導(dǎo)語(yǔ)：2019年5月21日，騰訊全球數(shù)字生態(tài)大會(huì)在春城昆明盛大開(kāi)幕。大會(huì)中TEG作為騰訊的內(nèi)部技術(shù)支撐平臺(tái)，在展區(qū)展出30余個(gè)技術(shù)應(yīng)用。共分為資源層，資源管理層，應(yīng)用支撐層，大數(shù)據(jù)平臺(tái)，安全管理體系，以及豐富的技術(shù)應(yīng)用。其中，騰訊iOA零信任安全（Tencent iOA Zero Trust）作為安全管理體系，是騰訊自身十多年的內(nèi)網(wǎng)安全管理實(shí)踐與業(yè)內(nèi)前沿的“零信任”安全理念結(jié)合推出的新一代網(wǎng)絡(luò)邊界訪(fǎng)問(wèn)管控解決方案，以身份安全 、終端安全和鏈路安全三大核心能力，為企業(yè)移動(dòng)辦公和應(yīng)用上云打造統(tǒng)一、安全和高效的無(wú)邊界網(wǎng)絡(luò)訪(fǎng)問(wèn)入口，構(gòu)建全方位、一站式的零信任安全體系，加速企業(yè)網(wǎng)絡(luò)安全管理升級(jí)，為政企用戶(hù)在互聯(lián)網(wǎng)產(chǎn)業(yè)化進(jìn)程中保駕護(hù)航。騰訊企業(yè)IT部安全運(yùn)營(yíng)中心的李健在大會(huì)進(jìn)行主題分享——騰訊iOA零信任安全：IT變革下的新一代企業(yè)網(wǎng)，這次分享吸引了大量政府領(lǐng)導(dǎo)，企業(yè)架構(gòu)師，學(xué)術(shù)專(zhuān)家。他們一同來(lái)到展區(qū)進(jìn)行深入探討互動(dòng)。下文是當(dāng)天演講內(nèi)容，歡迎大家留言互動(dòng)。

在開(kāi)始正題之前，先讓大家猜兩個(gè)數(shù)字：一是來(lái)自Cybersecurity Ventures的調(diào)研預(yù)測(cè)：2019年，每多少秒就會(huì)有一家企業(yè)受到勒索病毒攻擊？二是來(lái)自Forrester的統(tǒng)計(jì)：2018年，又有百分之多少的安全事件都與特權(quán)賬戶(hù)竊取有關(guān)呢？

場(chǎng)下的回答是“30秒”和“85%”，看來(lái)大家對(duì)此都有共識(shí)，實(shí)際情況就是：14秒和80%。這兩個(gè)數(shù)字已經(jīng)表明了我們當(dāng)前的安全態(tài)勢(shì)是如此急迫，企業(yè)無(wú)時(shí)無(wú)刻不在面臨密集的攻擊，無(wú)論是否有感知，都已身在其中，而在所有的安全事件中，身份安全成為一個(gè)焦點(diǎn)。

來(lái)看一個(gè)具體的案例：2009年底，Google的一名員工在即時(shí)通訊上收到來(lái)自“信任”的人發(fā)來(lái)的一條網(wǎng)絡(luò)鏈接，當(dāng)他點(diǎn)擊之后進(jìn)入的卻是惡意網(wǎng)站，網(wǎng)站上含有shellcode的JavaScript程序碼造成了IE瀏覽器溢出，進(jìn)而遠(yuǎn)程下載遠(yuǎn)控木馬致使這名員工的電腦成功被黑客遠(yuǎn)控。此時(shí)，他用戶(hù)的身份、設(shè)備和發(fā)起的進(jìn)程都已不再是可信任的，但在傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)下，還是被被予以放行，造成的結(jié)果就是：搜索引擎巨人的網(wǎng)絡(luò)被長(zhǎng)達(dá)數(shù)月的入侵滲透，大量系統(tǒng)敏感數(shù)據(jù)被竊取。這就是一次著名的APT攻擊——極光行動(dòng)。

雙重挑戰(zhàn)

這個(gè)故事告訴我們：風(fēng)險(xiǎn)已不只來(lái)自于企業(yè)外部，甚至更多是來(lái)自于內(nèi)部。而傳統(tǒng)的基于網(wǎng)絡(luò)位置的信任體系，所有策略都是針對(duì)邊界之外的威脅，在網(wǎng)絡(luò)內(nèi)部沒(méi)有安全控制點(diǎn)，導(dǎo)致邊界一旦被攻破之后，既無(wú)法應(yīng)對(duì)攻擊者在企業(yè)內(nèi)部的橫移，也無(wú)法有效控制“合法用戶(hù)”造成的內(nèi)部威脅。

