安全419《远程办公解决方案》——云山雾隐篇

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:2022-04-21


受疫情反复无常的影响,各行各业复工成为难题,远程办公的需求持续爆发。事实上,互联网的快速发展和信息技术的日益升级,为更加灵活的办公方式提供了技术支持,远程(或混合)办公模式在欧美企业早已落地,受到员工普遍欢迎。
 
为了探究并呈现远程办公在国内的发展情况,以及企业的真实诉求和应对方式,安全419推出《远程办公解决方案》系列选题,本期,我们走进成都云山雾隐科技有限公司(以下简称“云山雾隐”),与CEO王玮先生展开对话,看看他们对于远程办公的思考和作为。
 

 
我们首先来认识一下这家企业。云山雾隐成立于2021年,是一个以零信任为起点致力于用最前沿的网络安全技术为国内企业构建核心竞争力的技术团队。他们在互联网安全行业有着丰富的从业经验,核心成员均参与过千万用户量级安全产品的开发与运营。基于团队内部的需求自主研发了通信协议和多层加密算法,并在此基础上推出了基于零信任架构的端隐SDP(软件定义边界)产品,目前已服务于政府、教育、医疗、零售等多个行业。
 
在开始之前 认清远程办公的适用范围及挑战
 
与欧美等国家相比,我国远程办公渗透率仍然相对较低,长期以来,远程办公只是作为日常办公的一种辅助手段。疫情之后回归正常的经济生产生活,企业还需不需要这样的办公模式?对此王玮表示,这跟我们如何去划分企业的维度有关。
 
从业务模式和组织架构来看,如果企业本身就存在大量的外勤人员或分支机构,典型的包括电信运营商等,他们的业务基因中对远程办公就比较认可;相对的,如果业务模式偏重于在一个固定的场所,诸如工厂,他们就不太能接受远程办公,离开固定场所将导致生产无法正常进行。
 
从行业维度来看,企业的接受度也有所差异。核心因素就是信息化成熟度,互联网或IT行业的日常经营管理操作已有较为完善的IT系统支持,切换到远程办公模式很多业务依然可以顺利开展;而信息化程度较低的行业,则普遍缺少配套的工具来支撑。
 
看向走在远程办公最前沿的硅谷,事实上,诸多企业在经过大面积的远程试验之后,也有再度转向集中办公的趋势,如今更多偏向混合办公的模式发展。王玮表示,让企业和员工感受到方便与收益之外,远程办公给企业带来的挑战也是客观存在的。
 
首当其中的便是效率。涉及到高频互动与沟通的岗位,比如研发与测试的协作配合,工作效率无疑会有所损失;而诸如设计等相对独立、配合较少的工作,远程模式下体验和效率将更有保障。
 
另一方面是管理。企业的核心管理层首先必须认可远程办公模式,并且愿意承担其带来的效率下降等造成的成本,其次是管理模式及管理制度要配合调整,因为工作无法实时监控,管理模式必须要从过程管理转向结果导向。
 
安全也是一大挑战员工访问企业内网的终端设备、所处的网络环境在远程模式下都是五花八门的,缺乏统一的安全措施,再加上日常使用习惯中安全意识的不一致,每个环节都极易被利用成为黑客攻击的跳板。
 
远程办公方案各有侧重 企业应按需兼顾效率与安全
 
观察市面上现有的远程办公解决方案,其在效率、安全、成本等维度的选择考量上各有侧重,也反映出目前企业诉求的差异性。王玮为我们总结了六大类方案:
 
•SaaS化的企业级综合协作工具,如远程会议、在线文档、即时通讯等。因其方便快捷成本低,注重解决远程沟通的效率与协作,成为诸多企业的首选。但不容忽视的是存在数据泄露风险,企业的一些关键成果和数据几乎处于裸奔状态,尤其是SaaS服务商和内部员工可以任意分享数据,这就要求企业去选择更靠谱的服务商以及做好员工权限管理工作。如今,不少SaaS产品开始转头提供私有化部署方案,也是为了解决客户的安全顾虑。 

