贵阳|这家公司想解开零信任落地难题，拿自己做了1个“实验”( 二 )

在国内还很少零信任落地实际案例的背景下，深信服拿自己做起了“实验” ，从设计到实施耗时不到1个月，有说干就干的决心，也有稳扎稳打的技法。
组合拳一：平滑接入，聚焦访问控制与身份认证
过去，深信服内部业务系统众多，权限管理混乱，埋下了很多安全隐患；权限变更日常维护工作量大，也给运维人员带来巨大负担。
可能很多老员工都亲身体验到，第一天入职后需要找不同的人开通系统权限，岗位变更也要申请开放新权限，让人身心俱疲。

针对这些问题，为了平滑接入零信任，第一步我们聚焦访问控制与统一身份认证。
实现人员与系统权限对接：接入零信任访问控制系统SDP
要对人员权限进行收敛和梳理，首先要通过访问控制，解决什么身份有访问内网权限的问题。
过去，移动终端只要在深信服办公室连上Wi-Fi ，不需要通过验证是否内部员工身份，就可以直接访问业务系统，存在风险可想而知。
我们通过部署零信任访问控制系统SDP ，任何人使用移动终端连接办公室Wi-Fi ，必须通过身份认证，确保只有内部员工才能访问业务系统。同时，我们还加强对终端实行基线检查，不合规终端则无法登录。

而在实际落地时，由于SSL VPN以IP/IP段全端口发布资源，把访问权限放大了，在SDP替代SSL VPN接入后，开放了不该被访问的资源，甚至是高危端口。针对具体问题具体分析，我们逐步收敛资源权限，避免了这种情况再次发生。
为了保障员工顺畅的办公体验，这个阶段深信服优先改造移动终端的接入，同步面向员工加强零信任理念的宣贯，扭转员工的使用习惯。

降低ACL复杂度：IDTrust 统一身份认证单点登录改造
解决了内网访问权限的问题，要彻底根治人员权限管理混乱，接下来就是通过统一身份认证，实现应用访问权限的收敛。
通过深信服统一认证平台IDTrust 对后端应用进行改造，深信服实现了超过200个业务系统的单点登录与双因认证。员工不再需要记住多个系统账号密码，也规避了使用弱密码带来的安全问题。此外， IDTrust 的应用对接能够实现同岗同权，即根据岗位梳理员工访问不同系统的权限，员工岗位变更，权限随之自动改变，大大提升运维管理效率。

现在，新员工入职深信服，只需要HR在系统为新员工注册账号， SDP 与IDTrust 自动根据组织结构和角色继承权限。员工使用SDP账号即可获得应用访问权限，通过IDTrust 则可以直接访问岗位对应需要的系统应用。在员工离职时， SDP与IDTrust 还可以自动关闭相关应用与系统权限。
组合拳二：横向拓展SDP ，实现双源双因素认证
2021年，深信服内部开展了一次攻防演练。蓝军利用口袋助理发布钓鱼信息，很多员工“上钩” 。但面对部署了零信任的系统，蓝军投入一半精力尝试攻击，都没有取得突破。这次事件让我们长了教训，员工安全意识是整个安全建设最薄弱的环节，也警示我们持续收敛内网权限刻不容缓。

从SDP与SSL VPN并行，到全员部署SDP
此前深信服各区域和总部均部署SD-WAN ，开通加密隧道，员工可以直接访问总部业务系统。一旦有攻击者连接上分支网络，也可以直接访问总部资源，存在一定的安全风险。
在全员安装零信任访问控制系统SDP客户端后，无论是总部还是区域员工，以及外包员工的访问请求，可以将原有多个暴露的业务直接收敛成一个入口，业务系统的IP、端口等信息都被隐藏起来。