小红书基于零信任 SASE 办公安全解决方案，斩获 “IDC 中国 20 大杰出安全项目”

近日，由 IDC 主办的 2023 全球 CSO 网络安全峰会（中国站）在京举行，峰会荟萃 300+ 生态伙伴和行业领袖，共同探讨新形势下的数据安全保护，畅议未来网络安全的可靠航道。

会上，“2023 IDC 中国20大杰出安全项目（CSO20）” 榜单正式揭晓。小红书凭借着“基于零信任 SASE 办公安全解决方案”，成功入选 CSO20，成为今年唯一受表彰的互联网企业。

本次 CSO20 评选备受瞩目，不仅意味着一批富有影响力的网络安全项目诞生，引领着中国数据安全建设快速发展；亦是对获奖项目技术创新的充分认可。自 2022 年起，小红书持续打造零信任数据安全体系。“基于零信任 SASE 办公安全解决方案”项目经过 IDC 专业团队的深度筛选，在全国百余个项目中脱颖而出。

小红书网络安全负责人 林敏（左） 现场领奖

在企业内部看来，数据安全是放在首位的。不仅源于国内外对数据安全法律法规等政策的严格落实，更是出于对所有用户与员工的负责态度。黑客攻击会对数据安全构成威胁，企业内部办公网络安全同样是重中之重。

随着业务规模的发展扩大，小红书目前在北京、上海、武汉、广州等多地设立办公室，多地远程办公成为常态。组织结构的扩张、办公终端多样化、网络安全及合规的高要求，无一不激发了小红书内部安全革新的动力。

小红书自诞生起，便长在“云原生架构”上。灵活的办公场景，员工良好的办公体验都是安全建设考虑的必要因素。基于小红书自身在数据分析和安全风控方面具备较好基础，因此，如何在混合办公环境对核心数据进行防护的同时保证高效灵活，成了小红书安全团队的关键目标。

传统公司常用云桌面、沙盒之类的产品保护红线数据，小红书安全团队表示，这类部署方案可能有点重，且对办公效率有一定影响。团队曾调研过市场上一些主流的 DLP（数据防泄漏）产品，这些产品经测试使用后，员工反馈体验并不理想。此外，即使数据外发策略再严格，当数据留存在终端时，仍可以通过各种手段绕过，无法进行有效监测与拦截。

零信任（Zero Trust）正作为近年在安全圈持续火热的概念之一被广泛传播。零信任是一种以身份为中心的新一代网络安全防护理念，通过持续的身份认证、环境状态采集、实时信任评估、动态访问控制，并遵循最小权限原则，实现在不可信网络中构筑可信的访问通道。其灵活度高、安全性强、对用户打扰弱的优势受到关注，一个创新的想法在团队内涌现：也许结合零信任这一前沿安全理念的数据防泄漏方案，能弥补传统 DLP 解决方案的弊端。

面临技术挑战

● 多身份角色、接入用户多样化，导致访问控制权限处理复杂：

不同组织和人员的访问权限划分需要实时更新，耗费大量精力。

● 多终端类型，云桌面和沙箱等方案无法适用于所有场景：

如今办公终端类型多样化，除了常见的 Windows、macOS 等 PC 设备，还有大量 iOS、Android 等移动设备需要接入办公，传统的数据防泄漏方案无法满足小红书多样化办公设备场景。

● 安全产品碎片化：

为了解决不同安全问题，需要部署多套产品。不同产品有不同的管理平台，运维人员需要适应不同产品的设计逻辑和操作习惯，在不同产品控制台之间频繁切换，学习成本高且维护压力大；此外，各个产品之间无法形成联动处置。

● 传统安全产品开放性低：

在 OpenAPI 和自定义分析能力方面无法灵活匹配小红书业务，导致 1+1＜2；且传统的安全产品标准化交付模式，在一些细分场景下无法匹配小红书业务，共创定制需求响应慢，甚至无法完全满足。 

