一文看懂“飛連”：字節(jié)跳動10w+員工是如何上網的

字節(jié)跳動是如何解決10萬員工“共同上網”問題的?答案是飛連。它支撐著大體量的網絡準入和企業(yè)遠程訪問需求，把人和設備、人和IT環(huán)境、人和IT組織之間進行快速連接，保障員工正常辦公。

近日，火山引擎解決方案專家分享了字節(jié)跳動打造飛連的緣由，并詳細介紹了飛連如何滿足數(shù)字化辦公需求，以及字節(jié)跳動的實踐案例。目前，飛連已經對外開放，企業(yè)通過火山引擎的“火種計劃”，可以申請3個月免費使用權，限時免費版本為飛連系統(tǒng)軟件企業(yè)版。

以下為火山引擎解決方案專家演講實錄：

飛連，字面意思是“飛速連接”。它看上去只是默默在每個員工電腦的后端運行著，只有一個客戶端在外部顯示，但它已經把員工的終端安全、遠程辦公、效率工具等品類工具，都融合到一起了。

2016年左右，我們發(fā)現(xiàn)市面上的一些產品，比如網絡安全行業(yè)里的終端防病毒、終端準入控制以及虛擬專用網絡等，都有著獨立的產品線。每一條產品線，都是CS架構，這意味著它們都有獨立的客戶端、后臺、控制臺。

當時字節(jié)跳動內部的人員角色、部門在終端管理上都比較復雜，如果使用這些產品，會非常麻煩。因此，我們需要一款產品，只要一個客戶端和一個控制臺，就能搞定剛剛提到的所有功能，這款產品就是飛連?，F(xiàn)在，在字節(jié)跳動內部，飛連實現(xiàn)了人和設備、人和IT環(huán)境、人和IT組織之間的快速安全連接，保障員工的正常辦公。

數(shù)字化辦公需求

下面，我們從三個層面看數(shù)字化辦公的需求分析。

首先是業(yè)務層面。隨著業(yè)務的數(shù)字化轉型，交互速度越來越快，它要求企業(yè)的數(shù)字化辦公模式，也要跟得上。很多企業(yè)，在這個時期需要員工能夠隨時隨地安全訪問后端內網的相關業(yè)務。這是后疫情時代一個大的趨勢，普適性的需求。

第二塊是技術面。云計算、移動互聯(lián)基于新技術引入之后，對于傳統(tǒng)網絡防護邊界的挑戰(zhàn)是很大的。傳統(tǒng)的縱深防御體系，對于多終端、多角色、多應用、多平臺的環(huán)境，是比較難去應付的。這里面也引出了，現(xiàn)在在安全行業(yè)里比較熱的“零信任”安全防護體系概念，它顛覆了原來“只要進入企業(yè)內網就默認安全”的規(guī)則。在零信任的體系中，每個人都是不可信的，并且要從零開始建立信任機制，有持續(xù)評估和動態(tài)權限控制的理念在其中。

第三塊是政策層。2017年6月1號，國內第一部網絡安全法頒布之后，就要求了網絡安全等級保護的落地。2019年12月，等保2.0也發(fā)布了。這些意味著網絡安全安全已經提升到了國家安全層面，同時這也指引了相關的企事業(yè)單位，要做到實質性的安全建設。

所以說，后續(xù)企業(yè)的發(fā)展中，如果涉及相關安全的業(yè)務，需要做等級保護的備案。這樣，企業(yè)才能更好地去服務客戶，同時也能保護好自身信息數(shù)據(jù)相關的資產安全。

在數(shù)字化辦公場景下，現(xiàn)在誕生了身份、網絡、終端等角度下的新需求。

從身份來講，我們主要關注員工在入、轉、調、離等各個辦公周期環(huán)節(jié)中，員工權限如何能夠去跟身份快速匹配。在這個點里，很多企業(yè)在人員權限變動時，更改相關策略，常常發(fā)生錯配、漏配的問題，最后導致了數(shù)據(jù)資產的外泄。

另外，員工在使用過程中也需要相關的業(yè)務保障。比如分時段上很多業(yè)務系統(tǒng)后，每個系統(tǒng)都會有單獨的用戶名跟密碼。那如何把賬號進行統(tǒng)一管理，讓員工快速觸達，然后提供相關的安全保障策略?這塊在身份安全管理的角度下，也是非常重要的一個問題。

第二是網絡側，目前權限的運維，包括給員工提供多種網絡的接入，對于網絡運維部門，存在很多的挑戰(zhàn)。因為網絡的安全、人員的快速接入以及效率，這些之間要如何平衡?

