256
阿裏上班不打卡,任性進內網,全靠一個“男人”?!
在阿裏,絕大多數部門是從來不打卡的,工作地點也可以是阿裏童鞋覺得舒服和開心的任何地方,移動辦公在阿裏已經是一種日常。
為了隨時隨地安全穩定的接入公司內網,阿裏所有員工都會安裝一款智能辦公軟件“阿裏郎”。今天,為大家首次揭秘這位阿裏童鞋背後的“男人”。
阿裏郎是阿裏信息平台事業部研發的企業智能辦公平台,涵蓋安全認證服務和企業IT服務兩大領域,具備跨平台、終端管理、IT服務能力,尤其在終端支持、整合解決方案服務能力上麵做到了業界最全麵領先,更是阿裏內部熱捧的網紅辦公軟件。
最安全的網絡準入服務
采用行業最安全的TLS(基於Client和Server雙方雙向互相驗證數字證書)認證技術,支持Window、Osx、Linux、iOS、Android、物聯網等等設備安全入網,支持公司設備和BYOD設備安全入網,支持公司製定的動態安全策略,集成了第三方DLP、殺毒、健康狀況監測、VPN、IT服務,具備終端Profile可視化和管理能力。
阿裏朗PC端首頁界麵
最完整的企業IT服務
一鍵認證體係:首創一鍵雙設備多因素認證體係,用於VPN準入,敏感應用準入,跳板機等多場景,大幅提升用戶體驗及辦公效率,有數據顯示,通過網絡準入的一鍵VPN接入,每個月為阿裏員工節省了5000+小時。
阿裏郎一鍵接入界麵
智能辦公平台:將所有IT服務整合,結合智能化技術,多係統打通並一站式提供通訊錄、網絡、視頻會議、無線投屏、電腦體檢、軟件倉庫、IT服務等功能。
阿裏郎智能辦公平台界麵
阿裏郎以用戶體驗為核心,經曆了從入網工具到安全管理,再到企業智能辦公平台的發展,在保障終端及信息安全的同時,致力於提升員工辦公效率,提供一站式IT服務解決方案。
阿裏郎1.0——網絡安全準入工具
最初,阿裏郎是一個結合可信終端管理的網絡準入工具,用來提升入網安全性,通過對公司入網的員工設備進行識別管理,降低傳統的PEAP域賬號密碼在一些不安全係統上泄漏的風險。
阿裏郎以自研的證書體係入網來替換域密碼,實現和設備的識別關聯。在TLS和PEAP協議的實現上,通過用Java實現高性能Radius服務器改造,滿足了公司的入網大並發需求。在DHCP指紋技術的研究上,用最小的代價滿足在agentless的情況下對設備的OS識別,判斷白名單設備的入網是否合理的安全管控,並為後續IP到人到設備的數據化需求打下基礎。
為了滿足雙因素驗證的安全需求,阿裏郎團隊自主開發了OTP令牌,完成對原RSA硬令牌的全麵替換,大幅降低成本,完美解決了RSA令牌已損壞、替換不便、攜帶不便、易被偷窺等痛點。OTP令牌也是阿裏郎認證體係中最初的認證方式。
通過終端管理、身份驗證、訪問控製模塊的上線,阿裏郎逐步實現了NAC領域產品形態,使用網絡準入安全策略,確保進入網絡的設備符合策略及安全標準。之後,團隊又開發了網絡可視化的數據監控體係。自此,阿裏郎將服務器斷網、動態VLan等功能結合,使其終端運行率穩定在99%,為阿裏集團安全加了一把堅固的安全鎖。
阿裏郎2.0——安全與體驗的平衡
2015年以前,阿裏郎以安全為主的產品定位,給阿裏員工也帶來諸多不便與繁瑣操作。之後,阿裏郎提出了新的理念「安全與體驗的平衡」:在保證安全的同時,也需要兼顧最佳的員工體驗。
「一鍵VPN」就是在該理念下誕生的產品。以往的VPN連接需要員工單獨安裝第三方程序,輸入賬號、密碼、令牌連接,全程耗時約1分鍾且多達6個步驟。一鍵VPN是行業首創的全新免密免令牌認證方式,用雙設備證書校驗替換靜態密碼,提高了認證安全性,員工僅需要在PC上點擊連接,隨後在手機設備上確認即可完成驗證,傻瓜式操作。通過全鏈路數據監控發現,傳統的VPN模式一次性連接失敗率達到26%,而阿裏郎的一鍵VPN的連接速度是其4倍,成功率提則高達98.1%。
為進一步利用阿裏郎終端覆蓋率的優勢,阿裏郎打造了終端安全產品EDR(終端安全檢測與響應)。EDR旨在“輕管控,重檢測,快響應”,通過采集係統的關鍵路徑和PE文件,利用強大的威脅情報中心庫來做實時的監控檢測,一旦發現危險文件,則會自動生成安全響應事件預警。提供下放可編程化的腳本語言輔助安全人員判斷,並支持最終刪除處理的能力,同時支持可控化判斷是否可以及時自動化處理並反饋至威脅情報中心庫,反哺了大量的風險樣本數據。
阿裏郎在2.0版本中還強化了終端管理和數據安全能力。對OS X設備的管理能力,因為蘋果設備存在設備唯一標識困難和管控限製,阿裏郎引進了MDM(移動設備管理),通過MDM對蘋果係的設備管控已經有一個較為成熟的方案和體係。
在數據安全領域,阿裏郎2.0實現了一套文件透明加解密係統,針對阿裏辦公特性量身設計了產品功能及交互,員工無需使用虛擬機即可將文件下載到本地。文件會經過阿裏郎加解密網關進行加密,加密後該文件隻允許在阿裏郎可信設備中被訪問,如果該文件泄露到外部,打開即會報錯,有效保障了安全性和體驗。
阿裏郎3.0——多工具整合+人臉識別
在阿裏郎3.0版本發布前,每個員工的電腦上需要安裝連網、軟電話、視頻會議等多個辦公工具軟件,後期持續的管理和維護存在巨大的困難。在3.0版本中,阿裏郎實現了與阿裏內外、阿裏管家兩個阿裏信息平台的產品整合,重新編寫了整個客戶端代碼,並且設計了全新的UI界麵,開啟了“大航海統一”的策略,減少了員工電腦上必備軟件的數量,方便員工能夠快速找到所需功能。
自此,阿裏郎擁有了多方音視頻會議、免費電話、無線投屏的能力,並重新設計了企業通訊錄,一鍵體驗及軟件倉庫功能。
此外,還推出了人臉識別認證,在修改個人信息,登錄內部高敏感應用等場景,使用人臉識別登錄,大幅提高了安全與體驗。值得一提的是,該人臉識別功能無需員工注冊登記,即可直接使用識別身份。
** 阿裏郎4.0——全麵的企業智能辦公平台**
(聲波投屏、手機投屏、近場感應、AR識別)
結合新興技術,阿裏郎開啟了全新的4.0智慧辦公時代篇章。無線投屏上,阿裏郎推出了一鍵聲波投屏,也是行業內首創的聲波匹配技術應用案例。員工僅需打開阿裏郎投屏界麵,點擊投屏,阿裏郎會自動檢測會議室TV發出的高頻聲波,並轉化為投屏碼然後自動投屏,大大減少手動輸入出錯率,提升操作體驗,員工稱其為投屏黑科技。
同時,阿裏郎還集成了蘋果的Airplay技術,結合聲波技術,為員工帶來驚喜的手機投屏功能。員工在會議室打開手機阿裏郎後,點擊手機投屏,即可一鍵自動將屏幕投放到會議室TV上,能夠流暢地觀看視頻及播放聲音,良好的操作體驗無縫銜接,令人驚豔。
一鍵投屏超輕鬆~
阿裏郎4.0版本的終端設備管理模塊還會和資產管理係統聯動,除了能判斷公司資產外,還支持AR識別設備,當員工需要領用、借用、歸還,甚至是需要了解IT相關產品時,可以通過手機阿裏郎掃描電腦設備,即可識別該設備的品牌及型號,主動為員工提供資產和IT相關服務。
阿裏郎發展曆程的技術挑戰
挑戰一:探索認證方式
最初,阿裏郎選擇證書入網方式來替換域密碼,實現和設備的識別關聯,但這種方式安全性和便利性都不好。實現一套阿裏郎自己的證書體係,並通過算法唯一標示設備ID將兩者結合起來,是技術團隊首先要麵對的挑戰。證書的生命周期的管理,證書的知識圖譜當時團隊沒有人有相關經驗,都是學習摸索,各種pki體係知識協議也都是成員主動去學習。
如radius服務器對服務器證書有很多要求,這個點起初我們是不知道的,後續的實施的時候發現很多問題,團隊一步步耐心去解決。最終實現TLS和PEAP協議,並通過用Java來實現了高性能Radius服務器改造,滿足了公司的入網大並發需求。
挑戰二:蘋果設備管控限製
麵對蘋果對設備唯一標識管控上的限製,阿裏郎引進了MDM,在當時國內基本沒有涉及的案例,更沒有相關的,技術團隊通過查看源碼的方式學習其機製,最後通過MDM實現了對蘋果係設備的管控。
挑戰三:設備數據化
為了將設備的數據價值體現出來,實現對網絡到設備到人有一個完整的關係圖譜,阿裏郎研發團隊提出了4w的數據目標,即Who、Which、Where、When。技術團隊研究了相關網絡關鍵設施,其中將數據從這些設備上安全平穩的吐出來,是一個很大的挑戰。團隊在保證穩定性的前提下,不斷探索,最後結合阿裏的關鍵數據化產品,將數據高效、可靠地傳輸到線上,進行大數據實時分析處理。目前該數據對安全方麵的貢獻很大,同時也是網絡數據化中的一個基石數據。
阿裏郎顛覆用戶對傳統企業IT工具流程繁瑣、操作複雜、易用性差,穩定性不高等缺點的認知,通過智能化、互聯網產品化的思維重新定義企業IT平台,大大引領了行業標準。
近日,阿裏郎已完成網絡準入(NAC)、無線投屏等多個服務SaaS化升級,將攜手阿裏雲於7月底麵向所有企業推出更輕量的雲化產品——阿裏雲辦公,未來讓所有企業員工能夠和阿裏巴巴員工一樣享用智慧IT服務,擁有一流的互聯網辦公體驗。
本文出自阿裏技術公眾號,原文鏈接
最後更新:2017-07-25 11:02:45