2

落地“实干派”!看深信服内部零信任改造历程

 2 years ago
source link: http://www.ciotimes.com/IT/208792.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

落地“实干派”!看深信服内部零信任改造历程 - IT业界_CIO时代网 - CIO时代—新技术、新商业、新管理

落地“实干派”!看深信服内部零信任改造历程

2022-04-12 16:53:29  来源:

摘要:落地“实干派”!看深信服内部零信任改造历程 关键词: 零信任
难道做零信任,只是为了纵享丝滑办公体验?

好比练习武术,所谓“外练筋骨皮,内练一口气”,别人看到的是你体格健硕,只有你自己能感受到,体质变好了,抵抗力提高了,身体倍儿棒。

归根到底,零信任“关注安全,兼顾体验”,通过打出更简单有效的“组合拳”,帮助企业“强身健体”的同时,满足“安全”的终极需求。

如何证明?多说无益,深信服拿自己作为0号样板点,落地零信任,用行动做最好的注解。

20220412045349529.jpeg

说干就干,从设计到实施耗时不到1个月

故事要从一环扣一环的假设讲起。

1、假设深信服发展到1万多个员工、2-3万个终端接入节点,如何做好如此大体量的实时安全管控?

2、假设每个员工都能访问到内网核心服务器,一旦有一个端点被入侵,如何避免全网失陷?

3、假设采用区域隔离管控的传统方案,作为一家科技企业,内部技术人员很多,难免提出超过安全基线的要求,比如在深圳搭建的服务器要给北京的团队访问,区域之间的互访打破了原本的分区域隔离,如何平衡业务需求与安全底线?

除了这些假设,当时我们还看到,随着业务发展与人员增长,组织架构在不断优化调整,针对角色的权限频繁更换,访问策略难以管控,ACL逐渐“腐化”。这个过程,也不断考验着安全运维管理的效率。

推己及人,深信服意识到,这也是很多组织单位在安全建设与运营中遇到的本质难题:

1、业务、用户、资源都在持续变化,且用户行为多样、资源漏洞难以避免,同时用户与资源、资源与资源之间的访问关系持续变化,而区域边界是离散、相对静态的;

2、在少数固定的隔离边界上,以粗颗粒度的、相对静态的安全策略,识别多种多样的用户行为、防护层出不穷的技术漏洞、维护快速变化的访问关系,不可避免遇到“问题规模大而资源投入小”的矛盾。

急用户之所急,想用户之所想。我们想为数以万计的用户提供零信任安全解决方案,就要做第一个亲身实践者。

在国内还很少零信任落地实际案例的背景下,深信服拿自己做起了“实验”,从设计到实施耗时不到1个月,有说干就干的决心,也有稳扎稳打的技法。

组合拳一:平滑接入,聚焦访问控制与身份认证

过去,深信服内部业务系统众多,权限管理混乱,埋下了很多安全隐患;权限变更日常维护工作量大,也给运维人员带来巨大负担。

可能很多老员工都亲身体验到,第一天入职后需要找不同的人开通系统权限,岗位变更也要申请开放新权限,让人身心俱疲。

20220412045350513.jpeg

针对这些问题,为了平滑接入零信任,第一步我们聚焦访问控制与统一身份认证。

实现人员与系统权限对接:接入零信任访问控制系统SDP

要对人员权限进行收敛和梳理,首先要通过访问控制,解决什么身份有访问内网权限的问题。

过去,移动终端只要在深信服办公室连上Wi-Fi,不需要通过验证是否内部员工身份,就可以直接访问业务系统,存在风险可想而知。

我们通过部署零信任访问控制系统SDP,任何人使用移动终端连接办公室Wi-Fi,必须通过身份认证,确保只有内部员工才能访问业务系统。同时,我们还加强对终端实行基线检查,不合规终端则无法登录。

20220412045350942.png

20220412045350242.png

而在实际落地时,由于SSL VPN以IP/IP段全端口发布资源,把访问权限放大了,在SDP替代SSL VPN接入后,开放了不该被访问的资源,甚至是高危端口。针对具体问题具体分析,我们逐步收敛资源权限,避免了这种情况再次发生。

为了保障员工顺畅的办公体验,这个阶段深信服优先改造移动终端的接入,同步面向员工加强零信任理念的宣贯,扭转员工的使用习惯。

20220412045354772.png

20220412045354997.png

降低ACL复杂度:IDTrust 统一身份认证单点登录改造

解决了内网访问权限的问题,要彻底根治人员权限管理混乱,接下来就是通过统一身份认证,实现应用访问权限的收敛。

通过深信服统一认证平台IDTrust 对后端应用进行改造,深信服实现了超过200个业务系统的单点登录与双因认证。员工不再需要记住多个系统账号密码,也规避了使用弱密码带来的安全问题。此外,IDTrust 的应用对接能够实现同岗同权,即根据岗位梳理员工访问不同系统的权限,员工岗位变更,权限随之自动改变,大大提升运维管理效率。

20220412045357971.png

20220412045357780.png

现在,新员工入职深信服,只需要HR在系统为新员工注册账号,SDP 与IDTrust 自动根据组织结构和角色继承权限。员工使用SDP账号即可获得应用访问权限,通过IDTrust 则可以直接访问岗位对应需要的系统应用。在员工离职时,SDP与IDTrust 还可以自动关闭相关应用与系统权限。

组合拳二:横向拓展SDP,实现双源双因素认证

2021年,深信服内部开展了一次攻防演练。蓝军利用口袋助理发布钓鱼信息,很多员工“上钩”。但面对部署了零信任的系统,蓝军投入一半精力尝试攻击,都没有取得突破。这次事件让我们长了教训,员工安全意识是整个安全建设最薄弱的环节,也警示我们持续收敛内网权限刻不容缓。