企业内网直接通过端口暴露的方式在公网提供服务这类方案的优点是非常方便,为此付出的代价便是牺牲了安全性,企业核心资产暴露在公网上就是给攻击者提供活靶子。 

依托于内网业务系统,由传统的防火墙、IPS等安全设备组成安全边界,通过VPN进行远程办公。其优点在于很多企业已有部分建设,缺点在于体验感和安全性都欠佳。首先,VPN的频繁掉线和涉及多个内网需来回切换都非常影响工作状态,而且,已有大量案例表明,攻击者通过扫描VPN端口,通过VPN漏洞进入内网,在传统安全边界都是单次授权同时内部只是粗略地划分安全区的现状下,极易导致攻方进入内网后轻松地进行横向攻击。再者,以IP策略为基础的管理成本非常高,IP对应地理位置,而策略的对象是人,所以某人在不同的位置意味着不同的策略,在远程办公的场景下,最终对某个人的策略变成了地理位置*安全策略的排列组合。 

智能桌面虚拟化(Intelligent Desktop Virtualization,简称IDV)。采用集中存储、分布运算的构架,每个终端都是虚拟桌面节点,让用户远程访问尽量获得与物理终端一致的使用体验,通过划分专属工作空间,实现对敏感数据的访问控制及隔离管控。因此其在数据安全保护的观感上有所提升,但在实际应用中很难做到数据不落地,并且部分应用适配难度大,导致整体配置非常麻烦。 

虚拟远程桌面(Virtual Desktop Infrastructure,简称VDI)。采用集中计算、集中管理的架构,用户端只是桌面图像接受端,而所有数据都会保存在云端。由于数据不落地,安全性较好,但这类方案需要依托强大的CPU和消耗大量内存,采购、维护、管理成本都非常高,同时因为存在网络延迟,用户使用体验不尽人意。 

零信任架构。通过对身份、环境、设备、行为多源的持续信任评估与动态访问控制,实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。同时,相对于IDV/VDI等方案,零信任架构在采购和维护成本上也更低。 
对比上述不同的方案不难发现,效率与安全始终是存在矛盾的。王玮表示,企业的选择需要充分考虑自身的业务特点,如果完全没有安全需求,采用SaaS化方案把效率拉满,自然是符合企业追求利润最大化的倾向的。而如今更多的方案从效率导向越来越兼顾安全,也是市场需求的体现。其认为,零信任架构是对于有安全需求的企业而言,能够平衡安全与生产力极好的解决方案。
 
打造开箱即用的零信任方案 降低企业实施、管理及使用成本
 
零信任作为一种比较新的架构,在推向已有IT建设及安全部署的企业时,想要完全落地会面临相当大的难度。云山雾隐因此提出了打造“开箱即用的零信任安全方案”,提倡让企业的成本尽量趋于0。一是降低企业的实施成本,通过提供模块化的产品组件,根据企业的需求有选择地落地,同时在管理层面尽量降低管理员的成本;二是降低员工的使用成本,推行无感化的用户使用端,员工就跟登录网页一样,一套账号密码即可使用到其所拥有的所有权限的应用。
 
“基于Cloud Security Alliance的SDP标准规范,参考美国NIST的零信任架构与谷歌BeyondCorp最佳实践,我们打造了端隐SDP,以“5=4+1+N”理念构建了立体化的无边界零信任防护体系。由5大产品组件——零信任智能安全引擎、可信安全终端、可信身份认证、可信设备准入以及可信应用网关系统,为企业的终端设备、员工身份、网络设备企业资源这4类资产提供1整套智能身份体系,并进行N重持续认证,来提升企业的终端、网络、云计算以及应用的安全防护能力。”王玮介绍。
 


据了解,云山雾隐已为电子科技大学、峨眉山竹叶青、某市公安局、成都时域半导体等多家知名客户落地零信任安全解决方案,成功服务客户终端数超10,0000+。作为近几年网络安全领域饱受认可与推崇的理念架构,零信任热度斐然,赛道异常拥挤,云山雾隐作为一家非常年轻的厂商,靠什么打动用户,成为我们关注的重点。
 
王玮表示,团队中包括产品、运营及研发在内的核心人员均来自其母公司,在互联网通信与安全行业有着8年丰富的从业经验,参与过上亿用户体量的C端安全产品的开发与运营。其自研的通信协议正在为全球1亿用户提供服务,并在全球133个国家与地区布局了10000+服务器的威胁情报感知网络。其构建的这套零信任安全方案首先是基于自身与客户的实际需求,由内部孵化并得到实施验证后再逐步推向市场,兼具甲方思维和乙方基因,更关注可落地性、用户成本与体验、以及安全自主可控。
 
