字节跳动是如何解决10万员工“共同上网”问题的?答案是飞连。它支撑着大体量的网络准入和企业远程访问需求,把人和设备、人和IT环境、人和IT组织之间进行快速连接,保障员工正常办公。
近日,火山引擎解决方案专家分享了字节跳动打造飞连的缘由,并详细介绍了飞连如何满足数字化办公需求,以及字节跳动的实践案例。目前,飞连已经对外开放,企业通过火山引擎的“火种计划”,可以申请3个月免费使用权,限时免费版本为飞连系统软件企业版。
以下为火山引擎解决方案专家演讲实录:
飞连,字面意思是“飞速连接”。它看上去只是默默在每个员工电脑的后端运行着,只有一个客户端在外部显示,但它已经把员工的终端安全、远程办公、效率工具等品类工具,都融合到一起了。
2016年左右,我们发现市面上的一些产品,比如网络安全行业里的终端防病毒、终端准入控制以及虚拟专用网络等,都有着独立的产品线。每一条产品线,都是CS架构,这意味着它们都有独立的客户端、后台、控制台。
当时字节跳动内部的人员角色、部门在终端管理上都比较复杂,如果使用这些产品,会非常麻烦。因此,我们需要一款产品,只要一个客户端和一个控制台,就能搞定刚刚提到的所有功能,这款产品就是飞连。现在,在字节跳动内部,飞连实现了人和设备、人和IT环境、人和IT组织之间的快速安全连接,保障员工的正常办公。
数字化办公需求
下面,我们从三个层面看数字化办公的需求分析。
首先是业务层面。随着业务的数字化转型,交互速度越来越快,它要求企业的数字化办公模式,也要跟得上。很多企业,在这个时期需要员工能够随时随地安全访问后端内网的相关业务。这是后疫情时代一个大的趋势,普适性的需求。
第二块是技术面。云计算、移动互联基于新技术引入之后,对于传统网络防护边界的挑战是很大的。传统的纵深防御体系,对于多终端、多角色、多应用、多平台的环境,是比较难去应付的。这里面也引出了,现在在安全行业里比较热的“零信任”安全防护体系概念,它颠覆了原来“只要进入企业内网就默认安全”的规则。在零信任的体系中,每个人都是不可信的,并且要从零开始建立信任机制,有持续评估和动态权限控制的理念在其中。
第三块是政策层。2017年6月1号,国内第一部网络安全法颁布之后,就要求了网络安全等级保护的落地。2019年12月,等保2.0也发布了。这些意味着网络安全安全已经提升到了国家安全层面,同时这也指引了相关的企事业单位,要做到实质性的安全建设。
所以说,后续企业的发展中,如果涉及相关安全的业务,需要做等级保护的备案。这样,企业才能更好地去服务客户,同时也能保护好自身信息数据相关的资产安全。
在数字化办公场景下,现在诞生了身份、网络、终端等角度下的新需求。
从身份来讲,我们主要关注员工在入、转、调、离等各个办公周期环节中,员工权限如何能够去跟身份快速匹配。在这个点里,很多企业在人员权限变动时,更改相关策略,常常发生错配、漏配的问题,最后导致了数据资产的外泄。
另外,员工在使用过程中也需要相关的业务保障。比如分时段上很多业务系统后,每个系统都会有单独的用户名跟密码。那如何把账号进行统一管理,让员工快速触达,然后提供相关的安全保障策略?这块在身份安全管理的角度下,也是非常重要的一个问题。
第二是网络侧,目前权限的运维,包括给员工提供多种网络的接入,对于网络运维部门,存在很多的挑战。因为网络的安全、人员的快速接入以及效率,这些之间要如何平衡?
第三是终端。刚刚提到过字节跳动当年遇到的一些问题,包括现在很多企业也同样遇到了。比如说我们有个企业客户,每个电脑上有四个端,网络准入、防病毒、虚拟专用网络、数据防泄漏,各有一个客户端,这对企业IT部门,包括网络安全、运维部门的压力是非常大的。现在他们非常想把相关产品进行整合,当然也在考虑怎么去过渡。
另外是移动端相关方案的缺失。一些企业移动性管理(EMM)方案在初创型、发展型的企业里面,落地其实是比较重的。那如何能够做到多个端的安全期限能够去统一。比如说有iOS、安卓等移动办公设备需要具备一定的安全防护手段。那这个时候,我们就可以去使用比如飞连这样的轻量化产品,去适合企业当前阶段的移动安全建设。
飞连——数字化办公安全解决方案
上面主要讲了需求分析的部分,下面围绕飞连的解决方案来给大家介绍。
飞连数字化办公安全解决方案,其实就是针对以上痛点,针对终端、网络、身份等角度,来考虑每个环节里面应该具备哪些能力。
在身份可信方面,飞连提供了企业相关业务的单点登录能力,包括多因素认证,以及敏感系统二次校验等。
在网络可信方面,我们非常关注有线网络、无线网络和企业虚拟专用网络的易用性问题,支持员工免配置连接的能力。同时,飞连可以配合相关安全检查,动态调整不同的网络权限。
围绕终端可信,因为远程办公的需求场景是非常普适的。企业内部数据中心的业务对外开放之后,访问端的安全,会直接影响到业务端的安全。所以说,为了不让参差不齐的终端,包括多人员、多角色,成为安全的短板,我们也要求终端安全要具备基线核查、数据防泄漏、防病毒、资产梳理等能力。
