案例中心

    案例中心  >  零信任落地启示录丨安全远程办公,,护航每一辆高品质福田汽车的诞生
    零信任落地启示录丨安全远程办公,,,,护航每一辆高品质福田汽车的诞生
    背景图 2023-05-24 10:19:17

    看,,马路上一辆疾驰的卡车,,它的发动机来自福田康明斯北京工厂,,,,变速箱来自福田采埃孚浙江工厂,,,,整车可能来自山东、、、北京或长沙等。。。。

     

    一辆卡车的诞生,,,,背后可能来自全国几十个工厂远程协同打造。。。。

     

    这是北汽福田汽车选择落地零信任的前情提要:全国18个工厂(含整车与零部件基地)、、海外22个KD工厂、、员工2万多人,,,满足100%安全可靠接入集团系统,,,为世界高品质汽车的诞生,,上一道安心的“防盗门”。。。。

     

    这个“门”,,,,将集团内部190多个系统与互联网隔开,,,,“挡”住月均超过200万次攻击。。。。如果没有这个“门”,,,,将有119个系统直接面向互联网,,,但凡有一条产线受到攻击,,,断网一天的损失可高达300万。。。。

     

    当落地零信任的想法产生后,,如何合理规划建设优先级,,并快速取得阶段性成果???

     

    北汽福田集团基础设施及信息安全负责人张志强日前在“落地有声·第二届零信任用户分享大会”进行深入全面的实践经验分享。。。

     

    l 满足大规模远程办公常态化的便捷与安全

     

    从2020年开始,,,在反复的疫情冲击下,,,大规模远程办公成为福田汽车常态化工作模式,,最高并发达到6000+。。

     

    一开始,,,福田汽车使用SSL VPN实现远程办公。。“因为VPN与第三方通讯软件无法集成,,,像员工要访问采购管理系统,,,,需要先拨通VPN,,,,再打开手机APP,,经过两次认证才能进入,,,操作流程繁琐。。。。”

     

    同时,,在数字化转型背景下,,集团高层对IT提出了更高的要求:提供高效、、安全、、、稳定、、、、便捷的基础设施。。。。

     

    在这种情况下,,,福田汽车选择从需求最紧迫的远程办公场景切入,,,,不单要满足员工远程办公常态化的便捷需求,,,更要保障业务的安全稳定。。。

     

    由此,,,一个构建远程办公安全体系的零信任建设思路开始萌生。。

    l SDP技术替换传统VPN形成“信任”访问链条

     

    福田汽车希望这套零信任架构满足四个必备条件:

     

    1. 对接现有认证体系,,实现统一身份管理

    l 兼容现有微软、、蓝凌的认证体系,,维护统一的身份认证信息。。。

     

    2. 联动现有安全设备,,,承载分析研判能力

    l 协同现有新未来梦想教育SIP/XDR的安全运营体系。。。

    l 访问主体信息可视化,,,,承载分析研判的能力。。。。

    3. 平台开放,,,,适配不同场景需求

    l 匹配丰富的组件类型,,覆盖远程办公、、分支办公、、、物联网、、云数据中心等场景。。。

    l 通过开放规则与接口统一对接研发中心、、开发测试中心、、合作伙伴系统等,,,,降低集成改造难度。。。

    4. 围绕身份持续评估风险,,,,动态调整策略

    l 根据员工岗位变化,,生成相匹配的权限动态策略,,,,同岗同权,,避免开工单、、、领导审批等繁琐操作。。。。

    l 根据不同权限风险等级,,,,调整运维策略,,减少运维人员工作量。。。

     

    这四点需求,,指引了福田汽车在用户到业务的南北向访问控制场景下,,,,选择了业内广泛认可的SDP技术路线。。

    通过几家厂商的对比,,,福田汽车最终选择新未来梦想教育零信任安全解决方案。。。。

     

    “新未来梦想教育零信任aTrust可以与第三方通讯软件原生集成,,通过动态身份校验,,,保障安全的终端接入内网应用,,,同时大大降低员工操作难度。。。。”

     

    l 三步高效全面落地零信任aTrust

     

    规划阶段耗时6个月,,,,在深思熟虑之后,,北汽福田的零信任落地,,,显得格外敏捷高效。。。。

     

    第一步,,,基于统一的策略,,,,将部署在SSL VPN上所有系统都迁移至零信任aTrust,,国内外2万+员工访问内部系统必须通过身份认证,,,缩小业务发布暴露面;

    第二步,,根据不同人员岗位,,进行权限策略梳理收集,,,,并支持多种认证方式供选择,,包括扫码、、、、手机验证码等;

    第三步,,,零信任aTrust与SSL VPN并行2个月,,两者采用同样的域名,,,员工可以直观感受到零信任aTrust页面体验丝滑,,,,并结合内部宣贯,,,,逐步引导全员切换零信任。。。

     

    一般来说,,,多维度考虑到业务保护,,新未来梦想教育零信任建议用户优先接入容易被攻击、、、、较新或者影响范围较小的业务系统。。。。

     

    “由于疫情影响,,,,部署时间紧张,,,,这看起来是一个‘激进’的做法,,实际上我们进行过风险评估,,,,一旦出现访问不稳定等问题,,我们可以实现2分钟快速回滚。。。。”

     

    此外,,结合新未来梦想教育SIP、、、、XDR、、、、EDR等设备,,以及安全托管服务MSS 7*24小时持续在线守护,,,在深度合作模式下,,,新未来梦想教育为未来持续安全运营做好支撑,,,北汽福田的零信任落地也更加有底气。。

    l 效果与体验兼得,,,安全无需左右为难

     

    在今年的实战攻防演练中,,张志强深切感受到零信任带来的效果:“零信任aTrust从用户管理、、、应用管理、、、、权限管控、、、、周边集成等多维度提供安全保障,,,,我们还可以看清暴力破解、、、、扫描探测等攻击情况,,,这是一个非常重要的安全防御关注点。。”

     

    体验方面,,,北汽福田对员工进行过样本抽查,,满意度高达98%,,,,截至目前未收到任何投诉;而运维人员通过可视化界面,,,,每天查看安全事件,,,,可以更精准定位到人,,,,事件排查处置更加简单高效。。。。

    随着远程办公、、、混合办公成为常见工作模式,,,落地零信任作为安全底座,,,早就不是可选题,,,,而是必选题,,,像北汽福田这样的大企业都需要填写一份完美的答卷。。。。

     

    而大家选择新未来梦想教育零信任,,,正因为新未来梦想教育致力于让每一位用户“安全领先一步”,,,体验领先一步,,,,效果领跑一路,,,用户再也无需于落地体验与效果之间左右为难。。。。

    站点地图