关于网络安全:从内网护卫到零信任尖兵腾讯iOA炼成记

Made in Tencent

腾讯既是企业产品的服务商又是使用者，很多产品最原始的出发点最早只是为了解决腾讯本身某一个需要，通过一直地倒退欠缺和业务场景锻炼，最终进化成一个成熟的企服产品。本系列文章讲述的是这样一组 Made in Tencent 故事，这是系列的第一篇。

导读：2022 年 5 月，腾讯发表办公终端平安产品零信赖 iOA 部署量超过 100 万。这不仅是腾讯本身的里程碑，也是零信赖在中国商业化落地的一个标志性事件，它验证了零信赖在规模化商用上的可落地性。

这不是偶尔，是一个腾讯本身内网办公平安厚积薄发和新 IT 浪潮不约而同的故事。

2016 年 7 月，WeWork 获 A 轮融资，估值高达 160 亿美元。这家始于 2011 年的共享办公空间鼻祖，经验了几年倒退后，成为一时无两的当红炸子鸡。同年，WeWork 也正式进入中国市场。

WeWork 在资本市场的胜利是一个缩影，它反映的是“挪动办公”这个被 IT 行业心心念念了很多年的夙愿，在 21 世纪的第二个十年，终于在寰球造成了燎原之势。

从天时地利人和的角度，网络和基础设施的倒退是一方面，另一方面是在终端硬件上，智能手机的遍及，相当于人人有了一台便携微型电脑——它能实现审批、收发邮件、编写文档、解决工作流——让挪动办公具备了硬件上的可能性。

Anytime、Anywhere 都能够工作，当这种欲望从个体行为变成一种组织行为，这就为企业的 IT 部门带来了一些工程实现上的问题。对于腾讯来说，撑持腾讯几万员工无论在哪里都能在近程接入公司内网工作，保障平安和易用，就是 IT 部的职责所在。

始于平安

很多人潜意识里会把零信赖办公产品和 VPN、近程办公划上一个等号，其实从语干上看，近程办公首先是“办公”其次才是“近程”。对于一个企业 IT 部门来说，办公的问题首先是平安的问题——这很容易了解，假如你是一个网吧的管理员，你做“网管”的第一件事件也是给每一台电脑装上一个杀毒软件。

2006 年前后，腾讯企业 IT 部门投入了重兵在办公环境的平安治理，自研了企业平安防护和工作环境管理工具 iOA。出名平安媒体《浅黑科技》对于晚期 iOA 做过一个贴切的“画像”：

• 你喜爱电脑裸奔没问题，但 iOA 如果监测不到杀毒软件，就不容许你进入工作程序；
• 你记不住给零碎打补丁，iOA 会在补丁进去的第一工夫，强制为你的电脑打上；
• 你遗记敞开电脑的高危端口，iOA 间接帮你敞开；
• 你的电脑感化了木马病毒，iOA 会主动清理；
• ……

总结起来，iOA 就是一个给每一个企业员工终端装备了一个金钟罩铁布衫，爱护办公零碎不受好人攻打。

做了这么多工作，听起来仿佛电脑除了干这些也没法再做别的工作了。然而 腾讯 iOA 的厉害之处在于，在实现这么多任务的状况下，它的性能损耗能压缩在单核 CPU 的 5% 以下。

罗马不是一天建成的，腾讯 iOA 也不是。从 2006 年开始，到挪动办公浪潮起来之前，曾经过来了差不多十年，这十年间，腾讯 iOA 经验了进攻一般的病毒木马、职业黑客、到起初的 APT 攻打几个残缺的技术代际更迭，“无论是反抗广谱病毒木马还是 APT 木马，咱们都有很好的防备能力。”企业 IT 部企业平安核心高级总监蔡晨总结。

前挪动办公时代也有很多精彩的故事，但这不是咱们明天要说的主题。重点是，正是因为在平安能力上的积攒，给了他们起初“突破边界”的底气。

挪动办公时代到来了

近程办公，意味着传统意义上以硬件和局域网络组成的“内网”逻辑不复存在，用户须要在近程设施上通过网关接入内网，要对这样的拜访放行，企业安全部门至多要问一个问题：这个用户可信吗？

VPN 的诞生就是为了解决这个问题。VPN 就像是一条只有“本人人”晓得的小路，员工能够通过这条加密通道拜访企业数据中心、办公网。它的认证形式是口令认证，只有你输出了对的账号密码，它就默认你是本人人。

近程办公不是这两年才呈现的新场景，始终以来，因为员工出差、顽劣天气等起因，很多企业都须要时不时地发展近程办公，而 VPN 在很长时间内都是惟一抉择。

但不难看出，VPN 有显著的缺点：第一，它是“小路”，只能包容比拟小的工作 traffic，例如近程审批、收发邮件、近程登录到内网本地机器实现一些特定工作；第二，VPN 应用的长连贯机制，连贯速度迟缓，抗网络抖动性差，“只有丢包超过 30% 或者延时超过 200 毫秒，肯定会掉线”。

第三，也是最重要的，VPN 只认口令，而口令是能够被窃取、被爆破的。VPN 用户只有通过近程鉴权（甚至都不肯定是双重鉴权），就能够进入内网，接着就能够在内网横行无阻——这意味着，如果用户的终端被病毒感染，或者 VPN 账号被爆破，它就能被黑客用来充当“肉鸡”或者攻打内网的工具。

在挪动互联网倒退起来之前，近程办公少数是一些长期的、突发的需要，不是常态，因而即使 VPN 不好用是家喻户晓，但它仍然有其长期存在的市场根底。但 当挪动办公成为一个高频需要，VPN 就愈发显得顾此失彼。

为了解决安全隐患，蔡晨团队决定多问几个问题：

“端是不是可信？人是不是可信？过程可不可信？每一个数据包，你是不是要校验外面的设施信息人身份信息、过程信息？你拜访的业务零碎是不是要被受权？”

他们起初才晓得，这种什么都要校验、始终校验的想法，国内上有一个业余的名字叫“零信赖”，它的核心思想就是“继续验证，永不信赖”。

当腾讯企业 IT 部的人正在尝试新的“无边界拜访”办法的时候，他们看到了谷歌公布的一篇论文《BeyondCorp：一种新的企业平安计划》，晓得了大洋彼岸的另一端，世界上另一个前沿的科技公司也在用同样的思路解决同样的困扰。

“谷歌 BeyondCorp 的指标是摒弃对企业特权网络（内网）的依赖并创始一种全新平安拜访模式，在这种全新的无特权内网拜访模式下，拜访只依赖于设施和用户身份凭证，而与用户所处的网络地位无关。无论用户是在公司“内网”、家庭网络、酒店还是咖啡店的公共网络，所有对企业资源的拜访都要基于设施状态和用户身份凭证进行认证、受权和加密。”

图源：Google 官网博客

距今一万多年前，西亚新月沃地和中国黄河流域分别独立实现了食粮的驯化；11-12 世纪，中国四川开始应用“交子”作为货币符号，而欧洲圣殿骑士团也创造了汇票——历史总是类似，面对同一类问题，人们最终都会走向雷同的解决思路。

谷歌在论文中没有写具体是如何施行的，但它动摇了腾讯企业 IT 部的信念：这个方向是对的。

2017 年，在通过一段时间的原型验证后，腾讯企业 IT 部正式启动 iOA NGN（Next Gerneration Network）我的项目，用零信赖的思维重构 iOA 产品。他们的指标概括起来是 4 个 A：Anytime、Anywhere、AnyDevice 和 AnyWork，让员工在任何时候、任何中央、任何设施接入内网实现任何内容的工作。

依靠于零信赖理念，腾讯 iOA NGN 把安全性和易用性这对冰与火奇迹般地交融在了一起。它利用所有可用的形式在后盾对用户的设施、ID、拜访过程、权限始终进行校验，但在前端，用户的感触就是“一键登录”。此外，iOA NGN 采纳短链接的形式，对于弱网络、丢包有很高的容忍度，辞别了 VPN 时代的频繁掉线、半天连不上的困扰。

