字节跳动是如何解决10万员工“共同上网”问题的?答案是飞连。它支撑着大体量的网络准入和企业远程访问需求,把人和设备、人和IT环境、人和IT组织之间进行快速连接,保障员工正常办公。
近日,火山引擎解决方案专家分享了字节跳动打造飞连的缘由,并详细介绍了飞连如何满足数字化办公需求,以及字节跳动的实践案例。目前,飞连已经对外开放,企业通过火山引擎的“火种计划”,可以申请3个月免费使用权,限时免费版本为飞连系统软件企业版。
以下为火山引擎解决方案专家演讲实录:
飞连,字面意思是“飞速连接”。它看上去只是默默在每个员工电脑的后端运行着,只有一个客户端在外部显示,但它已经把员工的终端安全、远程办公、效率工具等品类工具,都融合到一起了。
2016年左右,我们发现市面上的一些产品,比如网络安全行业里的终端防病毒、终端准入控制以及虚拟专用网络等,都有着独立的产品线。每一条产品线,都是CS架构,这意味着它们都有独立的客户端、后台、控制台。
当时字节跳动内部的人员角色、部门在终端管理上都比较复杂,如果使用这些产品,会非常麻烦。因此,我们需要一款产品,只要一个客户端和一个控制台,就能搞定刚刚提到的所有功能,这款产品就是飞连。现在,在字节跳动内部,飞连实现了人和设备、人和IT环境、人和IT组织之间的快速安全连接,保障员工的正常办公。
数字化办公需求
下面,我们从三个层面看数字化办公的需求分析。
首先是业务层面。随着业务的数字化转型,交互速度越来越快,它要求企业的数字化办公模式,也要跟得上。很多企业,在这个时期需要员工能够随时随地安全访问后端内网的相关业务。这是后疫情时代一个大的趋势,普适性的需求。
第二块是技术面。云计算、移动互联基于新技术引入之后,对于传统网络防护边界的挑战是很大的。传统的纵深防御体系,对于多终端、多角色、多应用、多平台的环境,是比较难去应付的。这里面也引出了,现在在安全行业里比较热的“零信任”安全防护体系概念,它颠覆了原来“只要进入企业内网就默认安全”的规则。在零信任的体系中,每个人都是不可信的,并且要从零开始建立信任机制,有持续评估和动态权限控制的理念在其中。
第三块是政策层。2017年6月1号,国内第一部网络安全法颁布之后,就要求了网络安全等级保护的落地。2019年12月,等保2.0也发布了。这些意味着网络安全安全已经提升到了国家安全层面,同时这也指引了相关的企事业单位,要做到实质性的安全建设。
所以说,后续企业的发展中,如果涉及相关安全的业务,需要做等级保护的备案。这样,企业才能更好地去服务客户,同时也能保护好自身信息数据相关的资产安全。
在数字化办公场景下,现在诞生了身份、网络、终端等角度下的新需求。
从身份来讲,我们主要关注员工在入、转、调、离等各个办公周期环节中,员工权限如何能够去跟身份快速匹配。在这个点里,很多企业在人员权限变动时,更改相关策略,常常发生错配、漏配的问题,最后导致了数据资产的外泄。
另外,员工在使用过程中也需要相关的业务保障。比如分时段上很多业务系统后,每个系统都会有单独的用户名跟密码。那如何把账号进行统一管理,让员工快速触达,然后提供相关的安全保障策略?这块在身份安全管理的角度下,也是非常重要的一个问题。
第二是网络侧,目前权限的运维,包括给员工提供多种网络的接入,对于网络运维部门,存在很多的挑战。因为网络的安全、人员的快速接入以及效率,这些之间要如何平衡?
第三是终端。刚刚提到过字节跳动当年遇到的一些问题,包括现在很多企业也同样遇到了。比如说我们有个企业客户,每个电脑上有四个端,网络准入、防病毒、虚拟专用网络、数据防泄漏,各有一个客户端,这对企业IT部门,包括网络安全、运维部门的压力是非常大的。现在他们非常想把相关产品进行整合,当然也在考虑怎么去过渡。
另外是移动端相关方案的缺失。一些企业移动性管理(EMM)方案在初创型、发展型的企业里面,落地其实是比较重的。那如何能够做到多个端的安全期限能够去统一。比如说有iOS、安卓等移动办公设备需要具备一定的安全防护手段。那这个时候,我们就可以去使用比如飞连这样的轻量化产品,去适合企业当前阶段的移动安全建设。
飞连——数字化办公安全解决方案
上面主要讲了需求分析的部分,下面围绕飞连的解决方案来给大家介绍。
飞连数字化办公安全解决方案,其实就是针对以上痛点,针对终端、网络、身份等角度,来考虑每个环节里面应该具备哪些能力。
在身份可信方面,飞连提供了企业相关业务的单点登录能力,包括多因素认证,以及敏感系统二次校验等。
在网络可信方面,我们非常关注有线网络、无线网络和企业虚拟专用网络的易用性问题,支持员工免配置连接的能力。同时,飞连可以配合相关安全检查,动态调整不同的网络权限。
围绕终端可信,因为远程办公的需求场景是非常普适的。企业内部数据中心的业务对外开放之后,访问端的安全,会直接影响到业务端的安全。所以说,为了不让参差不齐的终端,包括多人员、多角色,成为安全的短板,我们也要求终端安全要具备基线核查、数据防泄漏、防病毒、资产梳理等能力。
