难道做零信任，，只是为了纵享丝滑办公体验？？

好比练习武术
，，，所谓“外练筋骨皮
，，，内练一口气”，
，别人看到的是你体格健硕
，，
，
，只有你自己能感受到，，，
，体质变好了，，，，抵抗力提高了，，
，，身体倍儿棒。。
。。

归根到底，，
，，零信任“关注安全，，，兼顾体验”，，，通过打出更简单有效的“组合拳”
，，，，帮助企业“强身健体”的同时，，，，满足“安全”的终极需求。。。。

如何证明？？？多说无益，，，
，芯启时光拿自己作为0号样板点，，落地零信任，
，，用行动做最好的注解。。

说干就干，，从设计到实施耗时不到1个月

故事要从一环扣一环的假设讲起。。。
。

1、、、假设芯启时光发展到1万多个员工
、
、、、2-3万个终端接入节点，
，如何做好如此大体量的实时安全管控？？？？

2、、、假设每个员工都能访问到内网核心服务器，，
，，一旦有一个端点被入侵，，如何避免全网失陷？？？？

3、、假设采用区域隔离管控的传统方案，
，，作为一家科技企业，
，内部技术人员很多，，
，难免提出超过安全基线的要求，，，比如在深圳搭建的服务器要给北京的团队访问，，区域之间的互访打破了原本的分区域隔离，，，如何平衡业务需求与安全底线
？？
？

除了这些假设，，，，当时我们还看到，，随着业务发展与人员增长，，组织架构在不断优化调整
，，，针对角色的权限频繁更换，，，，访问策略难以管控，，ACL逐渐“腐化”。。。这个过程，，，也不断考验着安全运维管理的效率。。。

推己及人，
，芯启时光意识到
，，
，，这也是很多组织单位在安全建设与运营中遇到的本质难题：

1、、业务、
、用户、、资源都在持续变化，，，
，且用户行为多样、
、
、资源漏洞难以避免，，，，同时用户与资源、、资源与资源之间的访问关系持续变化
，，，而区域边界是离散、、、相对静态的；

2
、、在少数固定的隔离边界上，，，以粗颗粒度的、、
、相对静态的安全策略，，识别多种多样的用户行为、、防护层出不穷的技术漏洞、、、
、维护快速变化的访问关系，，，
，不可避免遇到“问题规模大而资源投入小”的矛盾。。。。

急用户之所急，
，
，，想用户之所想。。我们想为数以万计的用户提供零信任安全解决方案
，，就要做第一个亲身实践者。。。
。

在国内还很少零信任落地实际案例的背景下，，芯启时光拿自己做起了“实验”
，，，从设计到实施耗时不到1个月
，，有说干就干的决心，，，，也有稳扎稳打的技法。。。。

组合拳一：平滑接入，，，聚焦访问控制与身份认证

过去，，，芯启时光内部业务系统众多，，，权限管理混乱
，，，，埋下了很多安全隐患；权限变更日常维护工作量大，，也给运维人员带来巨大负担
。。
。

可能很多老员工都亲身体验到，
，第一天入职后需要找不同的人开通系统权限
，
，，岗位变更也要申请开放新权限
，，，让人身心俱疲。。。

针对这些问题，，，，为了平滑接入零信任
，，第一步我们聚焦访问控制与统一身份认证。。。。

实现人员与系统权限对接：接入零信任访问控制系统SDP

要对人员权限进行收敛和梳理
，，，，首先要通过访问控制，，，解决什么身份有访问内网权限的问题。。

过去，，移动终端只要在芯启时光办公室连上Wi-Fi，，
，，不需要通过验证是否内部员工身份
，，就可以直接访问业务系统，，存在风险可想而知
。。
。

我们通过部署零信任访问控制系统SDP，，，，任何人使用移动终端连接办公室Wi-Fi，，必须通过身份认证，
，，，确保只有内部员工才能访问业务系统。。。同时，
，，我们还加强对终端实行基线检查
，，，不合规终端则无法登录。。。
。

