字節跳動是如何解決10萬員工“共同上網”問題的?答案是飛連。它支撐著大體量的網絡準入和企業遠程訪問需求,把人和設備、人和IT環境、人和IT組織之間進行快速連接,保障員工正常辦公。
近日,火山引擎解決方案專家分享了字節跳動打造飛連的緣由,并詳細介紹了飛連如何滿足數字化辦公需求,以及字節跳動的實踐案例。目前,飛連已經對外開放,企業通過火山引擎的“火種計劃”,可以申請3個月免費使用權,限時免費版本為飛連系統軟件企業版。
以下為火山引擎解決方案專家演講實錄:
飛連,字面意思是“飛速連接”。它看上去只是默默在每個員工電腦的后端運行著,只有一個客戶端在外部顯示,但它已經把員工的終端安全、遠程辦公、效率工具等品類工具,都融合到一起了。
2016年左右,我們發現市面上的一些產品,比如網絡安全行業里的終端防病毒、終端準入控制以及虛擬專用網絡等,都有著獨立的產品線。每一條產品線,都是CS架構,這意味著它們都有獨立的客戶端、后臺、控制臺。
當時字節跳動內部的人員角色、部門在終端管理上都比較復雜,如果使用這些產品,會非常麻煩。因此,我們需要一款產品,只要一個客戶端和一個控制臺,就能搞定剛剛提到的所有功能,這款產品就是飛連。現在,在字節跳動內部,飛連實現了人和設備、人和IT環境、人和IT組織之間的快速安全連接,保障員工的正常辦公。
數字化辦公需求
下面,我們從三個層面看數字化辦公的需求分析。
首先是業務層面。隨著業務的數字化轉型,交互速度越來越快,它要求企業的數字化辦公模式,也要跟得上。很多企業,在這個時期需要員工能夠隨時隨地安全訪問后端內網的相關業務。這是后疫情時代一個大的趨勢,普適性的需求。
第二塊是技術面。云計算、移動互聯基于新技術引入之后,對于傳統網絡防護邊界的挑戰是很大的。傳統的縱深防御體系,對于多終端、多角色、多應用、多平臺的環境,是比較難去應付的。這里面也引出了,現在在安全行業里比較熱的“零信任”安全防護體系概念,它顛覆了原來“只要進入企業內網就默認安全”的規則。在零信任的體系中,每個人都是不可信的,并且要從零開始建立信任機制,有持續評估和動態權限控制的理念在其中。
第三塊是政策層。2017年6月1號,國內第一部網絡安全法頒布之后,就要求了網絡安全等級保護的落地。2019年12月,等保2.0也發布了。這些意味著網絡安全安全已經提升到了國家安全層面,同時這也指引了相關的企事業單位,要做到實質性的安全建設。
所以說,后續企業的發展中,如果涉及相關安全的業務,需要做等級保護的備案。這樣,企業才能更好地去服務客戶,同時也能保護好自身信息數據相關的資產安全。
在數字化辦公場景下,現在誕生了身份、網絡、終端等角度下的新需求。
從身份來講,我們主要關注員工在入、轉、調、離等各個辦公周期環節中,員工權限如何能夠去跟身份快速匹配。在這個點里,很多企業在人員權限變動時,更改相關策略,常常發生錯配、漏配的問題,最后導致了數據資產的外泄。
另外,員工在使用過程中也需要相關的業務保障。比如分時段上很多業務系統后,每個系統都會有單獨的用戶名跟密碼。那如何把賬號進行統一管理,讓員工快速觸達,然后提供相關的安全保障策略?這塊在身份安全管理的角度下,也是非常重要的一個問題。
第二是網絡側,目前權限的運維,包括給員工提供多種網絡的接入,對于網絡運維部門,存在很多的挑戰。因為網絡的安全、人員的快速接入以及效率,這些之間要如何平衡?
第三是終端。剛剛提到過字節跳動當年遇到的一些問題,包括現在很多企業也同樣遇到了。比如說我們有個企業客戶,每個電腦上有四個端,網絡準入、防病毒、虛擬專用網絡、數據防泄漏,各有一個客戶端,這對企業IT部門,包括網絡安全、運維部門的壓力是非常大的。現在他們非常想把相關產品進行整合,當然也在考慮怎么去過渡。
另外是移動端相關方案的缺失。一些企業移動性管理(EMM)方案在初創型、發展型的企業里面,落地其實是比較重的。那如何能夠做到多個端的安全期限能夠去統一。比如說有iOS、安卓等移動辦公設備需要具備一定的安全防護手段。那這個時候,我們就可以去使用比如飛連這樣的輕量化產品,去適合企業當前階段的移動安全建設。
飛連——數字化辦公安全解決方案
上面主要講了需求分析的部分,下面圍繞飛連的解決方案來給大家介紹。
飛連數字化辦公安全解決方案,其實就是針對以上痛點,針對終端、網絡、身份等角度,來考慮每個環節里面應該具備哪些能力。
在身份可信方面,飛連提供了企業相關業務的單點登錄能力,包括多因素認證,以及敏感系統二次校驗等。
在網絡可信方面,我們非常關注有線網絡、無線網絡和企業虛擬專用網絡的易用性問題,支持員工免配置連接的能力。同時,飛連可以配合相關安全檢查,動態調整不同的網絡權限。
圍繞終端可信,因為遠程辦公的需求場景是非常普適的。企業內部數據中心的業務對外開放之后,訪問端的安全,會直接影響到業務端的安全。所以說,為了不讓參差不齊的終端,包括多人員、多角色,成為安全的短板,我們也要求終端安全要具備基線核查、數據防泄漏、防病毒、資產梳理等能力。
