以下是現場速記。
騰訊安全高級架構師 張樂
張樂:大家上午好!我是騰訊安全的張樂,接下來由我給大家介紹我們騰訊的零信任的架構,希望也在大家整個數字化轉型或者信息安全建設當中能夠給大家提供一定的思路。
我講的內容分四方面:
1.端到端安全現狀。
2.以零信任重構“信任”。
3.打造企業縱深防護體系。
4.典型案例。
先來看第一部分。目前大部分的企業,數字化轉型已經是進行中的狀態了,很多用戶通過對各種應用的建設已經實現了一部分的數字化轉型。在這個過程中,隨著各種新的技術的使用,也不斷帶來新的問題。比如整個邊界會變得更加模糊,我們做數字化轉型過程中,我們會不斷的去打通上下游,打通相關的業務系統。這樣的話,整個安全的隱患也是相對之前會有大量的增加。
現在很多用戶,尤其在央國企,很多用戶信息化、信息安全、網絡建設相對比較完善。基本上可以叫得上名字來的安全產品基本都有,這些產品相對割裂,怎么把它完整、有效的運維起來?也是很重要的內容。
隨著疫情的影響,我們任何一個辦公樓,一個辦公區,一個園區隨時都有可能面臨著被居家辦公的要求。在這種情況下,怎么能夠讓我們安全高效的去繼續我們在辦公室里才能享受到的辦公體驗?這個也是變得非常重要。
今年至少有兩個央企單位發生過這種事情,我的大樓因為有這種確診病例或者有密接直接要求居家辦公了。大家回到家之后,怎么能夠讓生產和日常的管理工作不被間斷?也是很多IT人員必須要去考慮的問題。
目前整個安全形勢也是非常不容樂觀的,就像剛才講到的我們目前有很多勒索病毒等攻擊,像剛才美的的事情不再去說了。
對于央國企來說還有一個現狀,我們有大量的分支。這個分支進一步去加劇了我們在整個數字化轉型過程中,整個安全這一塊需要去考慮的問題。因為它會在很多小型的辦公場所也會面臨相同的問題,比如我的辦公網會不會被攻擊,成為會不會成為跳板機?這些問題都需要做相應考慮。
尤其是公安部在組織攻防演練行動,一階段已經完成,大家在跟公安部溝通參演情況,二階段在進行中,這一塊也暴露出大量的問題。辦公網依然是護網攻擊的重災區,大量的釣魚、跳板機等之類的攻擊層出不窮,讓很多央企單位非常痛苦的點。
針對這種情況,很多用戶已經考慮零信任的架構了。可以看整個零信任的發展階段,定位三個階段:
第一.萌芽期。這個階段更多做理論、概念層面的建設。
第二.發展期。這個階段最典型的代表是谷歌,它開始在自己的公司去嘗試落地。CSA在14年和16年期間也組織了多次的攻防演練行動或者叫黑客大賽,它把零信任最重要的內容SDP作為成熟的東西讓黑客攻擊,經過上千萬攻擊之后,沒有任何一個黑客成功的把零信任攻擊下來,它至少在理論層面是非常成熟、安全的架構被大家認可。
騰訊在16年開始嘗試在自己內部落地零信任架構,這一塊最早的時候,我們TG我們工程技術部他們要嘗試去替換傳統的VPN,那時有太多樓棟,這不是靠一家或者某幾個廠商修補的,所以TG的團隊就開始嘗試把VPN進行替換,再往后考慮怎么實現端的管理,結合騰訊已有需求去做結合不斷的壯大。再后來疫情發生了,全公司包括我們的大幾萬的外包的員工也都需要這樣的方式去接入騰訊內部辦公系統、開發系統,實現快速高效的辦公。
騰訊的案例在后邊會詳細介紹,這一塊不過多去說了。
我們也在積極的做零信任標準的推進工作,跟國內單位的合作。回歸騰訊自己零信任的產品,目前我們主要圍繞四個方面去展開:可信身份、可信終端、可信應用、可信鏈路。想建設由之前被動防御變成主動治理的體系。
下面的圖能清晰的展示零信任的架構,我們把整個零信任分成三個部分:用戶端;平臺側(包含零信任的安全管理系統);零信任代理網關;用戶自己的業務系統。為什么說這類架構相對安全?用戶去訪問后臺應用時需要單包敲門的方式拿到臨時通信的端口,網端控制器沒有對外發布,用戶端通過像UDP或者SVN的數據敲門,我覺得它是合法之后,我給它臨時的端口進行身份校驗,零信任網關還需要再來單包敲門,校驗通過之后零信任網關帶領你對后臺應用發起訪問。這樣的話用戶和應用之間始終沒有連接的建立,我再怎么去攻擊始終攻擊的是網關,這一塊就讓整個安全性有了非常大的提高。同時在整個控制器層面,我們也會不斷的去做相關用戶的終端、行為等系列的校驗。