● 终端安装多个 Agent 默认占用大量资源，导致员工办公体验不佳：

传统办公安全解决方案，需要安装 VPN、EDR、DLP、UEM 等多个 Agent，会占用大量设备资源，影响员工办公体验。

● 结合混合办公场景，降低数据暴露风险：

快速发展的小红书，灵活办公场景随处可见。混合办公场景下各接入点的安全水位不一致，容易成为攻击者的目标。

● 响应数据安全法律法规，强化敏感数据管理：

随着《个人信息保护法》等法律法规发布，对企业数据管理提出了更高的要求，但如今敏感数据分布广，获取方式多样，外发通道难以管控，给企业带来了挑战。

2.1 BeyondCorp 与 SASE 能力的结合

小红书早期调研了以 BeyondCorp 为代表的零信任方案，其无端的访问方式确实带来了极致的用户体验。安全团队可以在网关上实现各种风控能力，然而 BeyondCorp 也存在一些挑战，需要认真考虑：

• 协议兼容性受限，仅支持七层流量

• 需要对外暴露 HTTP(S) 服务，增加一定的攻击面

• 终端安全管控手段不充分，无法全面覆盖终端安全问题

• 实现高可用性需要投入大量时间、精力和成本

小红书安全团队一直密切关注近年来的零信任新趋势，特别是 SASE 架构，它天然弥补了上述挑战，通过分布式的 POP 点确保系统天然高可用，也补充了客户端的安全管控能力。然而，若团队直接使用 SASE，既无法利用小红书自有业务网关优势，也要放弃小红书在网关上积累的风控能力，与企业内部的数据管理脱节。

综合调研了各种方案后，团队根据自身网络架构特点，提出了一个创新的想法，将 BeyondCorp 与 SASE 能力结合，更好地满足了终端、网络和身份的安全需求。

• 终端 - DLP、杀毒、零信任访问等功能 All in One，并且支持终端安全与访问控制策略联动。

• 网络 - 办公网改造成非特权网；全球 POP 接入点实现高可用

• 身份 - 客户端与身份绑定，并在网关处与请求身份匹配，解决身份盗用问题

  

2.2 网关与客户端联动

在以往依赖网关实现的风控方案中，网关无法拿到终端的安全信息。小红书安全团队将网关风控与客户端联动，网关风控能实时识别请求中是否包含客户端信息并检测客户端状态，确保终端的可信性。同时，还可在终端上实施各种安全合规策略。对于未安装客户端的访问请求，网关风控可将用户跳转到客户端下载页面，以低成本实现客户端全员覆盖。

2.3 实时风控和异常分析

小红书在风控基建上持续投入了多年，建立了完善的数据安全和风控体系。这套零信任访问系统可以将 4/7 层日志和客户端日志接入风控系统，实现与风控系统的无缝结合。客户端采集的安全信息为风控系统添加了更多维度的数据，实现更加精准和完善的异常分析。

2.4 红线数据不落地

安全团队从数据安全生命周期管理出发，以“不落地”实现红线数据不泄露。在内部，小红书严格执行数据分类分级/ API 安全/脱敏/权限管理等措施，以数据打标和 API 打标作为数据防泄露管理的起点。对于内部生产类数据，将数据管控手段左移，改造业务系统文件下载流程，使用在线文件取代文件直接下载。

相比传统的沙箱隔离和文件加密方案，这种做法不仅安全性更高，而且员工有更好的使用体验。

2.5 多级容灾机制

整个访问控制系统是串联在访问过程当中，一旦出现故障将影响所有员工的正常办公，因此系统的稳定性是小红书安全团队考虑的重中之重。

为此，团队打造了一个多级容灾方案。默认情况下，流量通过小红书自建的私有 POP 节点，确保流量和数据都在自己可控的网络环境中。当本地 POP 节点发生故障时，系统自动切换到公有云 POP 节点。这种容灾方案已经可以保证超高的可用性。另外，团队在此基础上还实施一层 Wireguard 方案，当零信任防护模式失效时降级到 VPN 模式，以此实现更高的可用性。

2.6 自研客户端

小红书向员工展示自有品牌的办公安全平台，以增加员工对安全软件的认可度，同时还可以在客户端上集成更多内部常用的办公功能。基于客户端 SDK，安全团队打造了匹配小红书自身风格的客户端 UI，加之便捷的办公体验，实现其对员工的“种草”。