第三是終端。剛剛提到過字節(jié)跳動當年遇到的一些問題，包括現(xiàn)在很多企業(yè)也同樣遇到了。比如說我們有個企業(yè)客戶，每個電腦上有四個端，網絡準入、防病毒、虛擬專用網絡、數(shù)據(jù)防泄漏，各有一個客戶端，這對企業(yè)IT部門，包括網絡安全、運維部門的壓力是非常大的?，F(xiàn)在他們非常想把相關產品進行整合，當然也在考慮怎么去過渡。

另外是移動端相關方案的缺失。一些企業(yè)移動性管理(EMM)方案在初創(chuàng)型、發(fā)展型的企業(yè)里面，落地其實是比較重的。那如何能夠做到多個端的安全期限能夠去統(tǒng)一。比如說有iOS、安卓等移動辦公設備需要具備一定的安全防護手段。那這個時候，我們就可以去使用比如飛連這樣的輕量化產品，去適合企業(yè)當前階段的移動安全建設。

飛連——數(shù)字化辦公安全解決方案

上面主要講了需求分析的部分，下面圍繞飛連的解決方案來給大家介紹。

飛連數(shù)字化辦公安全解決方案，其實就是針對以上痛點，針對終端、網絡、身份等角度，來考慮每個環(huán)節(jié)里面應該具備哪些能力。

在身份可信方面，飛連提供了企業(yè)相關業(yè)務的單點登錄能力，包括多因素認證，以及敏感系統(tǒng)二次校驗等。

在網絡可信方面，我們非常關注有線網絡、無線網絡和企業(yè)虛擬專用網絡的易用性問題，支持員工免配置連接的能力。同時，飛連可以配合相關安全檢查，動態(tài)調整不同的網絡權限。

圍繞終端可信，因為遠程辦公的需求場景是非常普適的。企業(yè)內部數(shù)據(jù)中心的業(yè)務對外開放之后，訪問端的安全，會直接影響到業(yè)務端的安全。所以說，為了不讓參差不齊的終端，包括多人員、多角色，成為安全的短板，我們也要求終端安全要具備基線核查、數(shù)據(jù)防泄漏、防病毒、資產梳理等能力。

基于以上的考慮，我們可以很好地理解飛連是一個什么樣的產品了。飛連主要是面向終端安全、遠程辦公、IT效率工具的一個產品。

從飛連解決方案架構設計來看，可以滿足比如傳統(tǒng)網絡環(huán)境部署，以及私有云、公有云、混合云、多云異構這樣環(huán)境部署。另外，如果網絡安全架構相對完善，有相關安全管理平臺，飛連可以提供相關的Open API，對接調用飛連相關的能力。

上面一層是三個引擎層。第一塊是持續(xù)評估與信任分析引擎。這是字節(jié)跳動內部能夠通過幾十人的團隊，去管理十萬人終端、網絡和身份的利器。第二塊是惡意軟件檢測引擎。我們會和業(yè)界比較成熟的殺毒軟件廠商去合作。最后一塊是偏運維的可視化分析引擎，主要是增強可視化運維的能力。

再上面的主要功能點分為三塊，一塊是面向員工側，主要解決網絡的一鍵連接，包括有線、無線、 虛擬專用網絡。另外一塊是多端融合。再有一塊是面向合規(guī)，提供端到端的安全功能，去滿足等級保護相關的控制項。最后是面向IT人員，飛連可以提供一些運維能力，例如飛連可以和企業(yè)IM軟件進行聯(lián)動。我們內部，飛連就和飛書進行了聯(lián)動，在員工自己發(fā)現(xiàn)電腦出問題的時候，可以在飛連點擊IT值班號，直接把飛書上的IT部門對話框調用起來，快速解決IT問題。