而在实际落地时，，，由于SSL VPN以IP/IP段全端口发布资源
，，
，把访问权限放大了，，在SDP替代SSL VPN接入后，，开放了不该被访问的资源，，甚至是高危端口。。针对具体问题具体分析
，
，我们逐步收敛资源权限，，，避免了这种情况再次发生。。

为了保障员工顺畅的办公体验，，
，
，这个阶段芯启时光优先改造移动终端的接入，，同步面向员工加强零信任理念的宣贯，
，，，扭转员工的使用习惯。。

降低ACL复杂度：IDTrust 统一身份认证单点登录改造

解决了内网访问权限的问题，
，，，要彻底根治人员权限管理混乱，，，
，接下来就是通过统一身份认证，，
，，实现应用访问权限的收敛
。。
。。

通过芯启时光统一认证平台IDTrust 对后端应用进行改造，，，芯启时光实现了超过200个业务系统的单点登录与双因认证。
。员工不再需要记住多个系统账号密码
，，也规避了使用弱密码带来的安全问题。。此外，，
，IDTrust 的应用对接能够实现同岗同权，，即根据岗位梳理员工访问不同系统的权限
，，，，员工岗位变更，，权限随之自动改变
，
，，大大提升运维管理效率。。
。。

现在，，，新员工入职芯启时光，，只需要HR在系统为新员工注册账号，，SDP 与IDTrust 自动根据组织结构和角色继承权限
。。。员工使用SDP账号即可获得应用访问权限
，，，通过IDTrust 则可以直接访问岗位对应需要的系统应用。。。。在员工离职时，，，SDP与IDTrust 还可以自动关闭相关应用与系统权限
。。
。

组合拳二
：横向拓展SDP，，，，实现双源双因素认证

2021年
，，，，芯启时光内部开展了一次攻防演练
。。。。蓝军利用口袋助理发布钓鱼信息，，，很多员工“上钩”。
。
。。但面对部署了零信任的系统，
，，蓝军投入一半精力尝试攻击，，，都没有取得突破。。。这次事件让我们长了教训，，，员工安全意识是整个安全建设最薄弱的环节
，，，也警示我们持续收敛内网权限刻不容缓。。

从SDP与SSL VPN并行，，，到全员部署SDP

此前芯启时光各区域和总部均部署SD-WAN，，，开通加密隧道
，，
，
，员工可以直接访问总部业务系统。。
。。一旦有攻击者连接上分支网络
，，，也可以直接访问总部资源，，，，存在一定的安全风险。
。

在全员安装零信任访问控制系统SDP客户端后，，，，无论是总部还是区域员工，，，，以及外包员工的访问请求
，，，可以将原有多个暴露的业务直接收敛成一个入口
，，业务系统的IP、
、、端口等信息都被隐藏起来。
。

通过收缩业务暴露面，，在这种情况下，，，
，即使员工被钓鱼成功，
，
，因为访问到的资源有限，，，，攻击者很难直接进入业务系统，，，内网防护能力大幅提升。
。

从IAM单点登录，，到双源双因素认证

在第一阶段
，
，，芯启时光单独依靠SSL VPN或IDTrust一套系统进行认证，，，，一旦出现身份冒用，，尽管部署零信任访问控制系统SDP，，，，攻击者依然可以趁虚而入。。。

芯启时光进而采用了IAM主认证+SDP辅认证的双源双因素认证方式，，，，当员工访问业务时
，
，，重定向到芯启时光统一认证平台IDTrust弹出扫码界面，，新用户认证后会弹出SDP二次增强认证，，再弹出是否绑定授信终端
；完成首次扫码后，，老用户登录只需要通过IDTrust扫码+SDP硬件特征码完成身份校验。。
。

但由于持续收敛内网权限，，，，矫枉过正，
，，实际落地我们还是踩了不少小坑
：

• 例如部署方面，，全员安装上万个访问控制客户端，，，，面对各种复杂终端环境，，遇到了很多兼容性问题，，好在我们有强大的技术服务团队支撑；
• 再如员工体验方面
  ，，对员工的权限调研不够充分，
  ，，，在梳理在系统与应用依赖关系时有疏忽
  ，，
  ，，导致一些员工打开系统页面有无法显示的应用，，，遭到内部吐槽……

