乐趣区

关于服务器:从理念到大型实践揭开腾讯零信任iOA安全方案的落地密码

随着企业数字化转型的一直深入,近程办公、挪动办公逐步成为支流办公模式,但在复杂多变的平安环境下,如何应答来自内外部的潜在平安危险也成为了企业的必修课题。

在 1 月 23 日举办的 TGO 鲲鹏会杭州年度家宴上,腾讯平安高级策略产品总监孙方霆示意,零信赖代表了新一代的网络安全防护理念,基于零信赖准则的平安进攻能力在简单局势当中建设起牢固的平安防线

零信赖平安是以“继续认证、永不信赖”为核心思想,同时整合了身份设施、设施平安、利用平安和链路平安等因素,确保业务零碎拜访的安全性的解决方案。作为腾讯办公职场建设的根底,腾讯 IT 自主设计和研发,联合本身多年的网络安全治理实践经验,造成了腾讯 iOA 零信赖平安管理系统。在去年年初疫情防控期间,腾讯 iOA 整合了 IT 服务和终端平安,胜利为 6 万员工和 10 万台终端的跨境、跨城近程办公场景提供了平安保障。

基于腾讯最佳实际,腾讯 iOA 零信赖平安计划的商业化重点围绕可信身份、可信终端、可信利用、可信链路四大因素打造企业下一代平安体系。此外,孙方霆还分享了近程办公、运维、多云接入和寰球业务减速四个典型利用场景,为用户打造了基于可信身份的无边界动静访问控制闭环的同时,全力护航企业云上业务平安。

以下为孙方霆演讲全文:

最近两年,零信赖平安的概念在信息安全畛域热度越来越高。腾讯平安作为国内当先的信息安全领导企业,在 2016 年就开始在团体内部署零信赖平安解决方案,积攒了大量的成功经验。

本文探讨的话题包含三个方面:一是零信赖平安的倒退和概念,次要想聊聊为什么要采纳零信赖平安,零信赖平安带来的价值是什么?二是腾讯在零信赖平安方面的实际,腾讯从 2016 年开始自研和施行零信赖策略,在零信赖解决方案上积攒了大量的教训。三是腾讯 iOA 零信赖平安计划商业化,目前该计划曾经在一些大型行业客户那里进行了胜利的部署。

零信赖平安之所以热度越来越高,有三个要害的背景因素:

首先,多样化的办公环境,导致企业平安边界变得越来越含糊。传统的信息化倒退,用户本人建设数据中心,采纳塔防式进行平安进攻,根本能够保障安全性。而当初,随着企业业务的倒退,很多业务部署状态曾经产生了十分大的变动,用户要害的业务数据可能散布在公有云、私有云或传统数据中心内。各种部署状态导致数据无奈进行集中管理,在这种状况下,数据安全治理面临着大的挑战。从终端的应用场景来看,变动也十分大,尤其是 2020 年疫情期间,近程办公成为支流办公形式,然而在近程接入时,如何确定接入用户的身份以及终端和环境的平安,也成为企业面临的挑战。

其次,虚构货币的衰亡,促使黑产更加猖狂。从 2015 年开始,加密勒索攻打越来越频繁。次要的起因是比特币的倒退和风行。

从 2017 年开始,加密勒索呈大规模暴发趋势,其中是极具标志性的 WannaCry 勒索病毒。尔后,越来越多的黑客团伙投入到加密勒索攻打中。2020 年 12 月,富士康在巴西的工厂被黑客攻击勒索 3400 万美金;国内芯片行业的研华科技遭黑客勒索 750 个比特币。不法黑客有了更快的变现路径,并且难以追踪,所以他们在这方面更加胡作非为。

第三,企业外部的设施越来越多,IoT、BYOD 等各种各样的智能化接入设施无奈无效治理。随着物联网的蓬勃发展,越来越多的物联网设施接入网络。这些接入的物联网设施操作系统存在大量安全漏洞,并且疏于治理,给企业的平安运维带来微小的危险。2017 年,美国某赌场被入侵,不法黑客通过水缸外面智能温控零碎作为路径,入侵美国某出名赌场。黑客利用物联网设施构建巨型僵尸网络,动员大规模的 DDoS 攻打。

总体来说,咱们面临的平安挑战有如下几个:

第一,企业数字化转型推动了新技术的利用需要,这些新技术的应用对传统的网络安全技术和治理形式提出了新的挑战。

第二,数字化转型过程中,企业的业务架构和网络环境产生了很大变动。

第三,平安治理产品和技术的割裂,导致运维治理老本一直进步。

第四,业务上云不足管控,为企业平安带来新的危险和挑战。

那么,零信赖到底是什么?