蔡晨 2018 年在腾讯平安国内技术峰会上分享新的企业平安理念

依靠于腾讯云的计算资源部署的就近接入点，员工无论身在网络状况良好的城市 CBD、小运营商遍布的城中村，还是春节回老家在乡下连续不断的网络，无论是出差荷兰还是日常办公地在河南，任何中央都能丝滑地接入内网。很快 iOA NGN 就迎来了第一批用户，并且通过口碑流传自发增长。

“最早一批应用的是运维的用户，他们本人去告知周边的人去应用 iOA 的新版本；还有一些部门管理者去国外出差，用了新版本的 iOA 发现体验很好，就会在本人的治理范畴内去推。”企业 IT 部资深工程师蔡东赟回顾。

除了外部的口碑流传，一些互联网厂商的同行不晓得从哪里打听到腾讯的 iOA，也来访问交换。“RSA（按：国内上最富盛名的平安会议）上也在讲零信赖，翻新沙盒里也有零信赖守业公司，所以很多很关注技术停顿的同行也来跟咱们交换，看看咱们是怎么做的。”

腾讯企业 IT 部人群的次要形成是工程师，他们和同行交换以及起初帮腾讯 CSIG 团队做商用版 iOA 的技术支持，次要的驱动力都是很典型的 Geek 们的想法：他们做了一个好货色，他们心愿和他人分享，心愿他人评估一句“牛 *”。

咱们能承接几万人同时在线办公吗？

你开了一家披萨店，只能同时包容 50 集体吃饭。倒闭那一天，同一条街竞争对手为了障碍你做生意，雇了 100 集体坐在餐厅占满了地位，什么都不点，让潜在的客人没法就餐——在计算机领域，这种对指标网站在较短的工夫内发动大量申请，耗费指标网站的主机资源以至其服务器瘫痪的做法，就是 DDoS（denial of service）攻打。

构想一下，一个企业如果只装备了根底的 VPN，如果有一天遇到突发状况，全员都须要近程办公，对于规模数万或者十数万人的企业来说，这种状况就相当于“人肉 DDoS”。

2020 年 2 月初，新冠来势汹汹。为了避免病毒扩散，很多城市开始采取了限度人员流动的隔离管控措施，停工工夫一再推延，但企业的经营不能中断，于是很多企业转而通过发展居家办公放弃“复工不开业”。

彼时，腾讯作为一个领有泛滥国民级产品的企业，微信、QQ、企业文档、腾讯会议，以及腾讯 CSIG 还服务着泛滥企业客户——在线教育、衰弱码、数字政务、衣食住行的服务平台，在人员不能自在流动的时候——腾讯员工须要投入比平时更多工夫来保护这些数字设施的运行，腾讯会议“40 天更新迭代了 14 个版本”、“8 天扩容 100 万核”就是产生在这期间。

数万名员工须要在近程同时接入内网办公，而且是“全尺寸”办公——不再是临时性的，不再能够把一些简单的工作留到“今天去公司再说”，他们须要在家里实现和在内网截然不同的工作内容。比方说对于开发人员来说，一个代码仓库就有十几、二十 G，开发人员须要下载到本地机器下来做开发运维，如果用 VPN，须要加流量、买 VPN 设施，而疫情期间厂家有没有现货、快递是否通顺、厂家有没有人能部署上架这些设施——在过后的疫情情况下，每一项工作的推动都存在很大的不确定性。

“要害是这也曾经不是带宽的问题，这是一个技术须要变革的问题。”蔡晨说。

得益于 2017 年就开始的 iOA NGN 我的项目，腾讯 iOA 从一万多人应用到反对全员应用，看起来这么盛大的工程前后只用了 4 天工夫，而且被紧急号召到项目组的 IT 部员工很多过后都在老家。“因为全是自研的，自身就是平行扩大架构的，对于疫情来的时候对咱们来说只须要做一个事件，可能调度资源退出了集群外面去就能够。”蔡晨说道。

2 月 10 日，春节后停工的第一日，8 点，零碎上显示近程在线办公的员工数近 3 万；到 11 点半左右，5 万腾讯员工同时在线，所有的工作都在井井有条地发展。