基于以上的考虑,我们可以很好地理解飞连是一个什么样的产品了。飞连主要是面向终端安全、远程办公、IT效率工具的一个产品。
从飞连解决方案架构设计来看,可以满足比如传统网络环境部署,以及私有云、公有云、混合云、多云异构这样环境部署。另外,如果网络安全架构相对完善,有相关安全管理平台,飞连可以提供相关的Open API,对接调用飞连相关的能力。
上面一层是三个引擎层。第一块是持续评估与信任分析引擎。这是字节跳动内部能够通过几十人的团队,去管理十万人终端、网络和身份的利器。第二块是恶意软件检测引擎。我们会和业界比较成熟的杀毒软件厂商去合作。最后一块是偏运维的可视化分析引擎,主要是增强可视化运维的能力。
再上面的主要功能点分为三块,一块是面向员工侧,主要解决网络的一键连接,包括有线、无线、 虚拟专用网络。另外一块是多端融合。再有一块是面向合规,提供端到端的安全功能,去满足等级保护相关的控制项。最后是面向IT人员,飞连可以提供一些运维能力,例如飞连可以和企业IM软件进行联动。我们内部,飞连就和飞书进行了联动,在员工自己发现电脑出问题的时候,可以在飞连点击IT值班号,直接把飞书上的IT部门对话框调用起来,快速解决IT问题。
最上层是系统管理层,包括了账号管理、资产管理、可视化、审计管理等等。解决方案两边是偏安全管理类的。
从目前飞连对外发布的版本,我们看一下能够提供哪些功能点。这些功能都能以模块化的方式,给企业提供选择性的采购。比如有Wi-Fi管理模块,可以同时支持访客和员工,还有数据防泄漏模块、准入控制模块、防病毒模块、企业虚拟专用网络等模块、统一身份认证管理模块,支持了这样一个完整的身份管理系统。
另外,还有运维审计以及降本提效的相关工具。飞连可以去帮助管理员工办公电脑的软件安装,了解安装率。这样的话,后续企业自己采购的电脑,可以预装好相关办公软件。
这里是飞连开放性的一个功能,最近迭代了动态安全机制。动态安全是由零信任这样的安全防护体系概念去承载的。现在有了多端融合的基础,也解决了多端的兼容性问题,能很好地把不同维度的安全状态、安全信息,汇总到飞连的服务端。
那么飞连服务端,再进行相关安全策略的升降级、禁止等策略的匹配,去满足员工在不同场景下,访问权限的变动。例如某员工电脑没有装防病毒软件,这个时候判断,它是低安全性的终端,那就不允许访问内网业务,只能访问互联网。在装好防病毒软件后,该员工才能正常访问业务。这些准入的动态调整,飞连都是可以控制。
这是多场景的灵活部署,体现了飞连的轻交付特性。因为飞连属于私有化部署,可以用镜像方式部署在私有云、公有云上。飞连对后端资源的要求,我们也做了很多的优化。另外,飞连也可以支持集群的高可用的部署。
字节跳动飞连实践分享
2017 年字节跳动开始自研时,是以企业虚拟专用网络、准入和IAM三个能力来打造的飞连,后面逐步增加了IT效率,以及安全方面的功能,包括权限管理、数据防泄露、效率排查、风险评估等。
疫情期间,字节跳动10万人一直都是用飞连安全地远程办公,在这种大并发的场景下,飞连产品经受住了很大的考验。
在字节跳动内部,通过飞连实现了很多功能。比如说,我们可以和企业的即时通讯飞书去做对接,比如用飞书的账号来一键登录飞连,保证员工的易用性。另外,可以把企业现在的组织架构同步到飞连里面来,去保证基于角色、部门,做权限的调整。
这是网络方面的企业虚拟专用网络功能,这是实际手机客户端的截图。这里还提供了企业无线网络的管理,其中包括两种场景:
一个是员工访客 Wi-Fi 的管理。互联网安全保护技术措施规定,企业的网络访问要有审计的留存。那审计之前,我们需要识别。在接待访客的时候,访客连入企业无线后,我们可以拿着飞连客户端,去扫描回弹的二维码,去输入相关的人员信息。
另外一块是员工自己。目前部分企业员工在使用无线时存在一些常见问题。比如他们需要自己记住企业的无线密码,需要定期地更改密码,员工的密码复杂度可能不满足要求。对此,飞连有一个功能,现在很多企业都非常认可,就是员工可以不需要去记Wi-Fi连接的相关密码。只要下载好飞连客户端后,在客户端上点击一键连接,就可以直接连到企业内网。
另外,无线的访问权限,和员工的身份也是匹配的。例如员工离职之后,他无法再连上企业的无线网络了。
这是安全合规的基线检查。相较市面上的部分安全厂商,飞连有一个比较突出的优势,就是做了全终端的基线准入控制。最后,飞连还提供了一些二次认证的机制。
以上是对飞连产品的一个整体介绍。近期火山引擎发布了限时增长助推计划“火种计划”,助力企业伙伴实现数字化转型。企业可以访问火山引擎官方网站,通过首页“火种计划”申请3个月免费使用权,限时免费版本为飞连系统软件企业版。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )