当前热文:【行业研究】证券业数字化转型专题——远程办公“健康瘦身”计划
【编者按】为深入贯彻落实党的二十大精神,推动《证券期货业科技发展“十四五”规划》落地见效,促进行业数字化转型,按照证监会总体工作安排,定于2022年11月在全行业开展“证券期货业数字化转型主题宣传月”活动。通过开展“证券期货业数字化转型主题宣传月”活动,搭建交流平台,促进经验分享,繁荣行业金融科技生态,推动行业金融科技进步,营造行业金融科技创新氛围。该篇为“证券期货业数字化转型主题宣传月”系列宣传《我与金融科技的故事》征文之十一。
(资料图)
远程办公“健康瘦身”计划
东吴证券股份有限公司盛一铭
“老盛,你晚上不吃着实给公司抗疫省下不少粮食啊。”同事半年前的这句玩笑话现在还记得。当时全国疫情严重,公司总部分了三组人轮流在岗值守,我们几个负责网络的都需要守在公司岗位上,其余人员包括全国各地的营业部均居家办公,员工总数两千余人。
居家办公需要联通公司内网,离不开远程VPN,可现有VPN通道容量有限,平时都是给零星员工应急使用,面对突然暴增的需求,我们怎么应付?
当时OA办公网络、柜台网络、堡垒机运维网络均有VPN接入系统,品牌都不同,需要分别紧急扩容,大家分了分工,OA环境VPN使用人数最多,好在二次认证采用短信验证;柜台网络VPN安全性及数据防泄密要求最高,需要U盾二次认证,涉及数字证书等安全策略;堡垒机运维VPN需要新增领导审批流程,各有特色,尚未统一。
“把厂商和供应商都联系了开线上会吧。”团队长布置工作,我被分到负责柜台网VPN,库存的两百个U盾愣是三天发完,桌上堆满了快件和一叠叠快递单,当时感慨,开个生意好的网店,快递打包填单子都要累死啊。
“抓紧啊,今晚别睡了,明天XX营业部全部居家,各系统VPN务必今晚开好。”团队长又安排了紧急任务。那几天晚上最怕听到这句话,意味着又要迎来不眠之夜。
有人可能会奇怪,一个营业部开几十个账号有什么难的?是的,开账号,分权限都不难,甚至制作U盾发快递都不算困难,关键是营业部几十号人,晚上都排着队等我们远程安装VPN客户端,演示使用方法,保证营业部明日上班能正常使用业务系统。遇到几个电脑通的员工,那真是幸运,但营业部的业务人员,哪有那么多电脑通呢?
而且也不能怪员工不懂电脑,我们有多个VPN系统,客户端不尽相同,登录方式不同,熟悉起来的确得花些时日。
后面使用的人多了,为了数据防泄漏部署的VDI虚拟桌面也达瓶颈了,再次紧急扩容、测试,终于撑到了疫情结束。
这个紧急扩容应对大规模远程办公,就像让个200斤的胖子绕着苏州金鸡湖跑半程马拉松,跑肯定跑的完,累肯定也累的半死。既然疫情一时半会还缓解不了,是该给这远程办公“减减肥”了,部门领导让我们想办法,可是便捷和安全本来就矛盾的,一定要想个正确合适的方案。
和减肥一样,方法对才能事半功倍,在很多人还在计算每天卡路里缺口时,我已经找到适合自己的方式:不是考虑吃什么,而是考虑什么时候吃,168轻断食有效控制胰岛素分泌,快速生酮才能有效减脂。
目前远程办公最大的问题就是系统分散,认证系统各自独立,不但使用不友好,还带来了很多重复运维工作,急需统一。
于是,网络团队根据现网架构统一规划设计了多数据中心分布式部署的VPN接入平台架构。
可是什么VPN可以做到多数据中心分布式部署呢?还能做到多数据中心资源访问无缝切换,不用切换VPN隧道呢?并且还能做到数据防泄漏?
还真有解决方案,那就是零信任架构。零信任理念大概始于2020年,2021年就逐渐火起来,大有代替传统VPN的趋势。零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。
从调研后和VPN对比的总结就如下表:
总之,零信任理念适合当下需求,那就开干吧!
