導語:2019年5月21日,騰訊全球數字生態大會在春城昆明盛大開幕。大會中TEG作爲騰訊的內部技術支撐平臺,在展區展出30餘個技術應用。共分爲資源層,資源管理層,應用支撐層,大數據平臺,安全管理體系,以及豐富的技術應用。其中,騰訊iOA零信任安全(Tencent iOA Zero Trust)作爲安全管理體系,是騰訊自身十多年的內網安全管理實踐與業內前沿的“零信任”安全理念結合推出的新一代網絡邊界訪問管控解決方案,以身份安全 、終端安全和鏈路安全三大核心能力,爲企業移動辦公和應用上雲打造統一、安全和高效的無邊界網絡訪問入口,構建全方位、一站式的零信任安全體系,加速企業網絡安全管理升級,爲政企用戶在互聯網產業化進程中保駕護航。騰訊企業IT部安全運營中心的李健在大會進行主題分享——騰訊iOA零信任安全:IT變革下的新一代企業網,這次分享吸引了大量政府領導,企業架構師,學術專家。他們一同來到展區進行深入探討互動。下文是當天演講內容,歡迎大家留言互動。
在開始正題之前,先讓大家猜兩個數字:一是來自Cybersecurity Ventures的調研預測:2019年,每多少秒就會有一家企業受到勒索病毒***?二是來自Forrester的統計:2018年,又有百分之多少的安全事件都與特權賬戶竊取有關呢?
場下的回答是“30秒”和“85%”,看來大家對此都有共識,實際情況就是:14秒和80%。這兩個數字已經表明了我們當前的安全態勢是如此急迫,企業無時無刻不在面臨密集的***,無論是否有感知,都已身在其中,而在所有的安全事件中,身份安全成爲一個焦點。
來看一個具體的案例:2009年底,Google的一名員工在即時通訊上收到來自“信任”的人發來的一條網絡鏈接,當他點擊之後進入的卻是惡意網站,網站上含有shellcode的JavaScript程序碼造成了IE瀏覽器溢出,進而遠程下載遠控***致使這名員工的電腦成功被***遠控。此時,他用戶的身份、設備和發起的進程都已不再是可信任的,但在傳統的網絡安全架構下,還是被被予以放行,造成的結果就是:搜索引擎巨人的網絡被長達數月的******,大量系統敏感數據被竊取。這就是一次著名的APT***——極光行動。
雙重挑戰
這個故事告訴我們:風險已不只來自於企業外部,甚至更多是來自於內部。而傳統的基於網絡位置的信任體系,所有策略都是針對邊界之外的威脅,在網絡內部沒有安全控制點,導致邊界一旦被攻破之後,既無法應對***者在企業內部的橫移,也無法有效控制“合法用戶”造成的內部威脅。
與此同時,近年來APT***、勒索病毒、竊密事件、漏洞***層出不窮,日趨氾濫,雲化和虛擬化的發展,移動辦公、遠程訪問、雲服務形式又突破了企業的物理網絡邊界,用戶、設備、業務和平臺的多樣化,更使安全戰場不斷擴大,信任區域日趨複雜。這帶來的影響是:一方面,網絡管理難度加大、效率降低,另一方面,基於“信任區域”模型的天然缺陷,一旦被***就無法有效隔離和保護企業數據資產;軍工級***工具的平民化,又讓風險不斷加劇。企業同時面臨着安全與效率的雙重挑戰,邊界消失已經成爲必然。
當我們已經走入了無邊界的時代,當企業不再信任內部或外部的任何人、事、物,該如何來重構一個零信任安全的網絡呢?
產品方案
在如此的變革訴求下,騰訊把自身十多年來的網絡安全管理實踐與“零信任安全”理念結合,形成了”iOA零信任安全“的解決方案。
騰訊iOA Zero Trust是一種新型的網絡訪問管控系統,它基於用戶權限爲中心進行訪問控制,引導安全體系架構從網絡中心化走向身份中心化,它不再依賴網絡位置判斷是否允許訪問,而是持續性評估設備、系統、用戶、訪問流的安全性和風險狀態,以達到細粒度、動態的安全訪問控制。
首先,不論是來自職場內外的訪問要求,只要想介入企業系統,訪問企業資源,都需要進入iOA的零信任安全平臺評估,從身份安全認證、到終端安全,再到鏈路安全進行全程的檢測與動態控制,持續判斷終端和用戶的安全狀態,爲動態訪問控制決策提供依據,確保訪問是來自可信的用戶、可信的設備和可信的進程,通過權限系統,分配至智能網關訪問相匹配的企業資源。
這種新型的訪問模式,有我們全面的安全能力作爲保障:
首先,身份安全作爲“零信任”架構的第一關,有多種認證方式來確保訪問是來自可信用戶:如企業微信掃碼、token雙因子認證、本地身份、域身份以及自定義賬號體系等適配不同企業組織架構;而在用戶體驗上,全應用系統單點登錄(SSO)讓使用更加便捷。
在終端安全上,集成了病毒查殺、合規保護、安全加固、數據防泄露DLP、補丁分發等全方位的終端管控功能模塊。其中,殺毒模塊中採用了新一代的AI動態殺毒引擎, 海量樣本可實時發現最威脅;EDR***檢測基於騰訊多年來成熟的終端檢測與響應技術,預設有300多種檢測規則,可秒即發現***隱患,並通過雲端聯動最新威脅情報,實時推送檢測規則與專家策略,爲用戶及時應對熱點安全事件提供決策支持。
在鏈路安全上,獨有的訪問鏈路加密/解密網關,可針對終端指定WEB或應用程序流量層層加密,對不穩定網絡做網絡傳輸協議優化;同時支持訪問控制管理、單鏈接請求授權,及時阻斷違規訪問與網絡風險。
以上的動態訪問控制模塊,以身份安全、終端安全、鏈路安全上的三大核心能力,組成了一個完整的零信任安全解決方案的閉環。
根據不同用戶的特點,我們支持公有云、私有云和本地應用的多種部署方式。
應用場景
在應用場景上, 不管是遠程辦公、審批還是遠程開發、運維、非辦公場地登錄服務器等,都可以第一時間便捷安全地訪問企業資源,實現真正無邊界化辦公。
最佳實踐
如之前所說,iOA 零信任安全解決方案是來自於騰訊自身的安全管理實踐。
以騰訊公司的規模,現在每天終端設備接入的數量是12W+,其中Windows是6W多,MacOS是8K多;在這些終端之上,每天有6W+的未知進程在跑,且由於辦公場景需求無法用白名單規則來禁止使用;同時公司跨區域多地辦公、不同的業務組織又存在特殊的安全需求,更不可用一刀切的方法來解決問題。以上情況都很符合之前所講的安全與效率的挑戰。
而當騰訊順應變革用iOA 率先實施落地了零信任安全架構後,又發生了哪些變化呢?
首先,一張企業網,打破了邊界藩籬,簡化了網絡界面,用戶隨時隨地可以訪問企業核心資源,網絡扁平化使公司內外一致,海內外訪問大幅度優化提升;不用×××,更勝×××,在網絡速度、穩定性和信道安全上勝過頂尖×××,用戶體驗升級。
同時,不再受困於複雜的信任區域,管理顆粒度從區域下沉到設備甚至是進程級,檢測能力達到傳統系統安全無法檢測到的100+活躍***組織的數十種主流高級***;終端與雲端實時聯動,終端深度監控,分析雲端完成,雲管雲控的模式保證了生產效力和決策精準。如此一來,既提高了管理效率,改善了用戶體驗,又能有效抵禦APT***,效率和安全均得到了提升,讓騰訊成爲國內第一家將“零信任”安全完整落地的標杆,真正把網絡管理做到了化繁爲簡,化整爲“零”。
以上就是今天的分享, 希望能與更多的用戶和夥伴來共同探討和推動新一代企業網的演進與發展。也歡迎大家關注我們的官網和公衆號,瞭解更多產品信息。
騰訊iOA零信任安全,讓網絡更可信任,真正的無邊界辦公,助力企業安全管理升級。