制度软件化？当一群字节跳动的工程师想要改变办公安全文丨刘鉴2020年1月27日

文章图片
文丨刘鉴
2020年1月27日，刚刚过完春节的第三天晚上，飞连负责人林涛（化名）接到了一个同事打来的电话。
“疫情有点严重，我们的远程办公能力要做好承载10万人的准备。 ”
支撑10万人办公，宽带峰值50Gbps ，员工遍布全球30多个国家——这对企业办公承载力与安全保障来说，并不是一件容易事。经过2个小时的思考和资源梳理，林涛当天给出了方案。第二天一早，他们3个人的团队仅耗时3.5个小时就完成了全部扩容任务，并完成服务的上线运行。
事后复盘，林涛认为是之前各项能力已经相对成熟，并且得益于多活底层架构和软件的部署形态，让产品有了良好的扩展能力，才能比较快速的应对突发需求的考验。飞连的多活底层架构采用了分布式架构的思路，可以更灵活方便的扩容及调度。
以前的解决方式类似于我们在路边拦出租车，是通过DNS（DomainNameSystem ，域名系统）来做多节点的映射关系。当员工远程发起请求，流量会被指定到单一节点（VPN服务器，具有IP）。当节点故障或访问人数过多的时候，就需要管理员手动切换节点，完成DNS解析（需要时间）、甚至是节点部署工作，此时员工处于断网状态，影响正常工作。
飞连则通过API实现了节点与域名的解绑。与传统解决方案相比，飞连就好像增加了统一调度的平台，会自动选择离得近的“车辆” ， “乘客”可以最快完成“打车”目的。
采用全新的隧道加密技术、支持UDP/TCP双协议、多节点自动优选，飞连进行了系列虚拟专用网络（VPN）的性能与安全性增强机制，并与员工身份系统、设备安全状态打通，实现了精细化的访问控制。 “用VPN实现业务后台的收口管理，其实是飞连诞生之初的第一个目标。疫情的大规模考验，不光是对网络质量本身，还包括在这么庞杂的访问场景下，要做好安全保障。 ”林涛回忆道。
来自无边界的挑战
随着对业务各环节敏捷性与效率的提升要求出现，随时随地、多终端的办公模式兴起。据中国互联网信息中心的数据显示，截至2020年12月，我国远程办公用户规模达3.46亿，占网民整体的34.9% 。企业办公方式也在悄然改变，家庭、咖啡厅甚至地铁都成为新兴办公场所。办公边界的扩大，意味着企业网络不断延伸，终端接入数呈指数级增加。
与此同时，中国企业加速数字化转型，办公应用的数量也在急剧增大。加之云计算、移动互联等新技术的引入，传统的纵深防御体系和“只要进入企业内网就默认安全”的规则理念，已经不足以应对多终端、多角色、多应用、多平台环境下复杂多变的网络威胁，权限与数据安全管理难度变大。
一边是大势所趋，一边是安全难题。此时企业不光要为员工提供与办公室同等顺畅的网络体验，还需要解决大量员工个人设备接入所带来的安全问题。字节跳动亦是如此。
“我们以前说‘人是最大的变数’ ，那么现在这种变数还要加上他们的办公终端和个人终端设备。 ”飞连的技术同学指出， “日渐模糊的网络、地理边界增加了办公设备与数据管理的复杂性及合规难度。 ”
“边界模糊，攻击者视角变了，防御者视角也得变，而且应该更体系化。 ”这是字节跳动对于安全防护形势变化的切身感悟。 “为此，当时我们从整体的角度思考，梳理了现实痛点与希望达到的目标，希望集中对安全的控制，从单点问题治理转向全局办公安全建设。 ”