腾讯安全孙方霆:从理念到大型实践,零信任的“落地密码”
在 1 月 23 日举办的 TGO 鲲鹏会杭州年度家宴上,腾讯安全高级战略产品总监孙方霆表示,零信任代表了新一代的网络安全防护理念,基于零信任原则的安全防御才能在复杂形势当中建立起牢固的安全防线。
据孙方霆介绍,零信任安全是以“持续认证、永不信任”为核心思想,同时整合了身份设备、设备安全、应用安全和链路安全等要素,确保业务系统访问的安全性的解决方案。作为腾讯办公职场建设的基础,腾讯 IT 自主设计和研发,结合自身多年的网络安全管理实践经验,形成了腾讯 iOA 零信任安全管理系统。在去年年初疫情防控期间,腾讯 iOA 整合了 IT 服务和终端安全,成功为 6 万员工和 10 万台终端的跨境、跨城远程办公场景提供了安全保障。
基于腾讯最佳实践,腾讯 iOA 零信任安全方案的商业化重点围绕可信身份、可信终端、可信应用、可信链路四大要素打造企业下一代安全体系,目前已经在一些大型企业客户里有了落地应用。
以下为孙方霆演讲全文:
最近两年,零信任安全的概念在信息安全领域热度越来越高。腾讯安全作为国内领先的信息安全领导企业,在 2016 年就开始在集团内部署零信任安全解决方案,积累了大量的成功经验。
本文探讨的话题包括三个方面:一是零信任安全的发展和概念,主要想聊聊为什么要采用零信任安全,零信任安全带来的价值是什么?二是腾讯在零信任安全方面的实践,腾讯从 2016 年开始自研和实施零信任战略,在零信任解决方案上积累了大量的经验。三是腾讯 iOA 零信任安全方案商业化,目前该方案已经在一些大型行业客户那里进行了成功的部署。
零信任安全之所以热度越来越高,有三个关键的背景因素:
首先,多样化的办公环境,导致企业安全边界变得越来越模糊。 传统的信息化发展,用户自己建设数据中心,采用塔防式进行安全防御,基本可以保障安全性。而现在,随着企业业务的发展,很多业务部署形态已经发生了非常大的变化,用户关键的业务数据可能分布在私有云、公有云或传统数据中心内。各种部署形态导致数据无法进行集中管理,在这种情况下,数据安全管理面临着大的挑战。从终端的使用场景来看,变化也非常大,尤其是 2020 年疫情期间,远程办公成为主流办公方式,但是在远程接入时,如何确定接入用户的身份以及终端和环境的安全,也成为企业面临的挑战。
其次,虚拟货币的兴起,促使黑产更加猖獗。 从 2015 年开始,加密勒索攻击越来越频繁。主要的原因是比特币的发展和流行。
从 2017 年开始,加密勒索呈大规模爆发趋势,其中是极具标志性的 WannaCry 勒索病毒。此后,越来越多的黑客团伙投入到加密勒索攻击中。2020 年 12 月,富士康在巴西的工厂被黑客攻击勒索 3400 万美金;国内芯片行业的研华科技遭黑客勒索 750 个比特币。不法黑客有了更快的变现途径,并且难以追踪,所以他们在这方面更加肆无忌惮。
第三,企业内部的设备越来越多,IoT、BYOD 等各种各样的智能化接入设备无法有效管理。 随着物联网的蓬勃发展,越来越多的物联网设备接入网络。这些接入的物联网设备操作系统存在大量安全漏洞,并且疏于管理,给企业的安全运维带来巨大的风险。2017 年,美国某赌场被入侵,不法黑客通过水缸里面智能温控系统作为途径,入侵美国某知名赌场。黑客利用物联网设备构建巨型僵尸网络,发动大规模的 DDoS 攻击。
总体来说,我们面临的安全挑战有如下几个:
第一,企业数字化转型推动了新技术的应用需求,这些新技术的使用对传统的网络安全技术和管理方式提出了新的挑战。
第二,数字化转型过程中,企业的业务架构和网络环境发生了很大变化。
第三,安全管理产品和技术的割裂,导致运维管理成本不断提高。
第四,业务上云缺乏管控,为企业安全带来新的风险和挑战。
那么,零信任到底是什么?
