由企業網D1Net、信眾智(CIO智力輸出及社交平臺)聯合主辦的2022 CIOC全國CIO大會于7月22日-24日在海南博鰲•文昌盛大閉幕。在7月22日的主論壇上，深信服副總裁陳小亮分享了“‘零信任+桌面云’如何平衡安全與生產力”的主題演講。

據悉，深信服早已在公司全面推行“零信任+桌面云”的數字化工作空間方案，讓員工即使在家也能正常開展工作。該方案通過零信任安全架構、虛擬桌面及虛擬應用、UEM沙箱等技術的相互融合，打造一個安全的數字化工作平臺，既能提供高效辦公體驗，又能確保訪問業務的端到端安全。

該方案可助力企業級客戶實現三大價值：一是任何環境、任何地點一致的辦公體驗;二是持續評估、動態控制的安全守護;三是自助服務+極簡運維，讓IT響應更及時。隨后，陳小亮介紹了該方案的建設框架和核心能力。

深信服副總裁 陳小亮

深信服人居家后，如何高效辦公?

2022年3月深圳疫情期間，由于需要居家辦公，許多深圳人選擇連夜將電腦從公司搬回家。深信服總部設在深圳，受疫情影響深圳地區的全體員工需要居家辦公。而與其他公司不同的是，深信服的員工并不需要搬電腦，也不需要拷貝數據，關鍵在于公司早已全面推行“零信任+桌面云”的數字化工作空間，讓員工即使在家也能正常開展工作。

據統計，深信服員工居家辦公后，最高峰時零信任遠程接入并發用戶數超過1萬人(包含全國非深圳地區同事)，深圳全體研發人員采用桌面云來實現遠程開發，日平均3048個桌面云接入，從代碼提交數量以及每日CI/CD的構建數量來看，工作效率達到了非遠程辦公的95%以上，而且期間并未發生任何一起安全事件。

受疫情的催化作用，混合辦公、隨處辦公以及分布式的辦公模式已經成為職場中的常態，尤其受年輕人的青睞。攜程早在2021年7月便已開始進行混合辦公試點，1600多名攜程員工每周有兩個工作日可以選擇在任何地點辦公。試點數據表明，員工的離職率降低了三分之一，將近60%的員工強烈支持混合辦公，而且工作成果、工作效率相比過去并沒有太大影響。

在混合辦公的趨勢下，接入公司網絡的設備五花八門，接入網絡、接入地點、接入方式的多樣化使整體辦公環境的復雜程度翻倍。同時，隨著云化、移動化或數字化的興起，企業業務變得更加開放，企業的數據資產越來越分散，網絡邊界、物理安全邊界日益模糊，給企業帶來了巨大挑戰。

混合辦公趨勢下的四大挑戰

企業從傳統的集中辦公，轉向“隨處可用的工作空間”模式，面臨四大挑戰。

首先是可見。企業IT管理人員需要清楚“看見”公司網絡中有多少設備，有多少員工在公司，有多少員工不在公司辦公，員工的設備在哪里，有哪些種類等等。如果“看不到”員工和設備，IT管理將無從談起，因此“可見性”非常重要。

第二是響應。大量員工分散在全國各地的不同場景下辦公，一旦出現問題，服務響應時間要足夠及時，任何場景下出現問題，IT要能在第一時間知道并且能夠快速處理。

第三是體驗。無論員工在哪里辦公、無論用什么設備接入，必須保障員工在任何地點都能繼續使用公司的業務系統、獲取公司數據，包括核心系統和數據，并且能夠獲得一致的訪問體驗。

第四是安全。要保障員工在任何地點上班都不能有任何安全漏洞，尤其是個人設備參與辦公后，員工的生活和工作完全融合，很難區分開。一旦黑客攻擊了員工的個人設備，那么可以隨時破壞企業應用、攻擊企業內部系統。隨著設備的增多，企業面臨的安全風險陡增。

面對以上挑戰，傳統的VPN方案雖然能解決部分遠程問題，但是存在業務暴露面大、過度授權、數據泄露等弊端。為了更加安全，部分企業采用“VPN+桌面云+堡壘機+共享桌面”等方案組合，但因為不同終端需要采用多種接入方式、多次登錄、多個密碼，限制較大，訪問體驗很差。總之，采用現有方案，安全和效率很難平衡、兼顧。

“零信任+桌面云”構建統一工作空間

深信服認為新方案應采用零信任安全架構、虛擬桌面及虛擬應用、UEM沙箱等技術相互融合，打造一個安全的數字化工作平臺，既能提供高效辦公體驗，又能確保訪問業務的端到端安全。