通过员工进行产品体验反馈
，，我们吸取教训、、小步快走对产品进行功能迭代优化，，
，如管理员可配置认证会话有效期、、权限可自助申请、、、、多种认证方式可供选择、、客户端自带诊断工具等，，从而帮助更多用户有效规避落地过程中的各种障碍。。。

组合拳三：细化策略，，实现安全远程开发

完成第二个阶段的零信任落地，，非研发人员的远程办公体验已经非常丝滑，
，，，但还有一个更精细化的考验
：研发隔离网的零信任改造。。。。问题正是在于，，
，研发网虽然是隔离的，
，，，但有很多风险因素，，
，如内部有很多安全人员做攻防、
、做病毒样本分析，，
，需要从外部传输数据，，，管控难度极大。
。。同时
，
，，随着芯启时光业务不断发展壮大，，还需要考虑离岸研发（ODC）的权限管控。。

隔离网改造：收缩研发/离岸人员应用访问权限

为了满足研发与离岸人员的远程办公需求，，此前我们尝试过，，把云桌面VDI映射到公网上供研发访问，
，但这种方式存在延时，，性能不足
。。为了平衡安全与体验的双重需求，，芯启时光开始对研发服务器进行改造，，收缩研发人员的应用访问权限，
，，，以SDP+VDI+SDP的嵌套方案，，，，实现更安全的远程开发。。。

研发人员与离岸人员进入核心研发系统
，，需要经过三道认证：

1、、、在互联网办公环境下
，
，，
，通过SDP认证进入办公内网；

2
、、在办公网环境下登陆SDP，，
，获得VDI访问权限
；

3、
、、、根据不同岗位角色权限，
，，，通过SDP身份认证，，，再进入更加机密的研发应用
。。。
。

在保证数据不落地的前提下，，，进入研发实验室
，
，，相当于把他们的公司电脑桌面，，，搬到了世界上任何一个角落。
。。其中，，，，“研发数据不出网”与“零信任”的理念冲突，
，，是最难以平衡的。。。。但芯启时光探索出了一条新的道路——基于零信任动态策略检测计算机的环境、、
、位置等属性
，，
，，来决策员工是否拥有资源访问权限，，权限开放还是限制，，，一切尽在掌握之中
。。

3张图展示芯启时光全面落地零信任有多“香”

作为落地零信任的实干派，，，芯启时光可以有底气地向更多用户证明“零信任真香”
：

安全收益

业务收益

运维收益

芯启时光以亲身实践为用户带来建设启示

1. 统一规划、、、分步实施

零信任落地难是老生常谈的问题，
，根本原因在于，
，，步子迈得太大，，，
，迫切想要一步到位。。。结合当前国内疫情远程办公的现实需求，
，，，以及芯启时光的实践经验，，，组织单位可以优先从远程办公场景切入，，
，逐步切换到内网、、数据中心等场景的零信任建设。。。。

2.选择合适的技术路线

零信任理念可以通过多种技术路径落地，，，
，芯启时光根据自身改造难度
，，
，，选择从SSL VPN切换SDP技术，，，
，经过实践在远程办公、
、、混合办公场景已具备非常成熟的经验，，
，组织单位可以根据自身需求，
，，选择最适配的技术路线。。

3.强大的服务与端点能力支撑

实践证明，，，零信任落地是一个长期且持续的过程
，，这个过程必定需要专业的人员辅助，，，组织单位应找具备强大服务能力以及端点能力支撑的厂商。。。。

芯启时光全面落地零信任，，，立足于“防”
，，发力于“早”，
，
，落脚于“实”
。。。

至此，，，
，芯启时光的零信任建设一直在路上，，已经有上千家用户与我们并肩同行，，，，选择了芯启时光零信任。
。目前，，芯启时光也已将战场逐步延伸至内网办公
、、数据中心等场景。。。下一步，
，，为了持续有效落地，，，，让零信任成为更多用户的选择，，，芯启时光还会出什么招式呢？？且听下回分解
。
。。