針對大部分的央國企,規模非常龐大,動輒幾萬人、十幾萬人的規模。在身份體系上面,我們零信任產品自身它有一定的身份體系,但是針對大型企業我們更推崇的還是自行去建設相應的統一身份管理體系,當然這一塊騰訊也是有的,只不過它不在一個產品里面。零信任里有三大模塊:SDP、IAM和MSG,三塊都是非常龐大的體系,三個做成一個產品的話,這個產品的規模、體量就會非常大了。所以目前我們的IOA產品它更多還是聚焦在SDP就是軟件定義邊界的層面去做的。
我們也講到它的身份相關能力,身份這一塊首先可以對接企業已有的身份系統,比如IAM,我們也可以對接企業微信平臺,用企微身份去做管理。
用戶有了身份之后我們可以做身份一對一或者一對多的綁定,比如我的身份在這個終端上登錄之后,其他賬號在這上面登錄時哪怕賬號對的也不能讓你登錄。同時實現對端做合規的檢測。
整個運行過程中,我們也會去做一系列端的環境的檢測。最開始的時候,我們的IOA只有一個零信任的接入,取代VPN。但是后來我們發現需要去做終端安全、終端管控等系列的內容。這樣在端上去融入我們所需的東西,比如之前騰訊有一個商用的終端安全軟件叫預點,我們就直接把它融入到IOA產品里面來就行了。包括像終端的管控,通俗講桌管相關功能,我們也把它融入到IOA產品里面來。
最開始產品IOA它是智能辦公助手的意思,它跟零信任沒有任何關系,只是它的整個架構是基于零信任的架構去做的,我們也不斷的去從騰訊自己內部,我們終端類型和需要的場景相對比較多,基本滿足自己之后,目前市場上絕大部分辦公的場景,大部分都能夠去覆蓋。我們做的相對成熟之后,在2019年開始對外去商用、推廣。
除了管控、安全功能之外,我們在用戶整個訪問過程中也會做持續的校驗,比如他的登錄地是否異常,登錄模式是否異常,訪問時間是否異常?我們也會做動態建模,去發現里面違規或者異常的情況。在發生這些情況后,我們會做二次的校驗或者灰度校驗,我們會發動態驗證碼之類的去把異常行為定位出來,尤其在護網當中相對有效。
很多用戶非常習慣的拿零信任跟VPN去做對比,感覺他們解決的問題相對比較類似。但是它會有很本質的區別,零信任用戶和網關之間做的是短連接,VPN是長連接,它需要維持一個隧道。VPN隧道一旦斷了,需要重新拉起來,才能往后走訪問應用。零信任的架構它是隨時都短連接,你有流量過來之后,我去看身份、環境是否正常,如果正常零信任直接帶領你對后臺發起訪問。
在整個兼容性層面,我們做得也非常不錯,騰訊本身自身BS、CS各種相應的架構都會有,這一塊我們都需要去做非常好的支持。
剛才提到好幾遍護網,前幾年整個護網表現來看,在騰訊零信任的網關防護之下的業務系統,到目前為止我們依然還是零失分的情況。包括像之前的順豐包括騰訊自己的系統,因為騰訊也是護網的參演方,我們目前也做到零失分的情況。
當然整個零信任可能不單單是客戶端去搞定的,也有很多應用場景。比如目前跟很多央企積極探討零信任整體架構的落地。現在國資委不允許大家在個人微信上去討論工作,這一塊也是推動了像企業微信或者丁丁、飛書企業級的即時通訊工具在央企單位里快速私有化方面的落地。在這些方面,即時通訊工作臺的應用,我們也有相對成熟的方案去實現匹配、對接,因為時間關系,我們不進行展開。
騰訊也一直在積極的致力于國內整個零信任體系的發展,包括標準的建立。比如成立零信任產業的標準工作組,推出零信任實戰的白皮書,合伙推出《零信任基礎體系規范》,也在推進相應的工作。
第三部分把騰訊安全大致情況跟大家進行簡要匯報。