20220412045403373.jpeg

20220412045403650.png

从SDP与SSL VPN并行,到全员部署SDP

此前深信服各区域和总部均部署SD-WAN,开通加密隧道,员工可以直接访问总部业务系统。一旦有攻击者连接上分支网络,也可以直接访问总部资源,存在一定的安全风险。

在全员安装零信任访问控制系统SDP客户端后,无论是总部还是区域员工,以及外包员工的访问请求,可以将原有多个暴露的业务直接收敛成一个入口,业务系统的IP、端口等信息都被隐藏起来。

通过收缩业务暴露面,在这种情况下,即使员工被钓鱼成功,因为访问到的资源有限,攻击者很难直接进入业务系统,内网防护能力大幅提升。

从IAM单点登录,到双源双因素认证

在第一阶段,深信服单独依靠SSL VPN或IDTrust一套系统进行认证,一旦出现身份冒用,尽管部署零信任访问控制系统SDP,攻击者依然可以趁虚而入。

深信服进而采用了IAM主认证+SDP辅认证的双源双因素认证方式,当员工访问业务时,重定向到深信服统一认证平台IDTrust弹出扫码界面,新用户认证后会弹出SDP二次增强认证,再弹出是否绑定授信终端;完成首次扫码后,老用户登录只需要通过IDTrust扫码+SDP硬件特征码完成身份校验。

20220412045404401.png

20220412045404366.png20220412045404927.png

20220412045405841.png

但由于持续收敛内网权限,矫枉过正,实际落地我们还是踩了不少小坑:

例如部署方面,全员安装上万个访问控制客户端,面对各种复杂终端环境,遇到了很多兼容性问题,好在我们有强大的技术服务团队支撑;

再如员工体验方面,对员工的权限调研不够充分,在梳理在系统与应用依赖关系时有疏忽,导致一些员工打开系统页面有无法显示的应用,遭到内部吐槽……

20220412045405528.jpeg

通过员工进行产品体验反馈,我们吸取教训、小步快走对产品进行功能迭代优化,如管理员可配置认证会话有效期、权限可自助申请、多种认证方式可供选择、客户端自带诊断工具等,从而帮助更多用户有效规避落地过程中的各种障碍。

组合拳三:细化策略,实现安全远程开发

完成第二个阶段的零信任落地,非研发人员的远程办公体验已经非常丝滑,但还有一个更精细化的考验:研发隔离网的零信任改造。问题正是在于,研发网虽然是隔离的,但有很多风险因素,如内部有很多安全人员做攻防、做病毒样本分析,需要从外部传输数据,管控难度极大。同时,随着深信服业务不断发展壮大,还需要考虑离岸研发(ODC)的权限管控。

隔离网改造:收缩研发/离岸人员应用访问权限

为了满足研发与离岸人员的远程办公需求,此前我们尝试过,把云桌面VDI映射到公网上供研发访问,但这种方式存在延时,性能不足。为了平衡安全与体验的双重需求,深信服开始对研发服务器进行改造,收缩研发人员的应用访问权限,以SDP+VDI+SDP的嵌套方案,实现更安全的远程开发。

研发人员与离岸人员进入核心研发系统,需要经过三道认证:

1、在互联网办公环境下,通过SDP认证进入办公内网;

2、在办公网环境下登陆SDP,获得VDI访问权限;

3、根据不同岗位角色权限,通过SDP身份认证,再进入更加机密的研发应用。

在保证数据不落地的前提下,进入研发实验室,相当于把他们的公司电脑桌面,搬到了世界上任何一个角落。其中,“研发数据不出网”与“零信任”的理念冲突,是最难以平衡的。但深信服探索出了一条新的道路——基于零信任动态策略检测计算机的环境、位置等属性,来决策员工是否拥有资源访问权限,权限开放还是限制,一切尽在掌握之中。

3张图展示深信服全面落地零信任有多“香”

作为落地零信任的实干派,深信服可以有底气地向更多用户证明“零信任真香”:

20220412045405883.png安全收益

20220412045405413.jpeg
20220412045406483.jpeg
20220412045406607.jpeg

深信服以亲身实践为用户带来建设启示

1. 统一规划、分步实施

零信任落地难是老生常谈的问题,根本原因在于,步子迈得太大,迫切想要一步到位。结合当前国内疫情远程办公的现实需求,以及深信服的实践经验,组织单位可以优先从远程办公场景切入,逐步切换到内网、数据中心等场景的零信任建设。

2.选择合适的技术路线

零信任理念可以通过多种技术路径落地,深信服根据自身改造难度,选择从SSL VPN切换SDP技术,经过实践在远程办公、混合办公场景已具备非常成熟的经验,组织单位可以根据自身需求,选择最适配的技术路线。

3.强大的服务与端点能力支撑

实践证明,零信任落地是一个长期且持续的过程,这个过程必定需要专业的人员辅助,组织单位应找具备强大服务能力以及端点能力支撑的厂商。

深信服全面落地零信任,立足于“防”,发力于“早”,落脚于“实”。

至此,深信服的零信任建设一直在路上,已经有上千家用户与我们并肩同行,选择了深信服零信任。目前,深信服也已将战场逐步延伸至内网办公、数据中心等场景。下一步,为了持续有效落地,让零信任成为更多用户的选择,深信服还会出什么招式呢?且听下回分解。

第三十四届CIO班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:baxuedong

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK