由企業(yè)網(wǎng)D1Net、信眾智(CIO智力輸出及社交平臺(tái))聯(lián)合主辦的2022 CIOC全國(guó)CIO大會(huì)于7月22日-24日在海南博鰲•文昌盛大閉幕。在7月22日的主論壇上，深信服副總裁陳小亮分享了“‘零信任+桌面云’如何平衡安全與生產(chǎn)力”的主題演講。

據(jù)悉，深信服早已在公司全面推行“零信任+桌面云”的數(shù)字化工作空間方案，讓員工即使在家也能正常開展工作。該方案通過零信任安全架構(gòu)、虛擬桌面及虛擬應(yīng)用、UEM沙箱等技術(shù)的相互融合，打造一個(gè)安全的數(shù)字化工作平臺(tái)，既能提供高效辦公體驗(yàn)，又能確保訪問業(yè)務(wù)的端到端安全。

該方案可助力企業(yè)級(jí)客戶實(shí)現(xiàn)三大價(jià)值：一是任何環(huán)境、任何地點(diǎn)一致的辦公體驗(yàn);二是持續(xù)評(píng)估、動(dòng)態(tài)控制的安全守護(hù);三是自助服務(wù)+極簡(jiǎn)運(yùn)維，讓IT響應(yīng)更及時(shí)。隨后，陳小亮介紹了該方案的建設(shè)框架和核心能力。

深信服副總裁 陳小亮

深信服人居家后，如何高效辦公?

2022年3月深圳疫情期間，由于需要居家辦公，許多深圳人選擇連夜將電腦從公司搬回家。深信服總部設(shè)在深圳，受疫情影響深圳地區(qū)的全體員工需要居家辦公。而與其他公司不同的是，深信服的員工并不需要搬電腦，也不需要拷貝數(shù)據(jù)，關(guān)鍵在于公司早已全面推行“零信任+桌面云”的數(shù)字化工作空間，讓員工即使在家也能正常開展工作。

據(jù)統(tǒng)計(jì)，深信服員工居家辦公后，最高峰時(shí)零信任遠(yuǎn)程接入并發(fā)用戶數(shù)超過1萬人(包含全國(guó)非深圳地區(qū)同事)，深圳全體研發(fā)人員采用桌面云來實(shí)現(xiàn)遠(yuǎn)程開發(fā)，日平均3048個(gè)桌面云接入，從代碼提交數(shù)量以及每日CI/CD的構(gòu)建數(shù)量來看，工作效率達(dá)到了非遠(yuǎn)程辦公的95%以上，而且期間并未發(fā)生任何一起安全事件。

受疫情的催化作用，混合辦公、隨處辦公以及分布式的辦公模式已經(jīng)成為職場(chǎng)中的常態(tài)，尤其受年輕人的青睞。攜程早在2021年7月便已開始進(jìn)行混合辦公試點(diǎn)，1600多名攜程員工每周有兩個(gè)工作日可以選擇在任何地點(diǎn)辦公。試點(diǎn)數(shù)據(jù)表明，員工的離職率降低了三分之一，將近60%的員工強(qiáng)烈支持混合辦公，而且工作成果、工作效率相比過去并沒有太大影響。

在混合辦公的趨勢(shì)下，接入公司網(wǎng)絡(luò)的設(shè)備五花八門，接入網(wǎng)絡(luò)、接入地點(diǎn)、接入方式的多樣化使整體辦公環(huán)境的復(fù)雜程度翻倍。同時(shí)，隨著云化、移動(dòng)化或數(shù)字化的興起，企業(yè)業(yè)務(wù)變得更加開放，企業(yè)的數(shù)據(jù)資產(chǎn)越來越分散，網(wǎng)絡(luò)邊界、物理安全邊界日益模糊，給企業(yè)帶來了巨大挑戰(zhàn)。

混合辦公趨勢(shì)下的四大挑戰(zhàn)

企業(yè)從傳統(tǒng)的集中辦公，轉(zhuǎn)向“隨處可用的工作空間”模式，面臨四大挑戰(zhàn)。

首先是可見。企業(yè)IT管理人員需要清楚“看見”公司網(wǎng)絡(luò)中有多少設(shè)備，有多少員工在公司，有多少員工不在公司辦公，員工的設(shè)備在哪里，有哪些種類等等。如果“看不到”員工和設(shè)備，IT管理將無從談起，因此“可見性”非常重要。

第二是響應(yīng)。大量員工分散在全國(guó)各地的不同場(chǎng)景下辦公，一旦出現(xiàn)問題，服務(wù)響應(yīng)時(shí)間要足夠及時(shí)，任何場(chǎng)景下出現(xiàn)問題，IT要能在第一時(shí)間知道并且能夠快速處理。

第三是體驗(yàn)。無論員工在哪里辦公、無論用什么設(shè)備接入，必須保障員工在任何地點(diǎn)都能繼續(xù)使用公司的業(yè)務(wù)系統(tǒng)、獲取公司數(shù)據(jù)，包括核心系統(tǒng)和數(shù)據(jù)，并且能夠獲得一致的訪問體驗(yàn)。