具体体现在产品中:
 

 
在架构层面,没有历史负担,从设计之初就采用零信任原生架构与使用成本最低的方式,并且在其国际化视野下,与全球最前沿的公司保持技术和理念一致; 

在体验层面,其自研的通信协议在安全和传输效率上更具竞争力,再加全球布局的服务器,对于业务分布广泛的企业用户而言在网络体验层面具有明显优势; 

在安全层面,其零信任安全引擎不仅通过设备、员工及行为相关的数据进行风险评估,同时还可以通过全球10000+服务器获取大量威胁情报。独有的加密算法,不仅包括友商提供的传统TLS/国密等算法,同时还可通过协议拟态提供主动防御,比如用户本来是在看视频,通过协议拟态后,黑客即使截取到数据,看到的也是用户在浏览网页; 

在用户认证层面,不仅包括传统的账密认证、多因素认证,还支持生物探针进行辅助认证,比如通过收集用户鼠标滑动等操作行为习惯来判断是不是合法用户; 

在应用兼容性方面,不仅支持私有化部署,支持SAML、OIDC等认证协议,同时还支持企业按需定制。如果企业更注重效率,不想引入复杂的安全管理流程和,则可通过端隐免密共享,管理员在后台登录后将该状态授权给用户,用户可直接使用但无法获得密码,在等同于使用记事本管理密码的成本下提高安全性,极大降低管理成本; 

在自主可控层面,其网络协议、安全引擎、加密算法以及项目的核心都是自主研发的,并且正逐步推进与国产信创产品的适配工作,不会出现任何因为立场或大环境变动所带来的无法使用的风险。 

循序渐进 逐步在效率与安全两方面获得最大价值
 
虽然零信任远程办公方案需要完全落地后,才能在效率和安全两个方面获得最大的价值,但王玮仍然务实地建议企业根据自己的组织架构和业务模式来进行选择或分步建设,这样一方面可以在较短的时间内构建起远程办公的基础架构,另一方面也可以节省成本,同时保证企业的业务不会中断。
 
第一步,梳理好自身的组织机构和业务模式,比如哪些业务哪些部门可以直接切换远程办公,可以选择为示范点;
第二步,对业务的安全要求进行优先级排序,哪些业务可以选择效率优先的方式,哪些业务需要更多考虑安全防护;
第三步,对不同的业务,如何整合在统一的工作台中,如何改变企业现有的管理模式以适应远程办公的特性,在最大化满足效率的同时保证安全;
第四步,根据需求选择模块化的解决方案,这样可以敏捷灵活的地同时拥有最大的拓展性;
第五步,在选定的示范点进行实施,并对员工进行制度与操作的培训;
第六步,进行PoC测试,一方面测试方案的落地情况,另一方面测试相应制度的执行情况;
第七步,在更大的范围内进行推广。
 

 
而对于远程办公以及零信任的未来前景,王玮依然保持了务实的态度——市场的需求决定了产品未来的走向。端隐SDP作为从自身需求出发并结合远程办公新趋势打造的方案,正在收获市场给予的正向反馈。随着企业管理模式、业务模式的优化,远程办公模式的未来依然是值得期待的。而在远程办公场景之外,如今,云山雾隐也正持续根据行业客户的需求结合零信任的理念提供面向多种具体问题的解决方案,比如基于零信任的网络设备准入及管理,基于零信任的大数据局数据交互管理方案,基于零信任的智慧城市安全解决方案等等。王玮表示,“我们坚持从用例出发,从实际需求场景出发,为提高企业安全能力、提升安全管理效率同时降低投入成本而努力。”
 
写在最后
安全419《远程办公解决方案》系列选题旨在展现疫情之中我国远程办公的应用情况,并探究在数字时代,远程办公模式(或混合工作模式)在国内究竟有没有未来,企业会面临哪些挑战,又需要什么样的配套能力?本系列选题将持续更新,欢迎更多有相关思考探索与技术能力的安全厂商和企业用户跟大家分享自己的实践经验,帮助更多企业找到适合自身行业、规模、管理和发展诉求的远程办公方式方法。