以下是现场速记。
腾讯安全高级架构师 张乐
张乐:大家上午好!我是腾讯安全的张乐,接下来由我给大家介绍我们腾讯的零信任的架构,希望也在大家整个数字化转型或者信息安全建设当中能够给大家提供一定的思路。
我讲的内容分四方面:
1.端到端安全现状。
2.以零信任重构“信任”。
3.打造企业纵深防护体系。
4.典型案例。
先来看第一部分。目前大部分的企业,数字化转型已经是进行中的状态了,很多用户通过对各种应用的建设已经实现了一部分的数字化转型。在这个过程中,随着各种新的技术的使用,也不断带来新的问题。比如整个边界会变得更加模糊,我们做数字化转型过程中,我们会不断的去打通上下游,打通相关的业务系统。这样的话,整个安全的隐患也是相对之前会有大量的增加。
现在很多用户,尤其在央国企,很多用户信息化、信息安全、网络建设相对比较完善。基本上可以叫得上名字来的安全产品基本都有,这些产品相对割裂,怎么把它完整、有效的运维起来?也是很重要的内容。
随着疫情的影响,我们任何一个办公楼,一个办公区,一个园区随时都有可能面临着被居家办公的要求。在这种情况下,怎么能够让我们安全高效的去继续我们在办公室里才能享受到的办公体验?这个也是变得非常重要。
今年至少有两个央企单位发生过这种事情,我的大楼因为有这种确诊病例或者有密接直接要求居家办公了。大家回到家之后,怎么能够让生产和日常的管理工作不被间断?也是很多IT人员必须要去考虑的问题。
目前整个安全形势也是非常不容乐观的,就像刚才讲到的我们目前有很多勒索病毒等攻击,像刚才美的的事情不再去说了。
对于央国企来说还有一个现状,我们有大量的分支。这个分支进一步去加剧了我们在整个数字化转型过程中,整个安全这一块需要去考虑的问题。因为它会在很多小型的办公场所也会面临相同的问题,比如我的办公网会不会被攻击,成为会不会成为跳板机?这些问题都需要做相应考虑。
尤其是公安部在组织攻防演练行动,一阶段已经完成,大家在跟公安部沟通参演情况,二阶段在进行中,这一块也暴露出大量的问题。办公网依然是护网攻击的重灾区,大量的钓鱼、跳板机等之类的攻击层出不穷,让很多央企单位非常痛苦的点。
针对这种情况,很多用户已经考虑零信任的架构了。可以看整个零信任的发展阶段,定位三个阶段:
第一.萌芽期。这个阶段更多做理论、概念层面的建设。
第二.发展期。这个阶段最典型的代表是谷歌,它开始在自己的公司去尝试落地。CSA在14年和16年期间也组织了多次的攻防演练行动或者叫黑客大赛,它把零信任最重要的内容SDP作为成熟的东西让黑客攻击,经过上千万攻击之后,没有任何一个黑客成功的把零信任攻击下来,它至少在理论层面是非常成熟、安全的架构被大家认可。
腾讯在16年开始尝试在自己内部落地零信任架构,这一块最早的时候,我们TG我们工程技术部他们要尝试去替换传统的VPN,那时有太多楼栋,这不是靠一家或者某几个厂商修补的,所以TG的团队就开始尝试把VPN进行替换,再往后考虑怎么实现端的管理,结合腾讯已有需求去做结合不断的壮大。再后来疫情发生了,全公司包括我们的大几万的外包的员工也都需要这样的方式去接入腾讯内部办公系统、开发系统,实现快速高效的办公。
腾讯的案例在后边会详细介绍,这一块不过多去说了。
我们也在积极的做零信任标准的推进工作,跟国内单位的合作。回归腾讯自己零信任的产品,目前我们主要围绕四个方面去展开:可信身份、可信终端、可信应用、可信链路。想建设由之前被动防御变成主动治理的体系。
下面的图能清晰的展示零信任的架构,我们把整个零信任分成三个部分:用户端;平台侧(包含零信任的安全管理系统);零信任代理网关;用户自己的业务系统。为什么说这类架构相对安全?用户去访问后台应用时需要单包敲门的方式拿到临时通信的端口,网端控制器没有对外发布,用户端通过像UDP或者SVN的数据敲门,我觉得它是合法之后,我给它临时的端口进行身份校验,零信任网关还需要再来单包敲门,校验通过之后零信任网关带领你对后台应用发起访问。这样的话用户和应用之间始终没有连接的建立,我再怎么去攻击始终攻击的是网关,这一块就让整个安全性有了非常大的提高。同时在整个控制器层面,我们也会不断的去做相关用户的终端、行为等系列的校验。
针对大部分的央国企,规模非常庞大,动辄几万人、十几万人的规模。在身份体系上面,我们零信任产品自身它有一定的身份体系,但是针对大型企业我们更推崇的还是自行去建设相应的统一身份管理体系,当然这一块腾讯也是有的,只不过它不在一个产品里面。零信任里有三大模块:SDP、IAM和MSG,三块都是非常庞大的体系,三个做成一个产品的话,这个产品的规模、体量就会非常大了。所以目前我们的IOA产品它更多还是聚焦在SDP就是软件定义边界的层面去做的。
我们也讲到它的身份相关能力,身份这一块首先可以对接企业已有的身份系统,比如IAM,我们也可以对接企业微信平台,用企微身份去做管理。
用户有了身份之后我们可以做身份一对一或者一对多的绑定,比如我的身份在这个终端上登录之后,其他账号在这上面登录时哪怕账号对的也不能让你登录。同时实现对端做合规的检测。
整个运行过程中,我们也会去做一系列端的环境的检测。最开始的时候,我们的IOA只有一个零信任的接入,取代VPN。但是后来我们发现需要去做终端安全、终端管控等系列的内容。这样在端上去融入我们所需的东西,比如之前腾讯有一个商用的终端安全软件叫预点,我们就直接把它融入到IOA产品里面来就行了。包括像终端的管控,通俗讲桌管相关功能,我们也把它融入到IOA产品里面来。
最开始产品IOA它是智能办公助手的意思,它跟零信任没有任何关系,只是它的整个架构是基于零信任的架构去做的,我们也不断的去从腾讯自己内部,我们终端类型和需要的场景相对比较多,基本满足自己之后,目前市场上绝大部分办公的场景,大部分都能够去覆盖。我们做的相对成熟之后,在2019年开始对外去商用、推广。
除了管控、安全功能之外,我们在用户整个访问过程中也会做持续的校验,比如他的登录地是否异常,登录模式是否异常,访问时间是否异常?我们也会做动态建模,去发现里面违规或者异常的情况。在发生这些情况后,我们会做二次的校验或者灰度校验,我们会发动态验证码之类的去把异常行为定位出来,尤其在护网当中相对有效。
很多用户非常习惯的拿零信任跟VPN去做对比,感觉他们解决的问题相对比较类似。但是它会有很本质的区别,零信任用户和网关之间做的是短连接,VPN是长连接,它需要维持一个隧道。VPN隧道一旦断了,需要重新拉起来,才能往后走访问应用。零信任的架构它是随时都短连接,你有流量过来之后,我去看身份、环境是否正常,如果正常零信任直接带领你对后台发起访问。
在整个兼容性层面,我们做得也非常不错,腾讯本身自身BS、CS各种相应的架构都会有,这一块我们都需要去做非常好的支持。
刚才提到好几遍护网,前几年整个护网表现来看,在腾讯零信任的网关防护之下的业务系统,到目前为止我们依然还是零失分的情况。包括像之前的顺丰包括腾讯自己的系统,因为腾讯也是护网的参演方,我们目前也做到零失分的情况。
当然整个零信任可能不单单是客户端去搞定的,也有很多应用场景。比如目前跟很多央企积极探讨零信任整体架构的落地。现在国资委不允许大家在个人微信上去讨论工作,这一块也是推动了像企业微信或者丁丁、飞书企业级的即时通讯工具在央企单位里快速私有化方面的落地。在这些方面,即时通讯工作台的应用,我们也有相对成熟的方案去实现匹配、对接,因为时间关系,我们不进行展开。
腾讯也一直在积极的致力于国内整个零信任体系的发展,包括标准的建立。比如成立零信任产业的标准工作组,推出零信任实战的白皮书,合伙推出《零信任基础体系规范》,也在推进相应的工作。
第三部分把腾讯安全大致情况跟大家进行简要汇报。
