字節(jié)跳動(dòng)是如何解決10萬(wàn)員工“共同上網(wǎng)”問(wèn)題的?答案是飛連。它支撐著大體量的網(wǎng)絡(luò)準(zhǔn)入和企業(yè)遠(yuǎn)程訪問(wèn)需求,把人和設(shè)備、人和IT環(huán)境、人和IT組織之間進(jìn)行快速連接,保障員工正常辦公。
近日,火山引擎解決方案專家分享了字節(jié)跳動(dòng)打造飛連的緣由,并詳細(xì)介紹了飛連如何滿足數(shù)字化辦公需求,以及字節(jié)跳動(dòng)的實(shí)踐案例。目前,飛連已經(jīng)對(duì)外開(kāi)放,企業(yè)通過(guò)火山引擎的“火種計(jì)劃”,可以申請(qǐng)3個(gè)月免費(fèi)使用權(quán),限時(shí)免費(fèi)版本為飛連系統(tǒng)軟件企業(yè)版。
以下為火山引擎解決方案專家演講實(shí)錄:
飛連,字面意思是“飛速連接”。它看上去只是默默在每個(gè)員工電腦的后端運(yùn)行著,只有一個(gè)客戶端在外部顯示,但它已經(jīng)把員工的終端安全、遠(yuǎn)程辦公、效率工具等品類工具,都融合到一起了。
2016年左右,我們發(fā)現(xiàn)市面上的一些產(chǎn)品,比如網(wǎng)絡(luò)安全行業(yè)里的終端防病毒、終端準(zhǔn)入控制以及虛擬專用網(wǎng)絡(luò)等,都有著獨(dú)立的產(chǎn)品線。每一條產(chǎn)品線,都是CS架構(gòu),這意味著它們都有獨(dú)立的客戶端、后臺(tái)、控制臺(tái)。
當(dāng)時(shí)字節(jié)跳動(dòng)內(nèi)部的人員角色、部門(mén)在終端管理上都比較復(fù)雜,如果使用這些產(chǎn)品,會(huì)非常麻煩。因此,我們需要一款產(chǎn)品,只要一個(gè)客戶端和一個(gè)控制臺(tái),就能搞定剛剛提到的所有功能,這款產(chǎn)品就是飛連?,F(xiàn)在,在字節(jié)跳動(dòng)內(nèi)部,飛連實(shí)現(xiàn)了人和設(shè)備、人和IT環(huán)境、人和IT組織之間的快速安全連接,保障員工的正常辦公。
數(shù)字化辦公需求
下面,我們從三個(gè)層面看數(shù)字化辦公的需求分析。
首先是業(yè)務(wù)層面。隨著業(yè)務(wù)的數(shù)字化轉(zhuǎn)型,交互速度越來(lái)越快,它要求企業(yè)的數(shù)字化辦公模式,也要跟得上。很多企業(yè),在這個(gè)時(shí)期需要員工能夠隨時(shí)隨地安全訪問(wèn)后端內(nèi)網(wǎng)的相關(guān)業(yè)務(wù)。這是后疫情時(shí)代一個(gè)大的趨勢(shì),普適性的需求。
第二塊是技術(shù)面。云計(jì)算、移動(dòng)互聯(lián)基于新技術(shù)引入之后,對(duì)于傳統(tǒng)網(wǎng)絡(luò)防護(hù)邊界的挑戰(zhàn)是很大的。傳統(tǒng)的縱深防御體系,對(duì)于多終端、多角色、多應(yīng)用、多平臺(tái)的環(huán)境,是比較難去應(yīng)付的。這里面也引出了,現(xiàn)在在安全行業(yè)里比較熱的“零信任”安全防護(hù)體系概念,它顛覆了原來(lái)“只要進(jìn)入企業(yè)內(nèi)網(wǎng)就默認(rèn)安全”的規(guī)則。在零信任的體系中,每個(gè)人都是不可信的,并且要從零開(kāi)始建立信任機(jī)制,有持續(xù)評(píng)估和動(dòng)態(tài)權(quán)限控制的理念在其中。
第三塊是政策層。2017年6月1號(hào),國(guó)內(nèi)第一部網(wǎng)絡(luò)安全法頒布之后,就要求了網(wǎng)絡(luò)安全等級(jí)保護(hù)的落地。2019年12月,等保2.0也發(fā)布了。這些意味著網(wǎng)絡(luò)安全安全已經(jīng)提升到了國(guó)家安全層面,同時(shí)這也指引了相關(guān)的企事業(yè)單位,要做到實(shí)質(zhì)性的安全建設(shè)。
