看,馬路上一輛疾馳的卡車,它的發動機來自福田康明斯北京工廠,變速箱來自福田采埃孚浙江工廠,整車可能來自山東、北京或長沙等。
一輛卡車的誕生,背后可能來自全國幾十個工廠遠程協同打造。
這是北汽福田汽車選擇落地零信任的前情提要:全國18個工廠(含整車與零部件基地)、海外22個KD工廠、員工2萬多人,滿足100%安全可靠接入集團系統,為世界高品質汽車的誕生,上一道安心的“防盜門”。
這個“門”,將集團內部190多個系統與互聯網隔開,“擋”住月均超過200萬次攻擊。如果沒有這個“門”,將有119個系統直接面向互聯網,但凡有一條產線受到攻擊,斷網一天的損失可高達300萬。
當落地零信任的想法產生后,如何合理規劃建設優先級,并快速取得階段性成果?
北汽福田集團基礎設施及信息安全負責人張志強日前在“落地有聲·第二屆零信任用戶分享大會”進行深入全面的實踐經驗分享。
l 滿足大規模遠程辦公常態化的便捷與安全
從2020年開始,在反復的疫情沖擊下,大規模遠程辦公成為福田汽車常態化工作模式,最高并發達到6000+。
一開始,福田汽車使用SSL VPN實現遠程辦公。“因為VPN與第三方通訊軟件無法集成,像員工要訪問采購管理系統,需要先撥通VPN,再打開手機APP,經過兩次認證才能進入,操作流程繁瑣。”
同時,在數字化轉型背景下,集團高層對IT提出了更高的要求:提供高效、安全、穩定、便捷的基礎設施。
在這種情況下,福田汽車選擇從需求最緊迫的遠程辦公場景切入,不單要滿足員工遠程辦公常態化的便捷需求,更要保障業務的安全穩定。
由此,一個構建遠程辦公安全體系的零信任建設思路開始萌生。
l SDP技術替換傳統VPN形成“信任”訪問鏈條
福田汽車希望這套零信任架構滿足四個必備條件:
1. 對接現有認證體系,實現統一身份管理
l 兼容現有微軟、藍凌的認證體系,維護統一的身份認證信息。
2. 聯動現有安全設備,承載分析研判能力
l 協同現有深信服SIP/XDR的安全運營體系。
l 訪問主體信息可視化,承載分析研判的能力。
3. 平臺開放,適配不同場景需求
l 匹配豐富的組件類型,覆蓋遠程辦公、分支辦公、物聯網、云數據中心等場景。
l 通過開放規則與接口統一對接研發中心、開發測試中心、合作伙伴系統等,降低集成改造難度。
4. 圍繞身份持續評估風險,動態調整策略
l 根據員工崗位變化,生成相匹配的權限動態策略,同崗同權,避免開工單、領導審批等繁瑣操作。
l 根據不同權限風險等級,調整運維策略,減少運維人員工作量。
這四點需求,指引了福田汽車在用戶到業務的南北向訪問控制場景下,選擇了業內廣泛認可的SDP技術路線。
通過幾家廠商的對比,福田汽車最終選擇深信服零信任安全解決方案。
“深信服零信任aTrust可以與第三方通訊軟件原生集成,通過動態身份校驗,保障安全的終端接入內網應用,同時大大降低員工操作難度。”
l 三步高效全面落地零信任aTrust
規劃階段耗時6個月,在深思熟慮之后,北汽福田的零信任落地,顯得格外敏捷高效。
第一步,基于統一的策略,將部署在SSL VPN上所有系統都遷移至零信任aTrust,國內外2萬+員工訪問內部系統必須通過身份認證,縮小業務發布暴露面;
第二步,根據不同人員崗位,進行權限策略梳理收集,并支持多種認證方式供選擇,包括掃碼、手機驗證碼等;
第三步,零信任aTrust與SSL VPN并行2個月,兩者采用同樣的域名,員工可以直觀感受到零信任aTrust頁面體驗絲滑,并結合內部宣貫,逐步引導全員切換零信任。
一般來說,多維度考慮到業務保護,深信服零信任建議用戶優先接入容易被攻擊、較新或者影響范圍較小的業務系統。
“由于疫情影響,部署時間緊張,這看起來是一個‘激進’的做法,實際上我們進行過風險評估,一旦出現訪問不穩定等問題,我們可以實現2分鐘快速回滾。”
此外,結合深信服SIP、XDR、EDR等設備,以及安全托管服務MSS 7*24小時持續在線守護,在深度合作模式下,深信服為未來持續安全運營做好支撐,北汽福田的零信任落地也更加有底氣。
l 效果與體驗兼得,安全無需左右為難
在今年的實戰攻防演練中,張志強深切感受到零信任帶來的效果:“零信任aTrust從用戶管理、應用管理、權限管控、周邊集成等多維度提供安全保障,我們還可以看清暴力破解、掃描探測等攻擊情況,這是一個非常重要的安全防御關注點。”
體驗方面,北汽福田對員工進行過樣本抽查,滿意度高達98%,截至目前未收到任何投訴;而運維人員通過可視化界面,每天查看安全事件,可以更精準定位到人,事件排查處置更加簡單高效。
隨著遠程辦公、混合辦公成為常見工作模式,落地零信任作為安全底座,早就不是可選題,而是必選題,像北汽福田這樣的大企業都需要填寫一份完美的答卷。
而大家選擇深信服零信任,正因為深信服致力于讓每一位用戶“安全領先一步”,體驗領先一步,效果領跑一路,用戶再也無需于落地體驗與效果之間左右為難。