最近更新时间:2023.01.28 14:20:00
首次发布时间:2023.01.28 14:20:00
飞连是火山引擎旗下安全、便捷的数字化办公平台。在支撑字节跳动10万余人日常办公的过程中,迭代出了对办公安全问题的创新解决思路——基于动态决策引擎,一个平台打通身份权限、网络、终端管理,用更细粒度的威胁可见性与更加敏捷的风险处置能力,体系化落地企业安全制度。
当以随时随地、多终端为特征的无界办公模式兴起,字节跳动也在思考数字化办公的未来形态,以及其应该具备的安全属性。
随时随地办公(Work from Anywhere)在后疫情时代逐渐常态化。随着数字化基础设施逐步完善,线上业务日渐增多,企业办公也开始进入“移动”模式。这为员工提供了更加灵活的工作模式,也为组织带来了更加敏捷的业务处理速度,同时也带来了无法忽视的安全风险。
与前置的业务安全与生产网安全相比,办公网安全进入管理者视野似乎有些后知后觉,往往是发生了问题,或者真的造成了管理负担才会获得重视。以字节跳动的实践路径为例,也是从密码治理、业务后台防护、办公终端安全检测等单点问题入手,经历“治标不治本”或治理成本高昂之后,才逐步转向了体系化的安全建设思路,打通管理身份、网络、终端,并最终形成了今天飞连对外服务的形态。
办公安全领域中,企业面临身份、网络、终端三个实践命题。
从“机器”视角,转向“人”的视角
办公网与生产网的一大区别,是无法忽略的“人的变数”。 Human Factor是网络安全管理公认的难点,无论是从制度落地视角的员工行为,还是从攻防视角的入侵者防御,特别是在传统边界防御思维“失效”的现状下,身份与权限管理变得更加重要。
管理员工数字身份需要:
在随时随地的办公模式下,“身份”作为开启内部资源的一把钥匙,已成为一项关键的安全功能。
Gartner将 IAM 定义为“使合适的人,能够以合适的理由,在合适的时间,访问合适资源的策略、程序和技术”。根据《2020 年身份和访问管理报告》,90% 的组织认为IAM是其网络安全和风险管理状态的重要组成部分,这比2019 年增加了 4%。确认 IAM 作为一项战略要务意味着它应该从利益相关者的跨职能角度来看,涵盖业务领导、IT 和安全团队、客户、审计员、员工、承包商和非员工、供应商和合作伙伴等。
可靠的 IAM 方法能够帮助组织降低风险、提高合规性并提高整个企业的效率。
全场景动态访问控制
网络资源的细分权限管理
Wi-Fi、有线与虚拟专用网络(VPN)是企业的三种网络接入方式。作为数字化办公的基础设施,IT建设首先要保证高稳定、高可用的远程访问连接与办公区访问连接;其次是虚拟专用网络(VPN)与办公区网络之间,以及多地办公区之间的安全策略统一管理。
飞连网络资源管理的原则是:
考虑办公网的场景化需求,同时在网络层面和应用层面做准入控制,可以让方案更灵活,兼顾高效集中管理与精细化权限控制。此外在Wi-Fi与有线网络的管控上,飞连采用了不改变企业IT架构的利旧方案,与其他大规模改造实现全场景访问控制的解决方案相比,IT成本降低50%以上。
终端安全检测与联动处置
业务风险与数据风险
对于IT终端管理而言,不安全或未知的联网设备日益增长。无论是员工个人办公设备的接入,还是设备管理缺失带来的安全漏洞,都需要企业增强对办公终端的可见性,获得尽可能全面丰富的终端管理情报以支持策略制定,并通过自动化的风险联动处置,综合网络权限与设备权限收敛遏制威胁活动的蔓延。
总结常见的办公需求与主要终端安全风险:
可以看到,终端安全检测需要具有“与身份强相关”与“持续评估”两个特征,同时最好通过自动化、编排与集成来降低管理压力。
基于上述三个命题的思考,飞连通过一个平台打通身份、终端与网络管理,一方面收敛人的变数,另一方面落地企业办公安全制度,确保办公安全的持续评估与全链路控制。此外,产品沉淀了字节跳动的实践思考,引入“动态决策引擎”,提供给企业一个搭积木式的便捷配置平台,预设安全模板,管理员仅需调整策略参数与策略间关系,即可体系化落地办公安全管理。
当云计算、虚拟化、SaaS化不断推动业务发展时,我们也在思考企业办公的未来形态,它可能是更智能、更直观,也更个性化的。随着办公基础设施“软件化”,员工可以更加弹性地获取办公资源支持,从而达到激发灵感、增强协同、提高效率的目的,帮助他们更加专注于业务本身。对于IT支持与办公安全管理而言,同样也需要与之匹配的增强方案。
尽管业务类型与办公需求可能有所不同,但毋庸置疑,办公基础设施覆盖与管理复杂度必将提升,企业势必面临安全、效率、IT成本的“不可能三角”:即为了更高的安全水平,就要牺牲效率,增加IT成本;为了追求绝对效率,就要减少安全项目,潜在风险可能会增加IT成本;要想达到更优的IT成本,首先需要在安全与效率间做折中。而IT管理与网络安全建设,寻求的是这三者的最优解。
判断数字化办公解决方案的参考标准:
脱离了具体实践,任何安全设想都将成为空中楼阁。无论是办公场所信任构建,还是提升网络威胁可见性,又或是复杂办公终端的安全管理,都是需要持续探索的议题。而在当前的时间点,飞连提供了一种以身份为中心,统管网络与终端的解决方案,基于字节跳动的办公安全建设实践,尝试找到身份管理与安全管控的交叉点,从甲方视角出发,为问题解决提供另一种可能性。