我们先设定了大致的目标,苏州、上海、深圳三数据中心分别建设独立的零信任接入区域,将控制平面和数据平面分离,苏州和上海设立两个控制中心,分布式部署,控制中心和三中心代理网关通过管理OTN高带宽专线互联,实现一个入口满足多中心同时访问,优化了之前终端需要切换各地VPN才能实现多区域访问的需求,同时集群化和分布式部署提供了弹性扩容的能力,满足疫情时期使用量突增的情况。
历时1个月,完成了网络架构的搭建,做了分布式数据同步测试。
管理员登录苏州中心SDP控制中心,修改业务配置,数据写入本地集群主数据库节点后实时同步数据至本地备数据库节点,同时通过OTN专线同步至上海数据中心的主数据库节点。在跨域分布式部署时,异地全量数据同步在50万用户量以下且带宽在10Mbps时,需要3~5分钟,而增量数据在上述环境均能做到实时同步。
我们验证了容灾方案。当主中心互联网或者数据中心基础设施发生瘫痪时,可以由互联网智能DNS根据健康检查失败后自动剔除主中心IP地址来实现,所有访问流量自动切换至上海备中心。
架构上已经满足要求,统一平台网络架构已经实现。
下一个挑战是老环境VPN数据汇总后,迁移到零信任平台的工作如何开展。公司几千员工的账户资源信息数据量巨大,这么多账户已经不适合在零信任平台本地认证了,需要对接公司OA系统的账户信息,但产品本身账户系统无法对接公司OA系统的API接口,需要定制化开发,时间不等人。
任何技术问题总有解决方案,我们最终确定,通过企业微信扫码,获取LDAP人员信息同步账户信息,LDAP再同步OA系统账户API。于是我们找系统团队在私有云部署了主备两台OPENLDAP,又找研发团队快速定制了定期同步OA账户到LDAP数据库的小程序,虽然方法略显拙劣,但是很快就实现了零信任账户同步OA账户的目标,这里要感谢系统和开发的同事的鼎力相助,这最难啃的骨头已经啃完了,接下来还有何惧。
不知不觉三个月已过,此时的我,减肥也颇有成效,稍加有氧运动,辅以维生素B族片、柠檬水、苹果醋,已减下30斤。
终于到了应用访问测试环节,给自己开了最大权限测试,终于不用来回切换VPN来访问不同的业务了,管理网到业务网同时访问,日常办公居然可以做到如此丝滑,但是总觉得这样不妥,终端业务隔离没有了。那是不是又要回到原来的方式通过切换隧道来切换访问通道,杜绝同时访问的可能?
答案是否定的,零信任架构中有一个重要的安全特性,支持终端数据安全隔离,通过沙箱环境做到一机多空间,安全隔离,还辅以数据导入导出限制、外设隔离、防截屏、防录屏、屏幕水印等功能做到数据防泄密。于是安全团队又给不同的应用资源加上了UEM沙箱策略。这功能甚至还能省下用来做防数据外泄的VDI虚拟桌面的费用。
远程办公已趋于完美,网络架构清晰、冗余性高,安全性方面,通过零信任的网络隐身、数据防泄密等新特性也进一步提高了。但是几千人的运维量仍是很大的,数字化改造要彻底,那必须再想办法“偷懒”一点。
自从减肥30斤后,按原来的方式已经收效甚微,于是每天增加1小时的力量训练,期待效果。
运维工作量很大一块是要通过流程去做相应的配置,现在远程办公流程已经整合成一个流程,流程自动化配置只需要对接零信任一套系统,想要真正解放双手,那务必要把流程系统和零信任的自动化配置API接口对接好。
设计好流程后就与开发人员联调接口,通过公司的livebos灵动业务架构平台对接零信任API实现流程和配置自动化还是挺方便的,前期使用postman类工具做好接口调用测试,很快就实现了各类场景的自动化配置流程。
其实公司已经有很多类似系统都是这种模式,很多流程运维人员都无需做配置,平时只要做好API接口的监控以及数据台账的复核就好。
目前VPN系统和零信任平台处在共存期,新增需求已通过零信任平台实现,旧版VPN已不再更新,远程办公正平滑迁移至零信任平台,使用人也正在慢慢习惯新的远程办公工具,相信如果再次应对疫情大考验,我们肯定不会再那么狼狈了。
我的减肥计划也完成了,年初疫情开始至今已减去四分之一体重的我,现如今已无需靠断食维持体重,一切都在步入正轨,因为我相信任何事情都是以人为本,经营好自己,才能去面对更多挑战。
东吴证券始终坚持发展金融科技作为业务发展的核心竞争力,只有在更多高科技领域进行探索并应用到自身的金融数字化改造中,才能迎接更多的业务机遇,面对更多业务挑战。
中国证券业协会
SAC_Communication