基于以上的考虑,我们可以很好地理解飞连是一个什么样的产品了。飞连主要是面向终端安全、远程办公、IT效率工具的一个产品。
从飞连解决方案架构设计来看,可以满足比如传统网络环境部署,以及私有云、公有云、混合云、多云异构这样环境部署。另外,如果网络安全架构相对完善,有相关安全管理平台,飞连可以提供相关的Open API,对接调用飞连相关的能力。
上面一层是三个引擎层。第一块是持续评估与信任分析引擎。这是字节跳动内部能够通过几十人的团队,去管理十万人终端、网络和身份的利器。第二块是恶意软件检测引擎。我们会和业界比较成熟的杀毒软件厂商去合作。最后一块是偏运维的可视化分析引擎,主要是增强可视化运维的能力。
再上面的主要功能点分为三块,一块是面向员工侧,主要解决网络的一键连接,包括有线、无线、虚拟专用网络。另外一块是多端融合。再有一块是面向合规,提供端到端的安全功能,去满足等级保护相关的控制项。最后是面向IT人员,飞连可以提供一些运维能力,例如飞连可以和企业IM软件进行联动。我们内部,飞连就和飞书进行了联动,在员工自己发现电脑出问题的时候,可以在飞连点击IT值班号,直接把飞书上的IT部门对话框调用起来,快速解决IT问题。
最上层是系统管理层,包括了账号管理、资产管理、可视化、审计管理等等。解决方案两边是偏安全管理类的。
从目前飞连对外发布的版本,我们看一下能够提供哪些功能点。这些功能都能以模块化的方式,给企业提供选择性的采购。比如有Wi-Fi管理模块,可以同时支持访客和员工,还有数据防泄漏模块、准入控制模块、防病毒模块、企业虚拟专用网络等模块、统一身份认证管理模块,支持了这样一个完整的身份管理系统。
另外,还有运维审计以及降本提效的相关工具。飞连可以去帮助管理员工办公电脑的软件安装,了解安装率。这样的话,后续企业自己采购的电脑,可以预装好相关办公软件。
这里是飞连开放性的一个功能,最近迭代了动态安全机制。动态安全是由零信任这样的安全防护体系概念去承载的。现在有了多端融合的基础,也解决了多端的兼容性问题,能很好地把不同维度的安全状态、安全信息,汇总到飞连的服务端。
那么飞连服务端,再进行相关安全策略的升降级、禁止等策略的匹配,去满足员工在不同场景下,访问权限的变动。例如某员工电脑没有装防病毒软件,这个时候判断,它是低安全性的终端,那就不允许访问内网业务,只能访问互联网。在装好防病毒软件后,该员工才能正常访问业务。这些准入的动态调整,飞连都是可以控制。
这是多场景的灵活部署,体现了飞连的轻交付特性。因为飞连属于私有化部署,可以用镜像方式部署在私有云、公有云上。飞连对后端资源的要求,我们也做了很多的优化。另外,飞连也可以支持集群的高可用的部署。
字节跳动飞连实践分享
2017年字节跳动开始自研时,是以企业虚拟专用网络、准入和IAM三个能力来打造的飞连,后面逐步增加了IT效率,以及安全方面的功能,包括权限管理、数据防泄露、效率排查、风险评估等。
疫情期间,字节跳动10万人一直都是用飞连安全地远程办公,在这种大并发的场景下,飞连产品经受住了很大的考验。
在字节跳动内部,通过飞连实现了很多功能。比如说,我们可以和企业的即时通讯飞书去做对接,比如用飞书的账号来一键登录飞连,保证员工的易用性。另外,可以把企业现在的组织架构同步到飞连里面来,去保证基于角色、部门,做权限的调整。
这是网络方面的企业虚拟专用网络功能,这是实际手机客户端的截图。这里还提供了企业无线网络的管理,其中包括两种场景:
一个是员工访客Wi-Fi的管理。互联网安全保护技术措施规定,企业的网络访问要有审计的留存。那审计之前,我们需要识别。在接待访客的时候,访客连入企业无线后,我们可以拿着飞连客户端,去扫描回弹的二维码,去输入相关的人员信息。
另外一块是员工自己。目前部分企业员工在使用无线时存在一些常见问题。比如他们需要自己记住企业的无线密码,需要定期地更改密码,员工的密码复杂度可能不满足要求。对此,飞连有一个功能,现在很多企业都非常认可,就是员工可以不需要去记Wi-Fi连接的相关密码。只要下载好飞连客户端后,在客户端上点击一键连接,就可以直接连到企业内网。
另外,无线的访问权限,和员工的身份也是匹配的。例如员工离职之后,他无法再连上企业的无线网络了。
这是安全合规的基线检查。相较市面上的部分安全厂商,飞连有一个比较突出的优势,就是做了全终端的基线准入控制。最后,飞连还提供了一些二次认证的机制。
以上是对飞连产品的一个整体介绍。近期火山引擎发布了限时增长助推计划“火种计划”,助力企业伙伴实现数字化转型。企业可以访问火山引擎官方网站,通过首页“火种计划”申请3个月免费使用权,限时免费版本为飞连系统软件企业版。
免责声明:凡本网注明 “来源:XXX(非中华房产网)” 的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。