基于以上的考慮,我們可以很好地理解飛連是一個什么樣的產品了。飛連主要是面向終端安全、遠程辦公、IT效率工具的一個產品。
從飛連解決方案架構設計來看,可以滿足比如傳統網絡環境部署,以及私有云、公有云、混合云、多云異構這樣環境部署。另外,如果網絡安全架構相對完善,有相關安全管理平臺,飛連可以提供相關的Open API,對接調用飛連相關的能力。
上面一層是三個引擎層。第一塊是持續評估與信任分析引擎。這是字節跳動內部能夠通過幾十人的團隊,去管理十萬人終端、網絡和身份的利器。第二塊是惡意軟件檢測引擎。我們會和業界比較成熟的殺毒軟件廠商去合作。最后一塊是偏運維的可視化分析引擎,主要是增強可視化運維的能力。
再上面的主要功能點分為三塊,一塊是面向員工側,主要解決網絡的一鍵連接,包括有線、無線、 虛擬專用網絡。另外一塊是多端融合。再有一塊是面向合規,提供端到端的安全功能,去滿足等級保護相關的控制項。最后是面向IT人員,飛連可以提供一些運維能力,例如飛連可以和企業IM軟件進行聯動。我們內部,飛連就和飛書進行了聯動,在員工自己發現電腦出問題的時候,可以在飛連點擊IT值班號,直接把飛書上的IT部門對話框調用起來,快速解決IT問題。
最上層是系統管理層,包括了賬號管理、資產管理、可視化、審計管理等等。解決方案兩邊是偏安全管理類的。
從目前飛連對外發布的版本,我們看一下能夠提供哪些功能點。這些功能都能以模塊化的方式,給企業提供選擇性的采購。比如有Wi-Fi管理模塊,可以同時支持訪客和員工,還有數據防泄漏模塊、準入控制模塊、防病毒模塊、企業虛擬專用網絡等模塊、統一身份認證管理模塊,支持了這樣一個完整的身份管理系統。
另外,還有運維審計以及降本提效的相關工具。飛連可以去幫助管理員工辦公電腦的軟件安裝,了解安裝率。這樣的話,后續企業自己采購的電腦,可以預裝好相關辦公軟件。
這里是飛連開放性的一個功能,最近迭代了動態安全機制。動態安全是由零信任這樣的安全防護體系概念去承載的。現在有了多端融合的基礎,也解決了多端的兼容性問題,能很好地把不同維度的安全狀態、安全信息,匯總到飛連的服務端。
那么飛連服務端,再進行相關安全策略的升降級、禁止等策略的匹配,去滿足員工在不同場景下,訪問權限的變動。例如某員工電腦沒有裝防病毒軟件,這個時候判斷,它是低安全性的終端,那就不允許訪問內網業務,只能訪問互聯網。在裝好防病毒軟件后,該員工才能正常訪問業務。這些準入的動態調整,飛連都是可以控制。
這是多場景的靈活部署,體現了飛連的輕交付特性。因為飛連屬于私有化部署,可以用鏡像方式部署在私有云、公有云上。飛連對后端資源的要求,我們也做了很多的優化。另外,飛連也可以支持集群的高可用的部署。
字節跳動飛連實踐分享
2017 年字節跳動開始自研時,是以企業虛擬專用網絡、準入和IAM三個能力來打造的飛連,后面逐步增加了IT效率,以及安全方面的功能,包括權限管理、數據防泄露、效率排查、風險評估等。
疫情期間,字節跳動10萬人一直都是用飛連安全地遠程辦公,在這種大并發的場景下,飛連產品經受住了很大的考驗。
在字節跳動內部,通過飛連實現了很多功能。比如說,我們可以和企業的即時通訊飛書去做對接,比如用飛書的賬號來一鍵登錄飛連,保證員工的易用性。另外,可以把企業現在的組織架構同步到飛連里面來,去保證基于角色、部門,做權限的調整。
這是網絡方面的企業虛擬專用網絡功能,這是實際手機客戶端的截圖。這里還提供了企業無線網絡的管理,其中包括兩種場景:
一個是員工訪客 Wi-Fi 的管理。互聯網安全保護技術措施規定,企業的網絡訪問要有審計的留存。那審計之前,我們需要識別。在接待訪客的時候,訪客連入企業無線后,我們可以拿著飛連客戶端,去掃描回彈的二維碼,去輸入相關的人員信息。
另外一塊是員工自己。目前部分企業員工在使用無線時存在一些常見問題。比如他們需要自己記住企業的無線密碼,需要定期地更改密碼,員工的密碼復雜度可能不滿足要求。對此,飛連有一個功能,現在很多企業都非常認可,就是員工可以不需要去記Wi-Fi連接的相關密碼。只要下載好飛連客戶端后,在客戶端上點擊一鍵連接,就可以直接連到企業內網。
另外,無線的訪問權限,和員工的身份也是匹配的。例如員工離職之后,他無法再連上企業的無線網絡了。
這是安全合規的基線檢查。相較市面上的部分安全廠商,飛連有一個比較突出的優勢,就是做了全終端的基線準入控制。最后,飛連還提供了一些二次認證的機制。
以上是對飛連產品的一個整體介紹。近期火山引擎發布了限時增長助推計劃“火種計劃”,助力企業伙伴實現數字化轉型。企業可以訪問火山引擎官方網站,通過首頁“火種計劃”申請3個月免費使用權,限時免費版本為飛連系統軟件企業版。
