深信服零信任的0号样板点

　　难道做零信任，只是为了纵享丝滑办公体验？

　　好比练习武术，所谓“外练筋骨皮，内练一口气”，别人看到的是你体格健硕，只有你自己能感受到，体质变好了，抵抗力提高了，身体倍儿棒。

　　归根到底，零信任“关注安全，兼顾体验”，通过打出更简单有效的“组合拳”，帮助企业“强身健体”的同时，满足“安全”的终极需求。

　　如何证明？多说无益，深信服拿自己作为0号样板点，落地零信任，用行动做最好的注解。

　　说干就干，从设计到实施耗时不到1个月

　　故事要从一环扣一环的假设讲起。

　　1、假设深信服发展到1万多个员工、2-3万个终端接入节点，如何做好如此大体量的实时安全管控？

　　2、假设每个员工都能访问到内网核心服务器，一旦有一个端点被入侵，如何避免全网失陷？

　　3、假设采用区域隔离管控的传统方案，作为一家科技企业，内部技术人员很多，难免提出超过安全基线的要求，比如在深圳搭建的服务器要给北京的团队访问，区域之间的互访打破了原本的分区域隔离，如何平衡业务需求与安全底线？

　　除了这些假设，当时我们还看到，随着业务发展与人员增长，组织架构在不断优化调整，针对角色的权限频繁更换，访问策略难以管控，ACL逐渐“腐化”。这个过程，也不断考验着安全运维管理的效率。

　　推己及人，深信服意识到，这也是很多组织单位在安全建设与运营中遇到的本质难题：

　　1、业务、用户、资源都在持续变化，且用户行为多样、资源漏洞难以避免，同时用户与资源、资源与资源之间的访问关系持续变化，而区域边界是离散、相对静态的；

　　2、在少数固定的隔离边界上，以粗颗粒度的、相对静态的安全策略，识别多种多样的用户行为、防护层出不穷的技术漏洞、维护快速变化的访问关系，不可避免遇到“问题规模大而资源投入小”的矛盾。

　　急用户之所急，想用户之所想。我们想为数以万计的用户提供零信任安全解决方案，就要做第一个亲身实践者。

　　在国内还很少零信任落地实际案例的背景下，深信服拿自己做起了“实验”，从设计到实施耗时不到1个月，有说干就干的决心，也有稳扎稳打的技法。

　　组合拳一：平滑接入，聚焦访问控制与身份认证

　　过去，深信服内部业务系统众多，权限管理混乱，埋下了很多安全隐患；权限变更日常维护工作量大，也给运维人员带来巨大负担。

　　可能很多老员工都亲身体验到，第一天入职后需要找不同的人开通系统权限，岗位变更也要申请开放新权限，让人身心俱疲。

　　针对这些问题，为了平滑接入零信任，第一步我们聚焦访问控制与统一身份认证。

　　实现人员与系统权限对接：接入零信任访问控制系统SDP

　　要对人员权限进行收敛和梳理，首先要通过访问控制，解决什么身份有访问内网权限的问题。

　　过去，移动终端只要在深信服办公室连上Wi-Fi，不需要通过验证是否内部员工身份，就可以直接访问业务系统，存在风险可想而知。

　　我们通过部署零信任访问控制系统SDP，任何人使用移动终端连接办公室Wi-Fi，必须通过身份认证，确保只有内部员工才能访问业务系统。同时，我们还加强对终端实行基线检查，不合规终端则无法登录。

　　而在实际落地时，由于SSL VPN以IP/IP段全端口发布资源，把访问权限放大了，在SDP替代SSL VPN接入后，开放了不该被访问的资源，甚至是高危端口。针对具体问题具体分析，我们逐步收敛资源权限，避免了这种情况再次发生。

　　为了保障员工顺畅的办公体验，这个阶段深信服优先改造移动终端的接入，同步面向员工加强零信任理念的宣贯，扭转员工的使用习惯。

　　降低ACL复杂度：IDTrust 统一身份认证单点登录改造

　　解决了内网访问权限的问题，要彻底根治人员权限管理混乱，接下来就是通过统一身份认证，实现应用访问权限的收敛。

　　通过深信服统一认证平台IDTrust 对后端应用进行改造，深信服实现了超过200个业务系统的单点登录与双因认证。员工不再需要记住多个系统账号密码，也规避了使用弱密码带来的安全问题。此外，IDTrust 的应用对接能够实现同岗同权，即根据岗位梳理员工访问不同系统的权限，员工岗位变更，权限随之自动改变，大大提升运维管理效率。