大家一直在提縱深防御,騰訊也做了大量的工作。因為很多產品因為自身業務的原因,很難用成熟的商用產品。比如典型的像防火墻,騰訊先不考慮公有云,就我們自己C端業務,很多主流產品是很難串到我們網絡里面去,所以也推動了騰訊大量的安全產品只能說是自研、自己開發,我們目前也形成了一整套完整的縱深防御體系的架構。對比明清時期京城防御工事為參照,包括城墻守衛等,這一塊不展開了。
我們看安全整個架構,我們把它分成了七塊內容
零信任體系解決辦公網。它是以應用為對象,以身份為核心的架構,我的應用訪問權限、訪問路徑,在應用之初就需要考慮到,通過零信任體系建設。也有人說整個零信任是先建邊界,然后理通路再去加強運營,這樣的話只是作用,我們感覺從終端去作用的,實際上它真正的作用是起在應用這一側。
在整個安全框架部分,有邊界安全、網絡安全、主機安全的系列產品。簡單展開看一下,剛才講到第一塊內容零信任體系是解決了整個端到應用這一側安全建設。再一塊是騰訊自研的產品,比較典型的我們叫天目產品,很多用戶叫它是護網神器。旁路部署在網絡里邊,需要對哪個安全阻斷時直接寫進去,它檢測到流量過來的時候,我發包過去把它阻斷掉。它的好處是不影響網絡性能,同時可以跟大量安全產品做對接。任何一個廠商的產品,如果需要阻斷IP時,把阻斷指令發過來。在護網時我們動不動收到幾萬個黑IP阻斷,我可以導入,這對原始網絡不造成任何改動和影響。
高級威脅檢測系統NTA,NTA得益于騰訊威脅情報庫,騰訊有大量C端業務給騰訊做大量的樣本、信息庫、地址庫的積累,同樣的產品如果更換一個威脅情報庫,我相信產品的能力會有大幅的衰減,現在威脅情報已經成了衡量安全廠商軟實力最重要的標準了。
主機安全產品,這一塊在資產、惡意代碼、不定、樓棟層面做相關的安全防護。
數據安全保護-數盾。目前數據安全目前重點在公有云一側,私有化交付我們還在思考到底怎么落地,目前公有云上面相對比較成熟,包括整個數據的脫敏、加密,動態的分級分類之類相關的內容都是相對比較完善的。
安全運營中心。我去看我們安全運營中心的時候,覺得我們現在做的相對比較好有幾方面:
1.我去實現目前已有的產品日志的統一接入。典型的案例,當時我們做海爾,海爾信息化產品做得非常完善,但是每個產品只管自己的事兒,怎么把這些東西統一運營起來?這是它至關重要的內容。包括買兩套安全中心,是國內頂尖廠商的安全中心,但是基本上大家只接自己的日志。我們這一塊做的相對比較好的是把它已有21類安全產品日志實現統一接入,同時實現日志統一降噪,10萬條日志降噪完只剩幾百條日志,用戶只需要關注這幾百條就行,而且不會有日志的丟失。同時在整個安全運營體系層面建設,這個就不是產品的能力了,我們根據海爾它自己的實際情況幫它去建了自己的安全運營的制度,同時結合它的實際情況幫它也做了很多定制。最后是我們的安全服務內容,一些咨詢,紅藍對抗方面的內容。
最后一部分是案例。以騰訊為案例,我們騰訊是零信任的第一個用戶,最早開始一個部門自己用,后來因為疫情的爆發,自己的6萬員工快速的使用上了。目前不管在辦公網還是居家還是在酒店時都需要先登錄IOA客戶端之后才能對后臺應用發起訪問。
因為我是軟件化部署的,所以對于整個擴展方面也是非常靈活的。高峰期時,辦公連接高峰達到75萬的連接數,在流量上達到35G的流量。當然在虛機支撐這一塊,也是快速的擴容到140臺虛擬機的規模。
我們再結合IT也做了一系列的管控,比如我們是不允許使用向日葵的,如果任何一個人的電腦上只要安裝向日葵的軟件,只要聯網,我們會立刻報警、發郵件或者企微彈信息之類的內容。這一塊也是企業可以根據自身的實際情況去制定自己的規則。
最后是我們其他行業的案例,這一塊不去展開了。可以看到各行各業都相對比較多,但我們工業企業像馬鋼、富士康都是相對典型的案例。
我的演講就到這里,謝謝大家!
京公網安備 11010502049343號