贵阳|这家公司想解开零信任落地难题，拿自己做了1个“实验”( 三 ) 客户端

通过收缩业务暴露面，在这种情况下，即使员工被钓鱼成功，因为访问到的资源有限，攻击者很难直接进入业务系统，内网防护能力大幅提升。
从IAM单点登录，到双源双因素认证
在第一阶段，深信服单独依靠SSL VPN或IDTrust一套系统进行认证，一旦出现身份冒用，尽管部署零信任访问控制系统SDP ，攻击者依然可以趁虚而入。
深信服进而采用了IAM主认证+SDP辅认证的双源双因素认证方式，当员工访问业务时，重定向到深信服统一认证平台IDTrust弹出扫码界面，新用户认证后会弹出SDP二次增强认证，再弹出是否绑定授信终端；完成首次扫码后，老用户登录只需要通过IDTrust扫码+SDP硬件特征码完成身份校验。
【贵阳|这家公司想解开零信任落地难题，拿自己做了1个“实验”】

但由于持续收敛内网权限，矫枉过正，实际落地我们还是踩了不少小坑：
例如部署方面，全员安装上万个访问控制客户端，面对各种复杂终端环境，遇到了很多兼容性问题，好在我们有强大的技术服务团队支撑；
再如员工体验方面，对员工的权限调研不够充分，在梳理在系统与应用依赖关系时有疏忽，导致一些员工打开系统页面有无法显示的应用，遭到内部吐槽……

通过员工进行产品体验反馈，我们吸取教训、小步快走对产品进行功能迭代优化，如管理员可配置认证会话有效期、权限可自助申请、多种认证方式可供选择、客户端自带诊断工具等，从而帮助更多用户有效规避落地过程中的各种障碍。
组合拳三：细化策略，实现安全远程开发
完成第二个阶段的零信任落地，非研发人员的远程办公体验已经非常丝滑，但还有一个更精细化的考验：研发隔离网的零信任改造。问题正是在于，研发网虽然是隔离的，但有很多风险因素，如内部有很多安全人员做攻防、做病毒样本分析，需要从外部传输数据，管控难度极大。同时，随着深信服业务不断发展壮大，还需要考虑离岸研发（ODC）的权限管控。
隔离网改造：收缩研发/离岸人员应用访问权限
为了满足研发与离岸人员的远程办公需求，此前我们尝试过，把云桌面VDI映射到公网上供研发访问，但这种方式存在延时，性能不足。为了平衡安全与体验的双重需求，深信服开始对研发服务器进行改造，收缩研发人员的应用访问权限，以SDP+VDI+SDP的嵌套方案，实现更安全的远程开发。
研发人员与离岸人员进入核心研发系统，需要经过三道认证：
1、在互联网办公环境下，通过SDP认证进入办公内网；
2、在办公网环境下登陆SDP ，获得VDI访问权限；
3、根据不同岗位角色权限，通过SDP身份认证，再进入更加机密的研发应用。
在保证数据不落地的前提下，进入研发实验室，相当于把他们的公司电脑桌面，搬到了世界上任何一个角落。其中， “研发数据不出网”与“零信任”的理念冲突，是最难以平衡的。但深信服探索出了一条新的道路——基于零信任动态策略检测计算机的环境、位置等属性，来决策员工是否拥有资源访问权限，权限开放还是限制，一切尽在掌握之中。
3张图展示深信服全面落地零信任有多“香”
作为落地零信任的实干派，深信服可以有底气地向更多用户证明“零信任真香”：

安全收益

业务收益

运维收益

深信服以亲身实践为用户带来建设启示