最上層是系統(tǒng)管理層，包括了賬號管理、資產管理、可視化、審計管理等等。解決方案兩邊是偏安全管理類的。

從目前飛連對外發(fā)布的版本，我們看一下能夠提供哪些功能點。這些功能都能以模塊化的方式，給企業(yè)提供選擇性的采購。比如有Wi-Fi管理模塊，可以同時支持訪客和員工，還有數(shù)據(jù)防泄漏模塊、準入控制模塊、防病毒模塊、企業(yè)虛擬專用網絡等模塊、統(tǒng)一身份認證管理模塊，支持了這樣一個完整的身份管理系統(tǒng)。

另外，還有運維審計以及降本提效的相關工具。飛連可以去幫助管理員工辦公電腦的軟件安裝，了解安裝率。這樣的話，后續(xù)企業(yè)自己采購的電腦，可以預裝好相關辦公軟件。

這里是飛連開放性的一個功能，最近迭代了動態(tài)安全機制。動態(tài)安全是由零信任這樣的安全防護體系概念去承載的?，F(xiàn)在有了多端融合的基礎，也解決了多端的兼容性問題，能很好地把不同維度的安全狀態(tài)、安全信息，匯總到飛連的服務端。

那么飛連服務端，再進行相關安全策略的升降級、禁止等策略的匹配，去滿足員工在不同場景下，訪問權限的變動。例如某員工電腦沒有裝防病毒軟件，這個時候判斷，它是低安全性的終端，那就不允許訪問內網業(yè)務，只能訪問互聯(lián)網。在裝好防病毒軟件后，該員工才能正常訪問業(yè)務。這些準入的動態(tài)調整，飛連都是可以控制。

這是多場景的靈活部署，體現(xiàn)了飛連的輕交付特性。因為飛連屬于私有化部署，可以用鏡像方式部署在私有云、公有云上。飛連對后端資源的要求，我們也做了很多的優(yōu)化。另外，飛連也可以支持集群的高可用的部署。

字節(jié)跳動飛連實踐分享

2017 年字節(jié)跳動開始自研時，是以企業(yè)虛擬專用網絡、準入和IAM三個能力來打造的飛連，后面逐步增加了IT效率，以及安全方面的功能，包括權限管理、數(shù)據(jù)防泄露、效率排查、風險評估等。

疫情期間，字節(jié)跳動10萬人一直都是用飛連安全地遠程辦公，在這種大并發(fā)的場景下，飛連產品經受住了很大的考驗。

在字節(jié)跳動內部，通過飛連實現(xiàn)了很多功能。比如說，我們可以和企業(yè)的即時通訊飛書去做對接，比如用飛書的賬號來一鍵登錄飛連，保證員工的易用性。另外，可以把企業(yè)現(xiàn)在的組織架構同步到飛連里面來，去保證基于角色、部門，做權限的調整。

這是網絡方面的企業(yè)虛擬專用網絡功能，這是實際手機客戶端的截圖。這里還提供了企業(yè)無線網絡的管理，其中包括兩種場景：

一個是員工訪客 Wi-Fi 的管理?；ヂ?lián)網安全保護技術措施規(guī)定，企業(yè)的網絡訪問要有審計的留存。那審計之前，我們需要識別。在接待訪客的時候，訪客連入企業(yè)無線后，我們可以拿著飛連客戶端，去掃描回彈的二維碼，去輸入相關的人員信息。

另外一塊是員工自己。目前部分企業(yè)員工在使用無線時存在一些常見問題。比如他們需要自己記住企業(yè)的無線密碼，需要定期地更改密碼，員工的密碼復雜度可能不滿足要求。對此，飛連有一個功能，現(xiàn)在很多企業(yè)都非常認可，就是員工可以不需要去記Wi-Fi連接的相關密碼。只要下載好飛連客戶端后，在客戶端上點擊一鍵連接，就可以直接連到企業(yè)內網。

另外，無線的訪問權限，和員工的身份也是匹配的。例如員工離職之后，他無法再連上企業(yè)的無線網絡了。

這是安全合規(guī)的基線檢查。相較市面上的部分安全廠商，飛連有一個比較突出的優(yōu)勢，就是做了全終端的基線準入控制。最后，飛連還提供了一些二次認證的機制。

以上是對飛連產品的一個整體介紹。近期火山引擎發(fā)布了限時增長助推計劃“火種計劃”，助力企業(yè)伙伴實現(xiàn)數(shù)字化轉型。企業(yè)可以訪問火山引擎官方網站，通過首頁“火種計劃”申請3個月免費使用權，限時免費版本為飛連系統(tǒng)軟件企業(yè)版。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）