第四是安全。要保障員工在任何地點(diǎn)上班都不能有任何安全漏洞，尤其是個(gè)人設(shè)備參與辦公后，員工的生活和工作完全融合，很難區(qū)分開。一旦黑客攻擊了員工的個(gè)人設(shè)備，那么可以隨時(shí)破壞企業(yè)應(yīng)用、攻擊企業(yè)內(nèi)部系統(tǒng)。隨著設(shè)備的增多，企業(yè)面臨的安全風(fēng)險(xiǎn)陡增。

面對(duì)以上挑戰(zhàn)，傳統(tǒng)的VPN方案雖然能解決部分遠(yuǎn)程問題，但是存在業(yè)務(wù)暴露面大、過度授權(quán)、數(shù)據(jù)泄露等弊端。為了更加安全，部分企業(yè)采用“VPN+桌面云+堡壘機(jī)+共享桌面”等方案組合，但因?yàn)椴煌K端需要采用多種接入方式、多次登錄、多個(gè)密碼，限制較大，訪問體驗(yàn)很差。總之，采用現(xiàn)有方案，安全和效率很難平衡、兼顧。

“零信任+桌面云”構(gòu)建統(tǒng)一工作空間

深信服認(rèn)為新方案應(yīng)采用零信任安全架構(gòu)、虛擬桌面及虛擬應(yīng)用、UEM沙箱等技術(shù)相互融合，打造一個(gè)安全的數(shù)字化工作平臺(tái)，既能提供高效辦公體驗(yàn)，又能確保訪問業(yè)務(wù)的端到端安全。

通過統(tǒng)一的工作空間，內(nèi)部員工、外包人員、甚至是供應(yīng)商、合作伙伴，都可以在不同地點(diǎn)，采用不同類型的終端或不同操作系統(tǒng)接入，經(jīng)過零信任控制中心進(jìn)行身份驗(yàn)證后，即可訪問權(quán)限范圍內(nèi)的桌面、應(yīng)用、文件與數(shù)據(jù)。

例如：OA、郵件等低密級(jí)業(yè)務(wù)可以通過零信任構(gòu)建加密隧道直接訪問;BI等涉及業(yè)務(wù)敏感數(shù)據(jù)的中密級(jí)業(yè)務(wù)，可以通過UEM構(gòu)建一個(gè)隔離的環(huán)境進(jìn)行訪問;研發(fā)代碼、財(cái)務(wù)數(shù)據(jù)等高密級(jí)或高風(fēng)險(xiǎn)業(yè)務(wù)，可以通過云桌面或云應(yīng)用進(jìn)行訪問，確保數(shù)據(jù)不落地。

陳小亮以自身為例：“我需要同時(shí)訪問市場(chǎng)、研發(fā)、財(cái)務(wù)、采購等不同密級(jí)的業(yè)務(wù)，只需要在統(tǒng)一的門戶里點(diǎn)擊一下圖標(biāo)就可以訪問，整個(gè)過程很方便。如果要訪問經(jīng)營(yíng)管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、成本系統(tǒng)等相對(duì)敏感的系統(tǒng)，會(huì)調(diào)用云應(yīng)用訪問，云應(yīng)用可以防止截屏。如果需要訪問研發(fā)業(yè)務(wù)和數(shù)據(jù)，或者財(cái)務(wù)經(jīng)營(yíng)報(bào)告，需要登錄到云桌面訪問。”

數(shù)字化工作空間方案的三大核心價(jià)值

“零信任+桌面云”的無邊界數(shù)字化工作空間方案對(duì)深信服而言有三大核心價(jià)值：

第一：任何環(huán)境、任何地點(diǎn)一致的辦公體驗(yàn)。

深信服all in one客戶端集成了零信任、UEM沙箱、桌面云、SBC、EDR(殺毒軟件)等組件，可以適配不同類型終端和不同操作系統(tǒng)，只需要安裝一次就可以便捷接入統(tǒng)一的工作空間;同時(shí)，采用單點(diǎn)登錄技術(shù)，用戶進(jìn)行一次認(rèn)證后再去訪問云桌面或云應(yīng)用均無需二次認(rèn)證，可以確保員工在內(nèi)網(wǎng)、外網(wǎng)不同設(shè)備的訪問體驗(yàn)基本一致，不會(huì)因?yàn)榄h(huán)境切換而影響效率。

第二：持續(xù)評(píng)估、動(dòng)態(tài)控制的安全守護(hù)。

在安全性方面，零信任的理念是從不信任、持續(xù)驗(yàn)證，每個(gè)訪問行為和訪問策略都需要得到自動(dòng)或者手動(dòng)的批準(zhǔn)，確保身份安全和訪問行為動(dòng)態(tài)授權(quán);而桌面云或云應(yīng)用的理念是隨時(shí)隨地訪問、數(shù)據(jù)不落地，能夠確保數(shù)據(jù)訪問、核心資料獲取的安全性，兩者結(jié)合能夠形成持續(xù)評(píng)估、動(dòng)態(tài)控制的安全防護(hù)體系，讓外網(wǎng)和內(nèi)網(wǎng)變得同樣安全。