　　现在，新员工入职深信服，只需要HR在系统为新员工注册账号，SDP 与IDTrust 自动根据组织结构和角色继承权限。员工使用SDP账号即可获得应用访问权限，通过IDTrust 则可以直接访问岗位对应需要的系统应用。在员工离职时，SDP与IDTrust 还可以自动关闭相关应用与系统权限。

　　组合拳二：横向拓展SDP，实现双源双因素认证

　　2021年，深信服内部开展了一次攻防演练。蓝军利用口袋助理发布钓鱼信息，很多员工“上钩”。但面对部署了零信任的系统，蓝军投入一半精力尝试攻击，都没有取得突破。这次事件让我们长了教训，员工安全意识是整个安全建设最薄弱的环节，也警示我们持续收敛内网权限刻不容缓。

　　从SDP与SSL VPN并行，到全员部署SDP

　　此前深信服各区域和总部均部署SD-WAN，开通加密隧道，员工可以直接访问总部业务系统。一旦有攻击者连接上分支网络，也可以直接访问总部资源，存在一定的安全风险。

　　在全员安装零信任访问控制系统SDP客户端后，无论是总部还是区域员工，以及外包员工的访问请求，可以将原有多个暴露的业务直接收敛成一个入口，业务系统的IP、端口等信息都被隐藏起来。

　　通过收缩业务暴露面，在这种情况下，即使员工被钓鱼成功，因为访问到的资源有限，攻击者很难直接进入业务系统，内网防护能力大幅提升。

　　从IAM单点登录，到双源双因素认证

　　在第一阶段，深信服单独依靠SSL VPN或IDTrust一套系统进行认证，一旦出现身份冒用，尽管部署零信任访问控制系统SDP，攻击者依然可以趁虚而入。

　　深信服进而采用了IAM主认证+SDP辅认证的双源双因素认证方式，当员工访问业务时，重定向到深信服统一认证平台IDTrust弹出扫码界面，新用户认证后会弹出SDP二次增强认证，再弹出是否绑定授信终端；完成首次扫码后，老用户登录只需要通过IDTrust扫码+SDP硬件特征码完成身份校验。

　　但由于持续收敛内网权限，矫枉过正，实际落地我们还是踩了不少小坑：

　　例如部署方面，全员安装上万个访问控制客户端，面对各种复杂终端环境，遇到了很多兼容性问题，好在我们有强大的技术服务团队支撑；

　　再如员工体验方面，对员工的权限调研不够充分，在梳理在系统与应用依赖关系时有疏忽，导致一些员工打开系统页面有无法显示的应用，遭到内部吐槽……

　　通过员工进行产品体验反馈，我们吸取教训、小步快走对产品进行功能迭代优化，如管理员可配置认证会话有效期、权限可自助申请、多种认证方式可供选择、客户端自带诊断工具等，从而帮助更多用户有效规避落地过程中的各种障碍。

　　组合拳三：细化策略，实现安全远程开发

　　完成第二个阶段的零信任落地，非研发人员的远程办公体验已经非常丝滑，但还有一个更精细化的考验：研发隔离网的零信任改造。问题正是在于，研发网虽然是隔离的，但有很多风险因素，如内部有很多安全人员做攻防、做病毒样本分析，需要从外部传输数据，管控难度极大。同时，随着深信服业务不断发展壮大，还需要考虑离岸研发（ODC）的权限管控。

　　隔离网改造：收缩研发/离岸人员应用访问权限

　　为了满足研发与离岸人员的远程办公需求，此前我们尝试过，把云桌面VDI映射到公网上供研发访问，但这种方式存在延时，性能不足。为了平衡安全与体验的双重需求，深信服开始对研发服务器进行改造，收缩研发人员的应用访问权限，以SDP+VDI+SDP的嵌套方案，实现更安全的远程开发。

　　研发人员与离岸人员进入核心研发系统，需要经过三道认证：

　　1、在互联网办公环境下，通过SDP认证进入办公内网；

　　2、在办公网环境下登陆SDP，获得VDI访问权限；

　　3、根据不同岗位角色权限，通过SDP身份认证，再进入更加机密的研发应用。

　　在保证数据不落地的前提下，进入研发实验室，相当于把他们的公司电脑桌面，搬到了世界上任何一个角落。其中，“研发数据不出网”与“零信任”的理念冲突，是最难以平衡的。但深信服探索出了一条新的道路——基于零信任动态策略检测计算机的环境、位置等属性，来决策员工是否拥有资源访问权限，权限开放还是限制，一切尽在掌握之中。

　　责任编辑：广汉