與此同時(shí)，近年來(lái)APT攻擊、勒索病毒、竊密事件、漏洞攻擊層出不窮，日趨泛濫，云化和虛擬化的發(fā)展，移動(dòng)辦公、遠(yuǎn)程訪(fǎng)問(wèn)、云服務(wù)形式又突破了企業(yè)的物理網(wǎng)絡(luò)邊界，用戶(hù)、設(shè)備、業(yè)務(wù)和平臺(tái)的多樣化，更使安全戰(zhàn)場(chǎng)不斷擴(kuò)大，信任區(qū)域日趨復(fù)雜。這帶來(lái)的影響是：一方面，網(wǎng)絡(luò)管理難度加大、效率降低，另一方面，基于“信任區(qū)域”模型的天然缺陷，一旦被滲透就無(wú)法有效隔離和保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)；軍工級(jí)攻擊工具的平民化，又讓風(fēng)險(xiǎn)不斷加劇。企業(yè)同時(shí)面臨著安全與效率的雙重挑戰(zhàn)，邊界消失已經(jīng)成為必然。

當(dāng)我們已經(jīng)走入了無(wú)邊界的時(shí)代，當(dāng)企業(yè)不再信任內(nèi)部或外部的任何人、事、物，該如何來(lái)重構(gòu)一個(gè)零信任安全的網(wǎng)絡(luò)呢？

產(chǎn)品方案

在如此的變革訴求下，騰訊把自身十多年來(lái)的網(wǎng)絡(luò)安全管理實(shí)踐與“零信任安全”理念結(jié)合，形成了”iOA零信任安全“的解決方案。

騰訊iOA Zero Trust是一種新型的網(wǎng)絡(luò)訪(fǎng)問(wèn)管控系統(tǒng)，它基于用戶(hù)權(quán)限為中心進(jìn)行訪(fǎng)問(wèn)控制，引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，它不再依賴(lài)網(wǎng)絡(luò)位置判斷是否允許訪(fǎng)問(wèn)，而是持續(xù)性評(píng)估設(shè)備、系統(tǒng)、用戶(hù)、訪(fǎng)問(wèn)流的安全性和風(fēng)險(xiǎn)狀態(tài)，以達(dá)到細(xì)粒度、動(dòng)態(tài)的安全訪(fǎng)問(wèn)控制。

首先，不論是來(lái)自職場(chǎng)內(nèi)外的訪(fǎng)問(wèn)要求，只要想介入企業(yè)系統(tǒng)，訪(fǎng)問(wèn)企業(yè)資源，都需要進(jìn)入iOA的零信任安全平臺(tái)評(píng)估，從身份安全認(rèn)證、到終端安全，再到鏈路安全進(jìn)行全程的檢測(cè)與動(dòng)態(tài)控制，持續(xù)判斷終端和用戶(hù)的安全狀態(tài)，為動(dòng)態(tài)訪(fǎng)問(wèn)控制決策提供依據(jù)，確保訪(fǎng)問(wèn)是來(lái)自可信的用戶(hù)、可信的設(shè)備和可信的進(jìn)程，通過(guò)權(quán)限系統(tǒng)，分配至智能網(wǎng)關(guān)訪(fǎng)問(wèn)相匹配的企業(yè)資源。?

這種新型的訪(fǎng)問(wèn)模式，有我們?nèi)娴陌踩芰ψ鳛楸Ｕ?#xff1a;

首先，身份安全作為“零信任”架構(gòu)的第一關(guān)，有多種認(rèn)證方式來(lái)確保訪(fǎng)問(wèn)是來(lái)自可信用戶(hù)：如企業(yè)微信掃碼、token雙因子認(rèn)證、本地身份、域身份以及自定義賬號(hào)體系等適配不同企業(yè)組織架構(gòu)；而在用戶(hù)體驗(yàn)上，全應(yīng)用系統(tǒng)單點(diǎn)登錄（SSO）讓使用更加便捷。

在終端安全上，集成了病毒查殺、合規(guī)保護(hù)、安全加固、數(shù)據(jù)防泄露DLP、補(bǔ)丁分發(fā)等全方位的終端管控功能模塊。其中，殺毒模塊中采用了新一代的AI動(dòng)態(tài)殺毒引擎， 海量樣本可實(shí)時(shí)發(fā)現(xiàn)最威脅；EDR入侵檢測(cè)基于騰訊多年來(lái)成熟的終端檢測(cè)與響應(yīng)技術(shù)，預(yù)設(shè)有300多種檢測(cè)規(guī)則，可秒即發(fā)現(xiàn)入侵隱患，并通過(guò)云端聯(lián)動(dòng)最新威脅情報(bào)，實(shí)時(shí)推送檢測(cè)規(guī)則與專(zhuān)家策略，為用戶(hù)及時(shí)應(yīng)對(duì)熱點(diǎn)安全事件提供決策支持。