之后大略有一个月的工夫，腾讯的数万员工都是在家里近程工作。这丝毫没有影响运行效率，5 月 13 日，腾讯公布 2020 年第一季度业绩报告，2020 年 Q1 腾讯营收 1080.65 亿元，同比增长 26%，环比增长 2%。

这次考验之后，腾讯 iOA 实现了它的“成人礼”，它从技术和工程实现上验证了一个 大型企业全员全尺寸的近程办公是齐全可行的。

突破边界

2018 年，某地政务部门着手建设全省集中的一体化云平台，预期要在 2021 年 1 月上线。

2020 年初，正是我的项目攻坚期间。政务零碎的安全性要求极高，始终以来都是要求软件开发商驻场开发，几百名来自几十个技术供应商的开发人员被安顿在一个酒店会议层改建的长期办公点，集中进行开发攻坚工作。

疫情忽然暴发，集中开发是不可能了——而这种 90% 的工作内容是开发和运维工作的我的项目，用 VPN 根本无法胜任。这时候，在场的一位腾讯云的工程师给负责人演示了本人电脑上的腾讯 iOA——在近程接入的状况下，它既满足平安，又能提供和驻场一样的开发环境。对于一个开发人员来说，从 VPN 切换到 iOA，体验不啻于解除封印。

过后，腾讯 iOA 曾经有了对外的商用版产品，能够间接疾速部署，这个我的项目很快采纳了零信赖 iOA。第二年 1 月，我的项目一期也如期上线。

腾讯 iOA 有两次“突破边界”的尝试，第一次是产品意义上用零信赖理念重构产品架构，消除了内网和外网的差异，让员工在任何地点都能够自若接入企业内网；第二次突破边界是从腾讯走进来，变成一个企业级服务产品。从 2018 年 10 月腾讯云 + 峰会上，腾讯发表推出内网平安产品，到明天，腾讯 iOA 曾经被很多物流、房产中介、能源、泛互联网等企业客户驳回。2022 年 5 月份，腾讯 iOA 终端部署超过 100 万。

一个簇新的货色被市场接收，过程并不是一帆风顺。“每个厂商和甲方都有本人的了解，有人感觉零信赖就是 IAM，有人感觉零信赖是动静口令，有人说是数据沙盒——甚至有拿上网行为管理系统的技术指标说要投标零信赖产品。”腾讯平安总经理王宇说道。

在推动商业化落地过程中，腾讯 CSIG 做了很多市场教育和遍及的工作，频频参加各种行业峰会和技术沙龙进行“布道”；也和一些对前沿技术接受度比拟高的客户贴身单干，打磨行业利用样板。为了促成共识的造成，腾讯还做了几件重要的事件：

• 2019 年，推动国内上首个零信赖平安技术标准（《服务拜访过程继续爱护指南》）立项，并于 2 年后的 2021 年底正式公布；
• 2020 年 6 月 24 日，腾讯联结零信赖畛域多家权威产学研用机构独特成立国内首个“零信赖产业规范工作组”；
• 2021 年 7 月，腾讯牵头起草，联结公安部第三研究所、国家计算机网络应急技术解决协调核心、中国移动设计院等业内 16 家零信赖厂商、测评机构及用户编制的中国第一部《零信赖零碎技术规范》；
• ……

“（测评标准的公布）是个微小的里程碑，证实这个畛域从客户到厂家各方的数量或者市场需求整个链条曾经正向在流转，才会有须要引入第三方来做评测。”

去年，位于上海的一家企服厂商共启网络做出了一个大胆的决策：投入 20 多个人力学习腾讯 iOA 产品的装置、施行、部署、运维，成为腾讯 iOA 的 CSP（认证服务厂商）。对于一家总人数都不超过 100 人的企业来说，这是很重大的一个投入，决定了公司将来几年的倒退情况。和共启一样，茗格科技、勋绩网络……更多在企业服务畛域摸爬滚打多年的软件和渠道商都抉择成为了腾讯 iOA 的合作方。

梧桐一叶而天下知秋，作为天天和客户近距离打交道的业余企服厂商，他们肯定是从泛滥客户的需要中嗅到了什么新的机会——毕竟，不论是什么行业的企业，谁不须要一个又平安又高效的办公平安零碎呢？