所以說(shuō),后續(xù)企業(yè)的發(fā)展中,如果涉及相關(guān)安全的業(yè)務(wù),需要做等級(jí)保護(hù)的備案。這樣,企業(yè)才能更好地去服務(wù)客戶,同時(shí)也能保護(hù)好自身信息數(shù)據(jù)相關(guān)的資產(chǎn)安全。
在數(shù)字化辦公場(chǎng)景下,現(xiàn)在誕生了身份、網(wǎng)絡(luò)、終端等角度下的新需求。
從身份來(lái)講,我們主要關(guān)注員工在入、轉(zhuǎn)、調(diào)、離等各個(gè)辦公周期環(huán)節(jié)中,員工權(quán)限如何能夠去跟身份快速匹配。在這個(gè)點(diǎn)里,很多企業(yè)在人員權(quán)限變動(dòng)時(shí),更改相關(guān)策略,常常發(fā)生錯(cuò)配、漏配的問(wèn)題,最后導(dǎo)致了數(shù)據(jù)資產(chǎn)的外泄。
另外,員工在使用過(guò)程中也需要相關(guān)的業(yè)務(wù)保障。比如分時(shí)段上很多業(yè)務(wù)系統(tǒng)后,每個(gè)系統(tǒng)都會(huì)有單獨(dú)的用戶名跟密碼。那如何把賬號(hào)進(jìn)行統(tǒng)一管理,讓員工快速觸達(dá),然后提供相關(guān)的安全保障策略?這塊在身份安全管理的角度下,也是非常重要的一個(gè)問(wèn)題。
第二是網(wǎng)絡(luò)側(cè),目前權(quán)限的運(yùn)維,包括給員工提供多種網(wǎng)絡(luò)的接入,對(duì)于網(wǎng)絡(luò)運(yùn)維部門(mén),存在很多的挑戰(zhàn)。因?yàn)榫W(wǎng)絡(luò)的安全、人員的快速接入以及效率,這些之間要如何平衡?
第三是終端。剛剛提到過(guò)字節(jié)跳動(dòng)當(dāng)年遇到的一些問(wèn)題,包括現(xiàn)在很多企業(yè)也同樣遇到了。比如說(shuō)我們有個(gè)企業(yè)客戶,每個(gè)電腦上有四個(gè)端,網(wǎng)絡(luò)準(zhǔn)入、防病毒、虛擬專用網(wǎng)絡(luò)、數(shù)據(jù)防泄漏,各有一個(gè)客戶端,這對(duì)企業(yè)IT部門(mén),包括網(wǎng)絡(luò)安全、運(yùn)維部門(mén)的壓力是非常大的?,F(xiàn)在他們非常想把相關(guān)產(chǎn)品進(jìn)行整合,當(dāng)然也在考慮怎么去過(guò)渡。
另外是移動(dòng)端相關(guān)方案的缺失。一些企業(yè)移動(dòng)性管理(EMM)方案在初創(chuàng)型、發(fā)展型的企業(yè)里面,落地其實(shí)是比較重的。那如何能夠做到多個(gè)端的安全期限能夠去統(tǒng)一。比如說(shuō)有iOS、安卓等移動(dòng)辦公設(shè)備需要具備一定的安全防護(hù)手段。那這個(gè)時(shí)候,我們就可以去使用比如飛連這樣的輕量化產(chǎn)品,去適合企業(yè)當(dāng)前階段的移動(dòng)安全建設(shè)。
飛連——數(shù)字化辦公安全解決方案
上面主要講了需求分析的部分,下面圍繞飛連的解決方案來(lái)給大家介紹。
飛連數(shù)字化辦公安全解決方案,其實(shí)就是針對(duì)以上痛點(diǎn),針對(duì)終端、網(wǎng)絡(luò)、身份等角度,來(lái)考慮每個(gè)環(huán)節(jié)里面應(yīng)該具備哪些能力。
在身份可信方面,飛連提供了企業(yè)相關(guān)業(yè)務(wù)的單點(diǎn)登錄能力,包括多因素認(rèn)證,以及敏感系統(tǒng)二次校驗(yàn)等。
在網(wǎng)絡(luò)可信方面,我們非常關(guān)注有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)和企業(yè)虛擬專用網(wǎng)絡(luò)的易用性問(wèn)題,支持員工免配置連接的能力。同時(shí),飛連可以配合相關(guān)安全檢查,動(dòng)態(tài)調(diào)整不同的網(wǎng)絡(luò)權(quán)限。