通過統一的工作空間，內部員工、外包人員、甚至是供應商、合作伙伴，都可以在不同地點，采用不同類型的終端或不同操作系統接入，經過零信任控制中心進行身份驗證后，即可訪問權限范圍內的桌面、應用、文件與數據。

例如：OA、郵件等低密級業務可以通過零信任構建加密隧道直接訪問;BI等涉及業務敏感數據的中密級業務，可以通過UEM構建一個隔離的環境進行訪問;研發代碼、財務數據等高密級或高風險業務，可以通過云桌面或云應用進行訪問，確保數據不落地。

陳小亮以自身為例：“我需要同時訪問市場、研發、財務、采購等不同密級的業務，只需要在統一的門戶里點擊一下圖標就可以訪問，整個過程很方便。如果要訪問經營管理系統、財務系統、成本系統等相對敏感的系統，會調用云應用訪問，云應用可以防止截屏。如果需要訪問研發業務和數據，或者財務經營報告，需要登錄到云桌面訪問。”

數字化工作空間方案的三大核心價值

“零信任+桌面云”的無邊界數字化工作空間方案對深信服而言有三大核心價值：

第一：任何環境、任何地點一致的辦公體驗。

深信服all in one客戶端集成了零信任、UEM沙箱、桌面云、SBC、EDR(殺毒軟件)等組件，可以適配不同類型終端和不同操作系統，只需要安裝一次就可以便捷接入統一的工作空間;同時，采用單點登錄技術，用戶進行一次認證后再去訪問云桌面或云應用均無需二次認證，可以確保員工在內網、外網不同設備的訪問體驗基本一致，不會因為環境切換而影響效率。

第二：持續評估、動態控制的安全守護。

在安全性方面，零信任的理念是從不信任、持續驗證，每個訪問行為和訪問策略都需要得到自動或者手動的批準，確保身份安全和訪問行為動態授權;而桌面云或云應用的理念是隨時隨地訪問、數據不落地，能夠確保數據訪問、核心資料獲取的安全性，兩者結合能夠形成持續評估、動態控制的安全防護體系，讓外網和內網變得同樣安全。

例如：用戶接入時會通過零信任進行終端環境檢測、準入檢測以及身份強認證，符合相關安全要求才允許接入，接入后整個傳輸過程全程加密。

第三：自助服務+極簡運維，IT響應更及時、迅速。

當員工使用設備出現問題時，通過深信服的自助服務和一鍵修復功能，可解決70%-80%的問題;未被解決的問題，可以在工作平臺尋求IT的幫助，IT人員在后臺通過統一的控制臺即可高效完成維護工作，無需到達現場，響應更及時、處理問題更高效。

數字化工作空間方案的建設框架

深信服數字化工作空間方案的建設框架包括三部分：

第一部分是統一客戶端，集成了零信任客戶端、桌面云客戶端、EDR、沙箱等組件;

第二部分是零信任平臺，包括控制器，負責認證、授權、策略管理、策略下發(調度中心)，代理網關負責從控制器接收策略，當流量經過時，負責具體的策略執行、監控和記錄;

第三部分是云桌面和云應用，主要負責對數據安全性要求較高的業務和數據的訪問。

支撐數字化工作平臺廣泛推行的兩大核心能力

數字化工作平臺一旦推行，要被全員使用，因此必須具有兩大核心能力支撐，一個是用戶體驗，二是安全能力。

體驗方面，用戶無非關注使用便捷、訪問速度快兩個方面，深信服通過統一的客戶端以及動態聯動，保證用戶在使用時足夠便捷;在訪問速度方面，深信服零信任在原VPN基礎上進行架構重構和傳輸優化改進，在正常網絡、弱網和移動網絡環境均比傳統VPN速度更快。

安全能力方面，面對更加復雜的環境，從終端、身份、權限、數據到行為都需要更加全面的安全技術，深信服的理念是持續檢測、持續評估，內置了各種各樣的安全防護能力，辦公過程中一旦發現異常現象，會自動進行訪問權限和策略的調整。例如EDR發現攻擊后會聯動告警，阻斷客戶端登錄能夠登錄的業務系統(包括核心業務系統)，以便能更快速、更智能地抵御各種新型威脅。

有了體驗和安全的雙重保障，深信服數字化工作空間方案可適用于移動辦公、混合辦公、運維外包、客服坐席、分支機構接入、遠程訪問核心業務、內網數據防泄密和遠程開發等更多應用場景，保證數據不落地。

小結

最后，陳小亮總結：通過“零信任+桌面云”構建統一的數字化工作空間，可以產生三大價值：一是不論員工在任何環境、任何地點辦公都可以得到一致的辦公體驗;二是持續評估、動態控制確保了安全性;三是通過自助服務、遠程服務的方式保證IT服務響應更及時、更迅速。

關于企業網D1net(hfnxjk.com)：

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。