導(dǎo)語：2019年5月21日，騰訊全球數(shù)字生態(tài)大會在春城昆明盛大開幕。大會中TEG作為騰訊的內(nèi)部技術(shù)支撐平臺，在展區(qū)展出30余個(gè)技術(shù)應(yīng)用。共分為資源層，資源管理層，應(yīng)用支撐層，大數(shù)據(jù)平臺，安全管理體系，以及豐富的技術(shù)應(yīng)用。其中，騰訊iOA零信任安全（Tencent iOA Zero Trust）作為安全管理體系，是騰訊自身十多年的內(nèi)網(wǎng)安全管理實(shí)踐與業(yè)內(nèi)前沿的“零信任”安全理念結(jié)合推出的新一代網(wǎng)絡(luò)邊界訪問管控解決方案，以身份安全 、終端安全和鏈路安全三大核心能力，為企業(yè)移動辦公和應(yīng)用上云打造統(tǒng)一、安全和高效的無邊界網(wǎng)絡(luò)訪問入口，構(gòu)建全方位、一站式的零信任安全體系，加速企業(yè)網(wǎng)絡(luò)安全管理升級，為政企用戶在互聯(lián)網(wǎng)產(chǎn)業(yè)化進(jìn)程中保駕護(hù)航。騰訊企業(yè)IT部安全運(yùn)營中心的李健在大會進(jìn)行主題分享——騰訊iOA零信任安全：IT變革下的新一代企業(yè)網(wǎng)，這次分享吸引了大量政府領(lǐng)導(dǎo)，企業(yè)架構(gòu)師，學(xué)術(shù)專家。他們一同來到展區(qū)進(jìn)行深入探討互動。下文是當(dāng)天演講內(nèi)容，歡迎大家留言互動。

在開始正題之前，先讓大家猜兩個(gè)數(shù)字：一是來自Cybersecurity Ventures的調(diào)研預(yù)測：2019年，每多少秒就會有一家企業(yè)受到勒索病毒攻擊？二是來自Forrester的統(tǒng)計(jì)：2018年，又有百分之多少的安全事件都與特權(quán)賬戶竊取有關(guān)呢？

場下的回答是“30秒”和“85%”，看來大家對此都有共識，實(shí)際情況就是：14秒和80%。這兩個(gè)數(shù)字已經(jīng)表明了我們當(dāng)前的安全態(tài)勢是如此急迫，企業(yè)無時(shí)無刻不在面臨密集的攻擊，無論是否有感知，都已身在其中，而在所有的安全事件中，身份安全成為一個(gè)焦點(diǎn)。

來看一個(gè)具體的案例：2009年底，Google的一名員工在即時(shí)通訊上收到來自“信任”的人發(fā)來的一條網(wǎng)絡(luò)鏈接，當(dāng)他點(diǎn)擊之后進(jìn)入的卻是惡意網(wǎng)站，網(wǎng)站上含有shellcode的JavaScript程序碼造成了IE瀏覽器溢出，進(jìn)而遠(yuǎn)程下載遠(yuǎn)控木馬致使這名員工的電腦成功被黑客遠(yuǎn)控。此時(shí)，他用戶的身份、設(shè)備和發(fā)起的進(jìn)程都已不再是可信任的，但在傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)下，還是被被予以放行，造成的結(jié)果就是：搜索引擎巨人的網(wǎng)絡(luò)被長達(dá)數(shù)月的入侵滲透，大量系統(tǒng)敏感數(shù)據(jù)被竊取。這就是一次著名的APT攻擊——極光行動。

雙重挑戰(zhàn)

這個(gè)故事告訴我們：風(fēng)險(xiǎn)已不只來自于企業(yè)外部，甚至更多是來自于內(nèi)部。而傳統(tǒng)的基于網(wǎng)絡(luò)位置的信任體系，所有策略都是針對邊界之外的威脅，在網(wǎng)絡(luò)內(nèi)部沒有安全控制點(diǎn)，導(dǎo)致邊界一旦被攻破之后，既無法應(yīng)對攻擊者在企業(yè)內(nèi)部的橫移，也無法有效控制“合法用戶”造成的內(nèi)部威脅。