圍繞終端可信,因?yàn)檫h(yuǎn)程辦公的需求場(chǎng)景是非常普適的。企業(yè)內(nèi)部數(shù)據(jù)中心的業(yè)務(wù)對(duì)外開(kāi)放之后,訪問(wèn)端的安全,會(huì)直接影響到業(yè)務(wù)端的安全。所以說(shuō),為了不讓參差不齊的終端,包括多人員、多角色,成為安全的短板,我們也要求終端安全要具備基線核查、數(shù)據(jù)防泄漏、防病毒、資產(chǎn)梳理等能力。
基于以上的考慮,我們可以很好地理解飛連是一個(gè)什么樣的產(chǎn)品了。飛連主要是面向終端安全、遠(yuǎn)程辦公、IT效率工具的一個(gè)產(chǎn)品。
從飛連解決方案架構(gòu)設(shè)計(jì)來(lái)看,可以滿足比如傳統(tǒng)網(wǎng)絡(luò)環(huán)境部署,以及私有云、公有云、混合云、多云異構(gòu)這樣環(huán)境部署。另外,如果網(wǎng)絡(luò)安全架構(gòu)相對(duì)完善,有相關(guān)安全管理平臺(tái),飛連可以提供相關(guān)的Open API,對(duì)接調(diào)用飛連相關(guān)的能力。
上面一層是三個(gè)引擎層。第一塊是持續(xù)評(píng)估與信任分析引擎。這是字節(jié)跳動(dòng)內(nèi)部能夠通過(guò)幾十人的團(tuán)隊(duì),去管理十萬(wàn)人終端、網(wǎng)絡(luò)和身份的利器。第二塊是惡意軟件檢測(cè)引擎。我們會(huì)和業(yè)界比較成熟的殺毒軟件廠商去合作。最后一塊是偏運(yùn)維的可視化分析引擎,主要是增強(qiáng)可視化運(yùn)維的能力。
再上面的主要功能點(diǎn)分為三塊,一塊是面向員工側(cè),主要解決網(wǎng)絡(luò)的一鍵連接,包括有線、無(wú)線、 虛擬專用網(wǎng)絡(luò)。另外一塊是多端融合。再有一塊是面向合規(guī),提供端到端的安全功能,去滿足等級(jí)保護(hù)相關(guān)的控制項(xiàng)。最后是面向IT人員,飛連可以提供一些運(yùn)維能力,例如飛連可以和企業(yè)IM軟件進(jìn)行聯(lián)動(dòng)。我們內(nèi)部,飛連就和飛書(shū)進(jìn)行了聯(lián)動(dòng),在員工自己發(fā)現(xiàn)電腦出問(wèn)題的時(shí)候,可以在飛連點(diǎn)擊IT值班號(hào),直接把飛書(shū)上的IT部門(mén)對(duì)話框調(diào)用起來(lái),快速解決IT問(wèn)題。
最上層是系統(tǒng)管理層,包括了賬號(hào)管理、資產(chǎn)管理、可視化、審計(jì)管理等等。解決方案兩邊是偏安全管理類的。
從目前飛連對(duì)外發(fā)布的版本,我們看一下能夠提供哪些功能點(diǎn)。這些功能都能以模塊化的方式,給企業(yè)提供選擇性的采購(gòu)。比如有Wi-Fi管理模塊,可以同時(shí)支持訪客和員工,還有數(shù)據(jù)防泄漏模塊、準(zhǔn)入控制模塊、防病毒模塊、企業(yè)虛擬專用網(wǎng)絡(luò)等模塊、統(tǒng)一身份認(rèn)證管理模塊,支持了這樣一個(gè)完整的身份管理系統(tǒng)。
另外,還有運(yùn)維審計(jì)以及降本提效的相關(guān)工具。飛連可以去幫助管理員工辦公電腦的軟件安裝,了解安裝率。這樣的話,后續(xù)企業(yè)自己采購(gòu)的電腦,可以預(yù)裝好相關(guān)辦公軟件。
這里是飛連開(kāi)放性的一個(gè)功能,最近迭代了動(dòng)態(tài)安全機(jī)制。動(dòng)態(tài)安全是由零信任這樣的安全防護(hù)體系概念去承載的?,F(xiàn)在有了多端融合的基礎(chǔ),也解決了多端的兼容性問(wèn)題,能很好地把不同維度的安全狀態(tài)、安全信息,匯總到飛連的服務(wù)端。
那么飛連服務(wù)端,再進(jìn)行相關(guān)安全策略的升降級(jí)、禁止等策略的匹配,去滿足員工在不同場(chǎng)景下,訪問(wèn)權(quán)限的變動(dòng)。例如某員工電腦沒(méi)有裝防病毒軟件,這個(gè)時(shí)候判斷,它是低安全性的終端,那就不允許訪問(wèn)內(nèi)網(wǎng)業(yè)務(wù),只能訪問(wèn)互聯(lián)網(wǎng)。在裝好防病毒軟件后,該員工才能正常訪問(wèn)業(yè)務(wù)。這些準(zhǔn)入的動(dòng)態(tài)調(diào)整,飛連都是可以控制。