传统的安全防御,我们会假定接到内网的用户都是安全的,这种情况下只要做好边界的防护和准入,那你进来了以后就是可信的。而零信任安全则是默认不相信任何流量,在所有的访问之前要对用户身份进行认证,并根据终端的使用环境来动态授权。
从大多数的安全事件来看,黑客通常从我们认为安全的内网客户端进行渗透,然后进行横向平移,逐步控制内部网络中的关键节点,最终达到攻击目的。
所以,零信任是一种截然不同的安全理念。 它假定网络里所有的接入设备可能已经被入侵,是默认不可信的。当用户通过终端访问我们的重要业务系统和数据时,需要对访问用户的身份进行认证和授权,同时评估终端的安全性以及所在环境的安全性,通过层层防护,确保从人到设备、从应用到链路都是安全合规的,这样才能允许访问请求到达后端应用。同时,对用户的访问行为进行持续地分析,及时发现异常行为并进行阻断。
简单理解,零信任安全是整合了身份设备、设备安全、应用安全和链路安全等要素,通过实时的行为和环境评估,确保业务系统访问的安全性。 整个零信任的核心思想是“持续认证,永不信任”。
从 Gartner 零信任网络市场指南的报告来看,主流的零信任解决方案有两个模式:
基于服务的零信任网络访问和基于终端的零信任网络访问。
基于服务的零信任网络访问不需要在终端上安装客户端,通过 Web 方式实现对后端的业务访问,在访问的过程中对用户的身份进行认证和授权。这也是谷歌的 BeyondCorp 的主要实现方式。
基于终端的零信任网络访问需要在终端上安装客户端,它支持更加丰富的应用模式,包括 B/S 和 C/S 架构的应用。这也是腾讯采用的部署模式。这种方式不仅支持更加丰富的应用,而且对终端的安全状态能够实现更加精准的评估和监控。
腾讯在 2016 年开发和部署 iOA 零信任安全系统,并逐渐将所有系统,包括 OA、知识分享、远程运维、开发等系统切换到零信任访问模式。2020 年疫情期间,由于所有员工都无法返回工作场所需要远程办公,我们在一周实现扩容,支撑了整个公司的日常办公、运维运营和开发工作需要。
腾讯 iOA 零信任安全方案的商业化,主要围绕着以下四个要素:
第一,身份可信。除了用户名口令,通过多因素认证来对用户身份进行强认证,同时,动态分析用户的登录环境,当用户登录状态、地点和设备等风险等级较低时,会简化用户登录方式,实现一键登录。
第二,终端可信。通过病毒防护,系统漏洞检测和加固、终端准入、合规检测等措施,确保终端安全可信。
第三,应用可信。在访问某些关键敏感应用的时候,限制用户使用合规应用进行访问,有效拦截黑客通过隐藏通道或应用进行的攻击行为。
第四,链路可信。通过腾讯自研的 NGN 技术,在确保链路加密和安全的同时,改善用户的访问体验。同时,避免传统 VPN 的隧道技术在网络切换或网络通讯质量较差时的隧道频繁重建问题。
另外,为了支持更多的接入场景,我们不仅提供基于终端的零信任访问模式,也支持基于服务的零信任访问模式。
目前,零信任安全的典型的应用场景有如下几个:
第一个场景是远程办公、无边界办公。它是为了解决疫情期间,客户需要通过在公司以外的地点进行办公,远程访问企业内部应用的问题。无边界的意思即无差别,大家在公司内和公司外,在访问应用的时候,安全强度是一样的。
第二个场景是远程运维。 在零信任安全场景中,用户需要先进行身份认证,再进行远程运维操作。通过对运维操作的事前授权、事中控制、事后审计,有效解决远程运维对企业 IT 管理带来的安全风险和挑战。
第三个场景是对多云的支持。不管业务在云上还是自己的数据中心里面,都可以做到全面的支持。同时,与腾讯云上其他的安全和应用优化加速方案整合,实现对零信任访问的安全防护增强,并解决海外分支站点访问的优化和加速。
腾讯云的零信任安全解决方案最大的特点就是源自腾讯的内部实践。这是与国内其他产品和方案的最大差别。同时,腾讯零信任安全解决方案不断整合和加速自身的安全优势与能力,并与业界建立完整的零信任生态,共同推动零信任安全在中国的落地和发展。