大家一直在提纵深防御,腾讯也做了大量的工作。因为很多产品因为自身业务的原因,很难用成熟的商用产品。比如典型的像防火墙,腾讯先不考虑公有云,就我们自己C端业务,很多主流产品是很难串到我们网络里面去,所以也推动了腾讯大量的安全产品只能说是自研、自己开发,我们目前也形成了一整套完整的纵深防御体系的架构。对比明清时期京城防御工事为参照,包括城墙守卫等,这一块不展开了。
我们看安全整个架构,我们把它分成了七块内容
零信任体系解决办公网。它是以应用为对象,以身份为核心的架构,我的应用访问权限、访问路径,在应用之初就需要考虑到,通过零信任体系建设。也有人说整个零信任是先建边界,然后理通路再去加强运营,这样的话只是作用,我们感觉从终端去作用的,实际上它真正的作用是起在应用这一侧。
在整个安全框架部分,有边界安全、网络安全、主机安全的系列产品。简单展开看一下,刚才讲到第一块内容零信任体系是解决了整个端到应用这一侧安全建设。再一块是腾讯自研的产品,比较典型的我们叫天目产品,很多用户叫它是护网神器。旁路部署在网络里边,需要对哪个安全阻断时直接写进去,它检测到流量过来的时候,我发包过去把它阻断掉。它的好处是不影响网络性能,同时可以跟大量安全产品做对接。任何一个厂商的产品,如果需要阻断IP时,把阻断指令发过来。在护网时我们动不动收到几万个黑IP阻断,我可以导入,这对原始网络不造成任何改动和影响。
高级威胁检测系统NTA,NTA得益于腾讯威胁情报库,腾讯有大量C端业务给腾讯做大量的样本、信息库、地址库的积累,同样的产品如果更换一个威胁情报库,我相信产品的能力会有大幅的衰减,现在威胁情报已经成了衡量安全厂商软实力最重要的标准了。
主机安全产品,这一块在资产、恶意代码、不定、楼栋层面做相关的安全防护。
数据安全保护-数盾。目前数据安全目前重点在公有云一侧,私有化交付我们还在思考到底怎么落地,目前公有云上面相对比较成熟,包括整个数据的脱敏、加密,动态的分级分类之类相关的内容都是相对比较完善的。
安全运营中心。我去看我们安全运营中心的时候,觉得我们现在做的相对比较好有几方面:
1.我去实现目前已有的产品日志的统一接入。典型的案例,当时我们做海尔,海尔信息化产品做得非常完善,但是每个产品只管自己的事儿,怎么把这些东西统一运营起来?这是它至关重要的内容。包括买两套安全中心,是国内顶尖厂商的安全中心,但是基本上大家只接自己的日志。我们这一块做的相对比较好的是把它已有21类安全产品日志实现统一接入,同时实现日志统一降噪,10万条日志降噪完只剩几百条日志,用户只需要关注这几百条就行,而且不会有日志的丢失。同时在整个安全运营体系层面建设,这个就不是产品的能力了,我们根据海尔它自己的实际情况帮它去建了自己的安全运营的制度,同时结合它的实际情况帮它也做了很多定制。最后是我们的安全服务内容,一些咨询,红蓝对抗方面的内容。
最后一部分是案例。以腾讯为案例,我们腾讯是零信任的第一个用户,最早开始一个部门自己用,后来因为疫情的爆发,自己的6万员工快速的使用上了。目前不管在办公网还是居家还是在酒店时都需要先登录IOA客户端之后才能对后台应用发起访问。
因为我是软件化部署的,所以对于整个扩展方面也是非常灵活的。高峰期时,办公连接高峰达到75万的连接数,在流量上达到35G的流量。当然在虚机支撑这一块,也是快速的扩容到140台虚拟机的规模。
我们再结合IT也做了一系列的管控,比如我们是不允许使用向日葵的,如果任何一个人的电脑上只要安装向日葵的软件,只要联网,我们会立刻报警、发邮件或者企微弹信息之类的内容。这一块也是企业可以根据自身的实际情况去制定自己的规则。
最后是我们其他行业的案例,这一块不去展开了。可以看到各行各业都相对比较多,但我们工业企业像马钢、富士康都是相对典型的案例。
我的演讲就到这里,谢谢大家!
京公网安备 11010502049343号