例如：用戶接入時(shí)會(huì)通過零信任進(jìn)行終端環(huán)境檢測(cè)、準(zhǔn)入檢測(cè)以及身份強(qiáng)認(rèn)證，符合相關(guān)安全要求才允許接入，接入后整個(gè)傳輸過程全程加密。

第三：自助服務(wù)+極簡(jiǎn)運(yùn)維，IT響應(yīng)更及時(shí)、迅速。

當(dāng)員工使用設(shè)備出現(xiàn)問題時(shí)，通過深信服的自助服務(wù)和一鍵修復(fù)功能，可解決70%-80%的問題;未被解決的問題，可以在工作平臺(tái)尋求IT的幫助，IT人員在后臺(tái)通過統(tǒng)一的控制臺(tái)即可高效完成維護(hù)工作，無需到達(dá)現(xiàn)場(chǎng)，響應(yīng)更及時(shí)、處理問題更高效。

數(shù)字化工作空間方案的建設(shè)框架

深信服數(shù)字化工作空間方案的建設(shè)框架包括三部分：

第一部分是統(tǒng)一客戶端，集成了零信任客戶端、桌面云客戶端、EDR、沙箱等組件;

第二部分是零信任平臺(tái)，包括控制器，負(fù)責(zé)認(rèn)證、授權(quán)、策略管理、策略下發(fā)(調(diào)度中心)，代理網(wǎng)關(guān)負(fù)責(zé)從控制器接收策略，當(dāng)流量經(jīng)過時(shí)，負(fù)責(zé)具體的策略執(zhí)行、監(jiān)控和記錄;

第三部分是云桌面和云應(yīng)用，主要負(fù)責(zé)對(duì)數(shù)據(jù)安全性要求較高的業(yè)務(wù)和數(shù)據(jù)的訪問。

支撐數(shù)字化工作平臺(tái)廣泛推行的兩大核心能力

數(shù)字化工作平臺(tái)一旦推行，要被全員使用，因此必須具有兩大核心能力支撐，一個(gè)是用戶體驗(yàn)，二是安全能力。

體驗(yàn)方面，用戶無非關(guān)注使用便捷、訪問速度快兩個(gè)方面，深信服通過統(tǒng)一的客戶端以及動(dòng)態(tài)聯(lián)動(dòng)，保證用戶在使用時(shí)足夠便捷;在訪問速度方面，深信服零信任在原VPN基礎(chǔ)上進(jìn)行架構(gòu)重構(gòu)和傳輸優(yōu)化改進(jìn)，在正常網(wǎng)絡(luò)、弱網(wǎng)和移動(dòng)網(wǎng)絡(luò)環(huán)境均比傳統(tǒng)VPN速度更快。

安全能力方面，面對(duì)更加復(fù)雜的環(huán)境，從終端、身份、權(quán)限、數(shù)據(jù)到行為都需要更加全面的安全技術(shù)，深信服的理念是持續(xù)檢測(cè)、持續(xù)評(píng)估，內(nèi)置了各種各樣的安全防護(hù)能力，辦公過程中一旦發(fā)現(xiàn)異常現(xiàn)象，會(huì)自動(dòng)進(jìn)行訪問權(quán)限和策略的調(diào)整。例如EDR發(fā)現(xiàn)攻擊后會(huì)聯(lián)動(dòng)告警，阻斷客戶端登錄能夠登錄的業(yè)務(wù)系統(tǒng)(包括核心業(yè)務(wù)系統(tǒng))，以便能更快速、更智能地抵御各種新型威脅。

有了體驗(yàn)和安全的雙重保障，深信服數(shù)字化工作空間方案可適用于移動(dòng)辦公、混合辦公、運(yùn)維外包、客服坐席、分支機(jī)構(gòu)接入、遠(yuǎn)程訪問核心業(yè)務(wù)、內(nèi)網(wǎng)數(shù)據(jù)防泄密和遠(yuǎn)程開發(fā)等更多應(yīng)用場(chǎng)景，保證數(shù)據(jù)不落地。

小結(jié)

最后，陳小亮總結(jié)：通過“零信任+桌面云”構(gòu)建統(tǒng)一的數(shù)字化工作空間，可以產(chǎn)生三大價(jià)值：一是不論員工在任何環(huán)境、任何地點(diǎn)辦公都可以得到一致的辦公體驗(yàn);二是持續(xù)評(píng)估、動(dòng)態(tài)控制確保了安全性;三是通過自助服務(wù)、遠(yuǎn)程服務(wù)的方式保證IT服務(wù)響應(yīng)更及時(shí)、更迅速。