一年内，小红书安全团队已完成 100% 铺端部署，整体平滑过渡至零信任办公安全架构。在内网访问完成切换的同时对企业敏感数据实现分级分类，对不同部门和员工的外发通道进行细粒度的权限管控。这确保了准入安全，实现权限最小化、敏感数据不落地需求，建立全方位、立体化的数据全周期防护。

自落地以来成效显著，入网设备管控比例提升至 100%，红线数据落地场景收敛 80%。

以轻量稳定、简洁高效一体化为目标，“内部安全办公系统”这一产品在内部调研中，获得了高达 70% 的 NPS（用户推荐口碑）：

● 能力一体化、管理更精细：

一体化设计思路，即平台/功能/管理一体化，大幅降低终端安全体系建设、运行和扩展的复杂性。管控力度更精细、权限可自动梳理、运维难度更低，对终端、身份、行为和数据等进行全生命周期的精细化准入管控，确保终端符合内外部的相关准入要求，做到合法合规，准入可信。

● 安全互相赋能：

不仅实现产品平台自身不同模块之间的数据互通，更无缝衔接已有的安全能力。通过零信任平台对接现有风控系统，根据员工所在网络环境、身份、设备归属（公司设备 or BYOD）、设备安全性和访问时间等维度实时动态调整访问控制策略。

● 全域数据安全管控：

系统实现数据安全防护以数据为中心、分类分级为基础，为小红书数据资产提供事前主动防御、事中实时监测、事后追踪溯源和全程态势感知。基于数据的全生命周期提供全方位、立体化防护。

小红书安全团队积极实践零信任（Zero Trust）的理念，追求“全量数据可追溯，核心数据不泄露”的安全目标，实现了终端、网络和身份安全的全面覆盖，以技术创新弥补安全管控带来的效率损失和体验。

在数据安全建设实践中，摒弃了传统边界安全的假设，基于零信任的原则，创新构建一套灵活办公的链路，将访问控制、实时风控、数据不落地、行为分析能力服务化。在下一阶段的部署中，小红书安全团队表示，会在此基础上增加更多安全功能，类如 EDR 等来保障内部办公网络安全。

欢迎感兴趣的同学加入小红书安全团队，共同探索关于办公安全领域的技术创新！

安全开发工程师

基本信息：

工作地点： 上海市

工作经验：5-10 年

学历要求： 本科及以上

工作职责：

1. 参与内部通用的安全服务与安全工具开发；

2. 负责内部安全系统和平台的维护升级；

3. 参与安全开发生命周期 SDL 体系建设与推广。

任职资格：

1. 计算机及相关专业本科及以上学历，3 年以上研发经验；

2. 熟悉 Golang 或 Java，有良好的操作系统、网络、数据结构基础；

3. 有安全相关产品研发经验（SOC/IAM/KMS/DAST 等）；

4. 了解常见安全漏洞原理和安全开发流程；

具备高可用架构设计能力，有分布式、高并发系统开发经验。

高级网络安全工程师

基本信息：

工作地点： 上海市

工作经验：5-10 年

学历要求： 本科及以上

工作职责：

1. 负责公司内部办公安全相关的能力建设，保障公司内部办公环境的整体安全；

2. 负责终端和网络的安全管理和优化，提升可靠性和稳定性，保障系统 SLA；

3. 与 SRE、IT 等相关团队进行沟通和协调，推动方案有效落地。

任职资格：

1. 三年及以上网络安全，终端管理或相关系统安全相关工作经验；

2. 对防火墙，负载均衡，代理等网络组件比较了解，熟悉常见网络协议及网络运维工具的使用；

3. 熟悉零信任架构，对于普通终端（Windows、macOS）、哑终端、移动终端有管理经验，落地执行过终端安全、DLP、零信任等相关项目；

4. 掌握 Shell/Python/Go 等至少一门编程语言，熟悉常用的开发调试工具；

5. 熟悉 VMware/K8S 等虚拟化平台及云平台使用，了解系统安全防御及加固。

欢迎感兴趣的朋友发送简历至：

REDtech@xiaohongshu.com并抄送至

sec@xiaohongshu.com