在鏈路安全上，獨(dú)有的訪(fǎng)問(wèn)鏈路加密/解密網(wǎng)關(guān)，可針對(duì)終端指定WEB或應(yīng)用程序流量層層加密，對(duì)不穩(wěn)定網(wǎng)絡(luò)做網(wǎng)絡(luò)傳輸協(xié)議優(yōu)化；同時(shí)支持訪(fǎng)問(wèn)控制管理、單鏈接請(qǐng)求授權(quán)，及時(shí)阻斷違規(guī)訪(fǎng)問(wèn)與網(wǎng)絡(luò)風(fēng)險(xiǎn)。

以上的動(dòng)態(tài)訪(fǎng)問(wèn)控制模塊，以身份安全、終端安全、鏈路安全上的三大核心能力，組成了一個(gè)完整的零信任安全解決方案的閉環(huán)。

根據(jù)不同用戶(hù)的特點(diǎn)，我們支持公有云、私有云和本地應(yīng)用的多種部署方式。

應(yīng)用場(chǎng)景

在應(yīng)用場(chǎng)景上， 不管是遠(yuǎn)程辦公、審批還是遠(yuǎn)程開(kāi)發(fā)、運(yùn)維、非辦公場(chǎng)地登錄服務(wù)器等，都可以第一時(shí)間便捷安全地訪(fǎng)問(wèn)企業(yè)資源，實(shí)現(xiàn)真正無(wú)邊界化辦公。

最佳實(shí)踐

如之前所說(shuō)，iOA 零信任安全解決方案是來(lái)自于騰訊自身的安全管理實(shí)踐。

以騰訊公司的規(guī)模，現(xiàn)在每天終端設(shè)備接入的數(shù)量是12W+，其中Windows是6W多，MacOS是8K多；在這些終端之上，每天有6W+的未知進(jìn)程在跑，且由于辦公場(chǎng)景需求無(wú)法用白名單規(guī)則來(lái)禁止使用；同時(shí)公司跨區(qū)域多地辦公、不同的業(yè)務(wù)組織又存在特殊的安全需求，更不可用一刀切的方法來(lái)解決問(wèn)題。以上情況都很符合之前所講的安全與效率的挑戰(zhàn)。

而當(dāng)騰訊順應(yīng)變革用iOA 率先實(shí)施落地了零信任安全架構(gòu)后，又發(fā)生了哪些變化呢？

首先，一張企業(yè)網(wǎng)，打破了邊界藩籬，簡(jiǎn)化了網(wǎng)絡(luò)界面，用戶(hù)隨時(shí)隨地可以訪(fǎng)問(wèn)企業(yè)核心資源，網(wǎng)絡(luò)扁平化使公司內(nèi)外一致，海內(nèi)外訪(fǎng)問(wèn)大幅度優(yōu)化提升；不用VPN，更勝VPN，在網(wǎng)絡(luò)速度、穩(wěn)定性和信道安全上勝過(guò)頂尖VPN，用戶(hù)體驗(yàn)升級(jí)。

同時(shí)，不再受困于復(fù)雜的信任區(qū)域，管理顆粒度從區(qū)域下沉到設(shè)備甚至是進(jìn)程級(jí)，檢測(cè)能力達(dá)到傳統(tǒng)系統(tǒng)安全無(wú)法檢測(cè)到的100+活躍黑客組織的數(shù)十種主流高級(jí)木馬；終端與云端實(shí)時(shí)聯(lián)動(dòng)，終端深度監(jiān)控，分析云端完成，云管云控的模式保證了生產(chǎn)效力和決策精準(zhǔn)。如此一來(lái)，既提高了管理效率，改善了用戶(hù)體驗(yàn)，又能有效抵御APT滲透，效率和安全均得到了提升，讓騰訊成為國(guó)內(nèi)第一家將“零信任”安全完整落地的標(biāo)桿，真正把網(wǎng)絡(luò)管理做到了化繁為簡(jiǎn)，化整為“零”。

以上就是今天的分享， 希望能與更多的用戶(hù)和伙伴來(lái)共同探討和推動(dòng)新一代企業(yè)網(wǎng)的演進(jìn)與發(fā)展。也歡迎大家關(guān)注我們的官網(wǎng)和公眾號(hào)，了解更多產(chǎn)品信息。

騰訊iOA零信任安全，讓網(wǎng)絡(luò)更可信任，真正的無(wú)邊界辦公，助力企業(yè)安全管理升級(jí)。

總結(jié)

以上是生活随笔為你收集整理的腾讯iOA零信任安全——IT变革下的新一代企业网的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。