由企业网D1Net、信众智(CIO智力输出及社交平台)联合主办的2022 CIOC全国CIO大会于7月22日-24日在海南博鳌•文昌盛大闭幕。在7月22日的主论坛上,深信服副总裁陈小亮分享了“‘零信任+桌面云’如何平衡安全与生产力”的主题演讲。
据悉,深信服早已在公司全面推行“零信任+桌面云”的数字化工作空间方案,让员工即使在家也能正常开展工作。该方案通过零信任安全架构、虚拟桌面及虚拟应用、UEM沙箱等技术的相互融合,打造一个安全的数字化工作平台,既能提供高效办公体验,又能确保访问业务的端到端安全。
该方案可助力企业级客户实现三大价值:一是任何环境、任何地点一致的办公体验;二是持续评估、动态控制的安全守护;三是自助服务+极简运维,让IT响应更及时。随后,陈小亮介绍了该方案的建设框架和核心能力。
深信服副总裁 陈小亮
深信服人居家后,如何高效办公?
2022年3月深圳疫情期间,由于需要居家办公,许多深圳人选择连夜将电脑从公司搬回家。深信服总部设在深圳,受疫情影响深圳地区的全体员工需要居家办公。而与其他公司不同的是,深信服的员工并不需要搬电脑,也不需要拷贝数据,关键在于公司早已全面推行“零信任+桌面云”的数字化工作空间,让员工即使在家也能正常开展工作。
据统计,深信服员工居家办公后,最高峰时零信任远程接入并发用户数超过1万人(包含全国非深圳地区同事),深圳全体研发人员采用桌面云来实现远程开发,日平均3048个桌面云接入,从代码提交数量以及每日CI/CD的构建数量来看,工作效率达到了非远程办公的95%以上,而且期间并未发生任何一起安全事件。
受疫情的催化作用,混合办公、随处办公以及分布式的办公模式已经成为职场中的常态,尤其受年轻人的青睐。携程早在2021年7月便已开始进行混合办公试点,1600多名携程员工每周有两个工作日可以选择在任何地点办公。试点数据表明,员工的离职率降低了三分之一,将近60%的员工强烈支持混合办公,而且工作成果、工作效率相比过去并没有太大影响。
在混合办公的趋势下,接入公司网络的设备五花八门,接入网络、接入地点、接入方式的多样化使整体办公环境的复杂程度翻倍。同时,随着云化、移动化或数字化的兴起,企业业务变得更加开放,企业的数据资产越来越分散,网络边界、物理安全边界日益模糊,给企业带来了巨大挑战。
混合办公趋势下的四大挑战
企业从传统的集中办公,转向“随处可用的工作空间”模式,面临四大挑战。
首先是可见。企业IT管理人员需要清楚“看见”公司网络中有多少设备,有多少员工在公司,有多少员工不在公司办公,员工的设备在哪里,有哪些种类等等。如果“看不到”员工和设备,IT管理将无从谈起,因此“可见性”非常重要。
第二是响应。大量员工分散在全国各地的不同场景下办公,一旦出现问题,服务响应时间要足够及时,任何场景下出现问题,IT要能在第一时间知道并且能够快速处理。
第三是体验。无论员工在哪里办公、无论用什么设备接入,必须保障员工在任何地点都能继续使用公司的业务系统、获取公司数据,包括核心系统和数据,并且能够获得一致的访问体验。
第四是安全。要保障员工在任何地点上班都不能有任何安全漏洞,尤其是个人设备参与办公后,员工的生活和工作完全融合,很难区分开。一旦黑客攻击了员工的个人设备,那么可以随时破坏企业应用、攻击企业内部系统。随着设备的增多,企业面临的安全风险陡增。
面对以上挑战,传统的VPN方案虽然能解决部分远程问题,但是存在业务暴露面大、过度授权、数据泄露等弊端。为了更加安全,部分企业采用“VPN+桌面云+堡垒机+共享桌面”等方案组合,但因为不同终端需要采用多种接入方式、多次登录、多个密码,限制较大,访问体验很差。总之,采用现有方案,安全和效率很难平衡、兼顾。
“零信任+桌面云”构建统一工作空间
深信服认为新方案应采用零信任安全架构、虚拟桌面及虚拟应用、UEM沙箱等技术相互融合,打造一个安全的数字化工作平台,既能提供高效办公体验,又能确保访问业务的端到端安全。
通过统一的工作空间,内部员工、外包人员、甚至是供应商、合作伙伴,都可以在不同地点,采用不同类型的终端或不同操作系统接入,经过零信任控制中心进行身份验证后,即可访问权限范围内的桌面、应用、文件与数据。
例如:OA、邮件等低密级业务可以通过零信任构建加密隧道直接访问;BI等涉及业务敏感数据的中密级业务,可以通过UEM构建一个隔离的环境进行访问;研发代码、财务数据等高密级或高风险业务,可以通过云桌面或云应用进行访问,确保数据不落地。
陈小亮以自身为例:“我需要同时访问市场、研发、财务、采购等不同密级的业务,只需要在统一的门户里点击一下图标就可以访问,整个过程很方便。如果要访问经营管理系统、财务系统、成本系统等相对敏感的系统,会调用云应用访问,云应用可以防止截屏。如果需要访问研发业务和数据,或者财务经营报告,需要登录到云桌面访问。”
数字化工作空间方案的三大核心价值
“零信任+桌面云”的无边界数字化工作空间方案对深信服而言有三大核心价值:
第一:任何环境、任何地点一致的办公体验。
深信服all in one客户端集成了零信任、UEM沙箱、桌面云、SBC、EDR(杀毒软件)等组件,可以适配不同类型终端和不同操作系统,只需要安装一次就可以便捷接入统一的工作空间;同时,采用单点登录技术,用户进行一次认证后再去访问云桌面或云应用均无需二次认证,可以确保员工在内网、外网不同设备的访问体验基本一致,不会因为环境切换而影响效率。
第二:持续评估、动态控制的安全守护。
在安全性方面,零信任的理念是从不信任、持续验证,每个访问行为和访问策略都需要得到自动或者手动的批准,确保身份安全和访问行为动态授权;而桌面云或云应用的理念是随时随地访问、数据不落地,能够确保数据访问、核心资料获取的安全性,两者结合能够形成持续评估、动态控制的安全防护体系,让外网和内网变得同样安全。
例如:用户接入时会通过零信任进行终端环境检测、准入检测以及身份强认证,符合相关安全要求才允许接入,接入后整个传输过程全程加密。
第三:自助服务+极简运维,IT响应更及时、迅速。
当员工使用设备出现问题时,通过深信服的自助服务和一键修复功能,可解决70%-80%的问题;未被解决的问题,可以在工作平台寻求IT的帮助,IT人员在后台通过统一的控制台即可高效完成维护工作,无需到达现场,响应更及时、处理问题更高效。
数字化工作空间方案的建设框架
深信服数字化工作空间方案的建设框架包括三部分:
第一部分是统一客户端,集成了零信任客户端、桌面云客户端、EDR、沙箱等组件;
第二部分是零信任平台,包括控制器,负责认证、授权、策略管理、策略下发(调度中心),代理网关负责从控制器接收策略,当流量经过时,负责具体的策略执行、监控和记录;
第三部分是云桌面和云应用,主要负责对数据安全性要求较高的业务和数据的访问。
支撑数字化工作平台广泛推行的两大核心能力
数字化工作平台一旦推行,要被全员使用,因此必须具有两大核心能力支撑,一个是用户体验,二是安全能力。
体验方面,用户无非关注使用便捷、访问速度快两个方面,深信服通过统一的客户端以及动态联动,保证用户在使用时足够便捷;在访问速度方面,深信服零信任在原VPN基础上进行架构重构和传输优化改进,在正常网络、弱网和移动网络环境均比传统VPN速度更快。
安全能力方面,面对更加复杂的环境,从终端、身份、权限、数据到行为都需要更加全面的安全技术,深信服的理念是持续检测、持续评估,内置了各种各样的安全防护能力,办公过程中一旦发现异常现象,会自动进行访问权限和策略的调整。例如EDR发现攻击后会联动告警,阻断客户端登录能够登录的业务系统(包括核心业务系统),以便能更快速、更智能地抵御各种新型威胁。
有了体验和安全的双重保障,深信服数字化工作空间方案可适用于移动办公、混合办公、运维外包、客服坐席、分支机构接入、远程访问核心业务、内网数据防泄密和远程开发等更多应用场景,保证数据不落地。
小结
最后,陈小亮总结:通过“零信任+桌面云”构建统一的数字化工作空间,可以产生三大价值:一是不论员工在任何环境、任何地点办公都可以得到一致的办公体验;二是持续评估、动态控制确保了安全性;三是通过自助服务、远程服务的方式保证IT服务响应更及时、更迅速。