與此同時(shí)，近年來APT攻擊、勒索病毒、竊密事件、漏洞攻擊層出不窮，日趨泛濫，云化和虛擬化的發(fā)展，移動辦公、遠(yuǎn)程訪問、云服務(wù)形式又突破了企業(yè)的物理網(wǎng)絡(luò)邊界，用戶、設(shè)備、業(yè)務(wù)和平臺的多樣化，更使安全戰(zhàn)場不斷擴(kuò)大，信任區(qū)域日趨復(fù)雜。這帶來的影響是：一方面，網(wǎng)絡(luò)管理難度加大、效率降低，另一方面，基于“信任區(qū)域”模型的天然缺陷，一旦被滲透就無法有效隔離和保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)；軍工級攻擊工具的平民化，又讓風(fēng)險(xiǎn)不斷加劇。企業(yè)同時(shí)面臨著安全與效率的雙重挑戰(zhàn)，邊界消失已經(jīng)成為必然。

當(dāng)我們已經(jīng)走入了無邊界的時(shí)代，當(dāng)企業(yè)不再信任內(nèi)部或外部的任何人、事、物，該如何來重構(gòu)一個(gè)零信任安全的網(wǎng)絡(luò)呢？

產(chǎn)品方案

在如此的變革訴求下，騰訊把自身十多年來的網(wǎng)絡(luò)安全管理實(shí)踐與“零信任安全”理念結(jié)合，形成了”iOA零信任安全“的解決方案。

騰訊iOA Zero Trust是一種新型的網(wǎng)絡(luò)訪問管控系統(tǒng)，它基于用戶權(quán)限為中心進(jìn)行訪問控制，引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，它不再依賴網(wǎng)絡(luò)位置判斷是否允許訪問，而是持續(xù)性評估設(shè)備、系統(tǒng)、用戶、訪問流的安全性和風(fēng)險(xiǎn)狀態(tài)，以達(dá)到細(xì)粒度、動態(tài)的安全訪問控制。

首先，不論是來自職場內(nèi)外的訪問要求，只要想介入企業(yè)系統(tǒng)，訪問企業(yè)資源，都需要進(jìn)入iOA的零信任安全平臺評估，從身份安全認(rèn)證、到終端安全，再到鏈路安全進(jìn)行全程的檢測與動態(tài)控制，持續(xù)判斷終端和用戶的安全狀態(tài)，為動態(tài)訪問控制決策提供依據(jù)，確保訪問是來自可信的用戶、可信的設(shè)備和可信的進(jìn)程，通過權(quán)限系統(tǒng)，分配至智能網(wǎng)關(guān)訪問相匹配的企業(yè)資源。?

這種新型的訪問模式，有我們?nèi)娴陌踩芰ψ鳛楸Ｕ?#xff1a;

首先，身份安全作為“零信任”架構(gòu)的第一關(guān)，有多種認(rèn)證方式來確保訪問是來自可信用戶：如企業(yè)微信掃碼、token雙因子認(rèn)證、本地身份、域身份以及自定義賬號體系等適配不同企業(yè)組織架構(gòu)；而在用戶體驗(yàn)上，全應(yīng)用系統(tǒng)單點(diǎn)登錄（SSO）讓使用更加便捷。

在終端安全上，集成了病毒查殺、合規(guī)保護(hù)、安全加固、數(shù)據(jù)防泄露DLP、補(bǔ)丁分發(fā)等全方位的終端管控功能模塊。其中，殺毒模塊中采用了新一代的AI動態(tài)殺毒引擎， 海量樣本可實(shí)時(shí)發(fā)現(xiàn)最威脅；EDR入侵檢測基于騰訊多年來成熟的終端檢測與響應(yīng)技術(shù)，預(yù)設(shè)有300多種檢測規(guī)則，可秒即發(fā)現(xiàn)入侵隱患，并通過云端聯(lián)動最新威脅情報(bào)，實(shí)時(shí)推送檢測規(guī)則與專家策略，為用戶及時(shí)應(yīng)對熱點(diǎn)安全事件提供決策支持。

