零信任落地启示录丨安全远程办公，护航每一辆高品质福田汽车的诞生

　　看，马路上一辆疾驰的卡车，它的发动机来自福田康明斯北京工厂，变速箱来自福田采埃孚浙江工厂，整车可能来自山东、北京或长沙等。 

　　一辆卡车的诞生，背后可能来自全国几十个工厂远程协同打造。 

　　这是北汽福田汽车选择落地零信任的前情提要：全国18个工厂（含整车与零部件基地）、海外22个KD工厂、员工2万多人，满足100%安全可靠接入集团系统，为世界高品质汽车的诞生，上一道安心的“防盗门”。 

　　这个“门”，将集团内部190多个系统与互联网隔开，“挡”住月均超过200万次攻击。如果没有这个“门”，将有119个系统直接面向互联网，但凡有一条产线受到攻击，断网一天的损失可高达300万。 

　　当落地零信任的想法产生后，如何合理规划建设优先级，并快速取得阶段性成果？ 

　　北汽福田集团基础设施及信息安全负责人张志强日前在“落地有声·第二届零信任用户分享大会”进行深入全面的实践经验分享。 

　　满足大规模远程办公常态化的便捷与安全 

　　从2020年开始，在反复的疫情冲击下，大规模远程办公成为福田汽车常态化工作模式，最高并发达到6000+。 

　　一开始，福田汽车使用SSL VPN实现远程办公。“因为VPN与第三方通讯软件无法集成，像员工要访问采购管理系统，需要先拨通VPN，再打开手机APP，经过两次认证才能进入，操作流程繁琐。” 

　　同时，在数字化转型背景下，集团高层对IT提出了更高的要求：提供高效、安全、稳定、便捷的基础设施。 

　　在这种情况下，福田汽车选择从需求最紧迫的远程办公场景切入，不单要满足员工远程办公常态化的便捷需求，更要保障业务的安全稳定。 

　　由此，一个构建远程办公安全体系的零信任建设思路开始萌生。 

　　SDP技术替换传统VPN形成“信任”访问链条 

　　福田汽车希望这套零信任架构满足四个必备条件： 

　　1.  对接现有认证体系，实现统一身份管理 

　　兼容现有微软、蓝凌的认证体系，维护统一的身份认证信息。 

　　2.  联动现有安全设备，承载分析研判能力 

　　协同现有深信服SIP/XDR的安全运营体系。 

　　访问主体信息可视化，承载分析研判的能力。 

　　3.  平台开放，适配不同场景需求 

　　匹配丰富的组件类型，覆盖远程办公、分支办公、物联网、云数据中心等场景。 

　　通过开放规则与接口统一对接研发中心、开发测试中心、合作伙伴系统等，降低集成改造难度。 

　　4. 围绕身份持续评估风险，动态调整策略 

　　根据员工岗位变化，生成相匹配的权限动态策略，同岗同权，避免开工单、领导审批等繁琐操作。 

　　根据不同权限风险等级，调整运维策略，减少运维人员工作量。 

　　这四点需求，指引了福田汽车在用户到业务的南北向访问控制场景下，选择了业内广泛认可的SDP技术路线。 

　　通过几家厂商的对比，福田汽车最终选择深信服零信任安全解决方案。 

　　“深信服零信任aTrust可以与第三方通讯软件原生集成，通过动态身份校验，保障安全的终端接入内网应用，同时大大降低员工操作难度。” 

　　三步高效全面落地零信任aTrust 

　　规划阶段耗时6个月，在深思熟虑之后，北汽福田的零信任落地，显得格外敏捷高效。 

　　第一步，基于统一的策略，将部署在SSL VPN上所有系统都迁移至零信任aTrust，国内外2万+员工访问内部系统必须通过身份认证，缩小业务发布暴露面； 

　　第二步，根据不同人员岗位，进行权限策略梳理收集，并支持多种认证方式供选择，包括扫码、手机验证码等； 

　　第三步，零信任aTrust与SSL VPN并行2个月，两者采用同样的域名，员工可以直观感受到零信任aTrust页面体验丝滑，并结合内部宣贯，逐步引导全员切换零信任。 

　　一般来说，多维度考虑到业务保护，深信服零信任建议用户优先接入容易被攻击、较新或者影响范围较小的业务系统。 

　　“由于疫情影响，部署时间紧张，这看起来是一个‘激进’的做法，实际上我们进行过风险评估，一旦出现访问不稳定等问题，我们可以实现2分钟快速回滚。”   

　　此外，结合深信服SIP、XDR、EDR等设备，以及安全托管服务MSS 7*24小时持续在线守护，在深度合作模式下，深信服为未来持续安全运营做好支撑，北汽福田的零信任落地也更加有底气。 

　　效果与体验兼得，安全无需左右为难 

　　在今年的实战攻防演练中，张志强深切感受到零信任带来的效果：“零信任aTrust从用户管理、应用管理、权限管控、周边集成等多维度提供安全保障，我们还可以看清暴力破解、扫描探测等攻击情况，这是一个非常重要的安全防御关注点。” 

　　体验方面，北汽福田对员工进行过样本抽查，满意度高达98%，截至目前未收到任何投诉；而运维人员通过可视化界面，每天查看安全事件，可以更精准定位到人，事件排查处置更加简单高效。 

　　随着远程办公、混合办公成为常见工作模式，落地零信任作为安全底座，早就不是可选题，而是必选题，像北汽福田这样的大企业都需要填写一份完美的答卷。  

　　而大家选择深信服零信任，正因为深信服致力于让每一位用户“安全领先一步”，体验领先一步，效果领跑一路，用户再也无需于落地体验与效果之间左右为难。