。
急用户之所急，想用户之所想。我们想为数以万计的用户提供零信任安全解决方案，就要做第一个亲身实践者。
在国内还很少零信任落地实际案例的背景下，深信服拿自己做起了“实验” ，从设计到实施耗时不到1个月，有说干就干的决心，也有稳扎稳打的技法。
组合拳一：平滑接入，聚焦访问控制与身份认证
过去，深信服内部业务系统众多，权限管理混乱，埋下了很多安全隐患；权限变更日常维护工作量大，也给运维人员带来巨大负担。
可能很多老员工都亲身体验到，第一天入职后需要找不同的人开通系统权限，岗位变更也要申请开放新权限，让人身心俱疲。

文章图片

针对这些问题，为了平滑接入零信任，第一步我们聚焦访问控制与统一身份认证。
实现人员与系统权限对接：接入零信任访问控制系统SDP
要对人员权限进行收敛和梳理，首先要通过访问控制，解决什么身份有访问内网权限的问题。
过去，移动终端只要在深信服办公室连上Wi-Fi ，不需要通过验证是否内部员工身份，就可以直接访问业务系统，存在风险可想而知。
我们通过部署零信任访问控制系统SDP ，任何人使用移动终端连接办公室Wi-Fi ，必须通过身份认证，确保只有内部员工才能访问业务系统。同时，我们还加强对终端实行基线检查，不合规终端则无法登录。