在鏈路安全上，獨(dú)有的訪問鏈路加密/解密網(wǎng)關(guān)，可針對終端指定WEB或應(yīng)用程序流量層層加密，對不穩(wěn)定網(wǎng)絡(luò)做網(wǎng)絡(luò)傳輸協(xié)議優(yōu)化；同時(shí)支持訪問控制管理、單鏈接請求授權(quán)，及時(shí)阻斷違規(guī)訪問與網(wǎng)絡(luò)風(fēng)險(xiǎn)。

以上的動態(tài)訪問控制模塊，以身份安全、終端安全、鏈路安全上的三大核心能力，組成了一個(gè)完整的零信任安全解決方案的閉環(huán)。

根據(jù)不同用戶的特點(diǎn)，我們支持公有云、私有云和本地應(yīng)用的多種部署方式。

應(yīng)用場景

在應(yīng)用場景上， 不管是遠(yuǎn)程辦公、審批還是遠(yuǎn)程開發(fā)、運(yùn)維、非辦公場地登錄服務(wù)器等，都可以第一時(shí)間便捷安全地訪問企業(yè)資源，實(shí)現(xiàn)真正無邊界化辦公。

最佳實(shí)踐

如之前所說，iOA 零信任安全解決方案是來自于騰訊自身的安全管理實(shí)踐。

以騰訊公司的規(guī)模，現(xiàn)在每天終端設(shè)備接入的數(shù)量是12W+，其中Windows是6W多，MacOS是8K多；在這些終端之上，每天有6W+的未知進(jìn)程在跑，且由于辦公場景需求無法用白名單規(guī)則來禁止使用；同時(shí)公司跨區(qū)域多地辦公、不同的業(yè)務(wù)組織又存在特殊的安全需求，更不可用一刀切的方法來解決問題。以上情況都很符合之前所講的安全與效率的挑戰(zhàn)。

而當(dāng)騰訊順應(yīng)變革用iOA 率先實(shí)施落地了零信任安全架構(gòu)后，又發(fā)生了哪些變化呢？

首先，一張企業(yè)網(wǎng)，打破了邊界藩籬，簡化了網(wǎng)絡(luò)界面，用戶隨時(shí)隨地可以訪問企業(yè)核心資源，網(wǎng)絡(luò)扁平化使公司內(nèi)外一致，海內(nèi)外訪問大幅度優(yōu)化提升；不用VPN，更勝VPN，在網(wǎng)絡(luò)速度、穩(wěn)定性和信道安全上勝過頂尖VPN，用戶體驗(yàn)升級。

同時(shí)，不再受困于復(fù)雜的信任區(qū)域，管理顆粒度從區(qū)域下沉到設(shè)備甚至是進(jìn)程級，檢測能力達(dá)到傳統(tǒng)系統(tǒng)安全無法檢測到的100+活躍黑客組織的數(shù)十種主流高級木馬；終端與云端實(shí)時(shí)聯(lián)動，終端深度監(jiān)控，分析云端完成，云管云控的模式保證了生產(chǎn)效力和決策精準(zhǔn)。如此一來，既提高了管理效率，改善了用戶體驗(yàn)，又能有效抵御APT滲透，效率和安全均得到了提升，讓騰訊成為國內(nèi)第一家將“零信任”安全完整落地的標(biāo)桿，真正把網(wǎng)絡(luò)管理做到了化繁為簡，化整為“零”。

以上就是今天的分享， 希望能與更多的用戶和伙伴來共同探討和推動新一代企業(yè)網(wǎng)的演進(jìn)與發(fā)展。也歡迎大家關(guān)注我們的官網(wǎng)和公眾號，了解更多產(chǎn)品信息。

騰訊iOA零信任安全，讓網(wǎng)絡(luò)更可信任，真正的無邊界辦公，助力企業(yè)安全管理升級。

總結(jié)

以上是生活随笔為你收集整理的腾讯iOA零信任安全——IT变革下的新一代企业网的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。