传统的平安进攻,咱们会假设接到内网的用户都是平安的,这种状况下只有做好边界的防护和准入,那你进来了当前就是可信的。而零信赖平安则是默认不置信任何流量,在所有的拜访之前要对用户身份进行认证,并依据终端的应用环境来动静受权。

从大多数的安全事件来看,黑客通常从咱们认为平安的内网客户端进行浸透,而后进行横向平移,逐渐管制外部网络中的要害节点,最终达到攻打目标。

所以,零信赖是一种截然不同的平安理念。它假设网络里所有的接入设施可能曾经被入侵,是默认不可信的。当用户通过终端拜访咱们的重要业务零碎和数据时,须要对拜访用户的身份进行认证和受权,同时评估终端的安全性以及所在环境的安全性,通过层层防护,确保从人到设施、从利用到链路都是平安合规的,这样能力容许拜访申请达到后端利用。同时,对用户的拜访行为进行继续地剖析,及时发现异常行为并进行阻断。

简略了解,零信赖平安是整合了身份设施、设施平安、利用平安和链路平安等因素,通过实时的行为和环境评估,确保业务零碎拜访的安全性。整个零信赖的核心思想是“继续认证,永不信赖”。

从 Gartner 零信赖网络市场指南的报告来看,支流的零信赖解决方案有两个模式:

基于服务的零信赖网络拜访和基于终端的零信赖网络拜访。

基于服务的零信赖网络拜访不须要在终端上装置客户端,通过 Web 形式实现对后端的业务拜访,在拜访的过程中对用户的身份进行认证和受权。这也是谷歌的 BeyondCorp 的次要实现形式。

基于终端的零信赖网络拜访须要在终端上装置客户端,它反对更加丰盛的利用模式,包含 B / S 和 C / S 架构的利用。这也是腾讯采纳的部署模式。这种形式不仅反对更加丰盛的利用,而且对终端的平安状态可能实现更加精准的评估和监控。

腾讯在 2016 年开发和部署 iOA 零信赖平安零碎,并逐步将所有零碎,包含 OA、常识分享、近程运维、开发等零碎切换到零信赖拜访模式。2020 年疫情期间,因为所有员工都无奈返回工作场合须要近程办公,咱们在一周实现扩容,撑持了整个公司的日常办公、运维经营和开发工作须要。

腾讯 iOA 零信赖平安计划的商业化,次要围绕着以下四个因素:

第一,身份可信。除了用户名口令,通过多因素认证来对用户身份进行强认证,同时,动态分析用户的登录环境,当用户登录状态、地点和设施等危险等级较低时,会简化用户登录形式,实现一键登录。

第二,终端可信。通过病毒防护,系统漏洞检测和加固、终端准入、合规检测等措施,确保终端平安可信。

第三,利用可信。在拜访某些要害敏感利用的时候,限度用户应用合规利用进行拜访,无效拦挡黑客通过暗藏通道或利用进行的攻击行为。

第四,链路可信。通过腾讯自研的 NGN 技术,在确保链路加密和平安的同时,改善用户的拜访体验。同时,防止传统 VPN 的隧道技术在网络切换或网络通讯品质较差时的隧道频繁重建问题。

另外,为了反对更多的接入场景,咱们不仅提供基于终端的零信赖拜访模式,也反对基于服务的零信赖拜访模式。

目前,零信赖平安的典型的利用场景有如下几个:

第一个场景是 近程办公、无边界办公。它是为了解决疫情期间,客户须要通过在公司以外的地点进行办公,近程拜访企业外部利用的问题。无边界的意思即无差别,大家在公司内和公司外,在拜访利用的时候,平安强度是一样的。

第二个场景是 近程运维。在零信赖平安场景中,用户须要先进行身份认证,再进行近程运维操作。通过对运维操作的事先受权、事中管制、预先审计,无效解决近程运维对企业 IT 治理带来的平安危险和挑战。

第三个场景是 对多云的反对。不论业务在云上还是本人的数据中心外面,都能够做到全面的反对。同时,与腾讯云上其余的平安和利用优化减速计划整合,实现对零信赖拜访的平安防护加强,并解决海内分支站点拜访的优化和减速。

腾讯云的零信赖平安解决方案最大的特点就是源自腾讯的外部实际。这是与国内其余产品和计划的最大差异。同时,腾讯零信赖平安解决方案一直整合和减速本身的平安劣势与能力,并与业界建设残缺的零信赖生态,独特推动零信赖平安在中国的落地和倒退。

退出移动版