這是多場(chǎng)景的靈活部署,體現(xiàn)了飛連的輕交付特性。因?yàn)轱w連屬于私有化部署,可以用鏡像方式部署在私有云、公有云上。飛連對(duì)后端資源的要求,我們也做了很多的優(yōu)化。另外,飛連也可以支持集群的高可用的部署。
字節(jié)跳動(dòng)飛連實(shí)踐分享
2017 年字節(jié)跳動(dòng)開(kāi)始自研時(shí),是以企業(yè)虛擬專用網(wǎng)絡(luò)、準(zhǔn)入和IAM三個(gè)能力來(lái)打造的飛連,后面逐步增加了IT效率,以及安全方面的功能,包括權(quán)限管理、數(shù)據(jù)防泄露、效率排查、風(fēng)險(xiǎn)評(píng)估等。
疫情期間,字節(jié)跳動(dòng)10萬(wàn)人一直都是用飛連安全地遠(yuǎn)程辦公,在這種大并發(fā)的場(chǎng)景下,飛連產(chǎn)品經(jīng)受住了很大的考驗(yàn)。
在字節(jié)跳動(dòng)內(nèi)部,通過(guò)飛連實(shí)現(xiàn)了很多功能。比如說(shuō),我們可以和企業(yè)的即時(shí)通訊飛書(shū)去做對(duì)接,比如用飛書(shū)的賬號(hào)來(lái)一鍵登錄飛連,保證員工的易用性。另外,可以把企業(yè)現(xiàn)在的組織架構(gòu)同步到飛連里面來(lái),去保證基于角色、部門(mén),做權(quán)限的調(diào)整。
這是網(wǎng)絡(luò)方面的企業(yè)虛擬專用網(wǎng)絡(luò)功能,這是實(shí)際手機(jī)客戶端的截圖。這里還提供了企業(yè)無(wú)線網(wǎng)絡(luò)的管理,其中包括兩種場(chǎng)景:
一個(gè)是員工訪客 Wi-Fi 的管理?;ヂ?lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定,企業(yè)的網(wǎng)絡(luò)訪問(wèn)要有審計(jì)的留存。那審計(jì)之前,我們需要識(shí)別。在接待訪客的時(shí)候,訪客連入企業(yè)無(wú)線后,我們可以拿著飛連客戶端,去掃描回彈的二維碼,去輸入相關(guān)的人員信息。
另外一塊是員工自己。目前部分企業(yè)員工在使用無(wú)線時(shí)存在一些常見(jiàn)問(wèn)題。比如他們需要自己記住企業(yè)的無(wú)線密碼,需要定期地更改密碼,員工的密碼復(fù)雜度可能不滿足要求。對(duì)此,飛連有一個(gè)功能,現(xiàn)在很多企業(yè)都非常認(rèn)可,就是員工可以不需要去記Wi-Fi連接的相關(guān)密碼。只要下載好飛連客戶端后,在客戶端上點(diǎn)擊一鍵連接,就可以直接連到企業(yè)內(nèi)網(wǎng)。
另外,無(wú)線的訪問(wèn)權(quán)限,和員工的身份也是匹配的。例如員工離職之后,他無(wú)法再連上企業(yè)的無(wú)線網(wǎng)絡(luò)了。
這是安全合規(guī)的基線檢查。相較市面上的部分安全廠商,飛連有一個(gè)比較突出的優(yōu)勢(shì),就是做了全終端的基線準(zhǔn)入控制。最后,飛連還提供了一些二次認(rèn)證的機(jī)制。
以上是對(duì)飛連產(chǎn)品的一個(gè)整體介紹。近期火山引擎發(fā)布了限時(shí)增長(zhǎng)助推計(jì)劃“火種計(jì)劃”,助力企業(yè)伙伴實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型。企業(yè)可以訪問(wèn)火山引擎官方網(wǎng)站,通過(guò)首頁(yè)“火種計(jì)劃”申請(qǐng)3個(gè)月免費(fèi)使用權(quán),限時(shí)免費(fèi)版本為飛連系統(tǒng)軟件企業(yè)版。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )