互联网江湖,“偷袭”和“背叛”无处不在。
2018年6月,特斯拉指控前员工Martin Tripp侵入特斯拉制造操作系统,将几个G的机密数据传输给外部机构,以此蓄意破坏生产。
今年4月以来,互联网安全领域风波骤起。大型燃油运输管道运营商科洛尼尔内网遭黑客攻击;日本东芝公司法国分公司740G机密信息和个人资料被职业勒索组织窃取……
当“背叛”、“偷袭”愈演愈烈,网络安全的新边界在哪里?
在腾讯,有一群“安全侠”正力图打破传统安全的窠臼,提出“以零信任构建信任”,在无边界的网络新世界重构安全。
腾讯安全的六位零信任“安全侠”
探路
故事要从一场培训讲起。今年春节前夕,腾讯开展了一场特殊的“人才认证培训”。10名腾讯“安全侠”围坐在电脑前,投身于数百个学时的专业培训中,学习技术方案、案例实践、合规治理等全套零信任体系,并不时在群里切磋思路,碰撞火花。
作为此次认证的组织者,腾讯安全战略专家Steven已筹备了一年多。
8年前,还在咨询公司从事客户侧安全风险咨询的Steven,第一次接触到了“零信任”。
这一概念来自全球著名IT研究机构Forrester。2010年,其分析师John Kindervag敏锐地发现,传统的基于边界的网络安全架构,一旦被黑客以“可信任员工”的身份越过,便几乎形同虚设,他创造出“零信任”理念,以“永不信任,持续校验”为思想内核。
Steven回忆,“当时我们在吸取行业研究机构的经验时,已经感觉到这套理论和实践的策略,对于企业具有非常强的吸引力。”
2017年,Steven加入腾讯,负责腾讯全球合规的体系框架设计。彼时,腾讯在内部自主设计、实践落地零信任安全体系已有一年多时间,但To B端的产品迟迟未能上线。
转机是从“930变革”开始的。2018年,腾讯经历脱胎换骨:架构大调整,扎根消费互联网,拥抱产业互联网,零信任则成为腾讯To B商业化之后非常核心的一条战略线。
挑战随之而来。“如果我们现在依然站在传统企业IT安全的角度去和这些CEO聊业务需求、聊发展策略,那么90%的回答都会是听不懂你在讲什么,对业务有什么帮助”,在接触零信任多年时间里,Steven意识到一个重要事实:要扭转思维,关键在“人”。“需要一批专家团队,把零信任理念落实下来。”
2020年初突然暴发的疫情,加速了企业的数字化转型,也让零信任迅速走到台前。腾讯副总裁丁珂将“零信任”确立为腾讯安全未来的发展战略指导,从那时起,Steven开始作为安全战略专家,探路“零信任认证”。
在该领域,Forrester无疑是权威者。从2018开始,Forrester 开始发布零信任扩展生态系统ZTX研究报告,探索零信任架构在企业中的应用,并通过ZTX认证系统性地对零信任厂商的能力进行评估。
摸底Forrester之后,Steven更加笃定,借助ZTX认证,不仅能够帮助团队建立对零信任的共同理解,还能将腾讯安全在零信任领域的技术产品、解决方案,转化为通用的实践性质的知识和框架,反哺整个行业和市场的安全人员,实现中国、甚至全球零信任人才的整体提升。
进化
4个多月前,听到要做零信任人才认证的消息,腾讯安全的老孙兴奋不已。他自嘲,在零信任江湖行走多年,他的字典里从没有“信任”二字。
“零信任=更安全?这还挺反常识的。”6年前,老孙第一次接触到零信任,脑中充满了问号,“说实话,当时对这个概念是有一些误会的,从字面上去理解,既然都不信任了,还搞什么安全?”
和零信任的真正结缘,是加入腾讯后。
彼时,老孙已摸清零信任的底层逻辑:“传统网络安全理念就像玩塔防游戏,只需在层层关卡设置‘护盾’。”零信任颠覆了这种做法,“它不仅仅要确保访问身份、设备不能有问题,请求也要是从一个可信的应用或者进程发出来的。”
“实操中会发现,任务挺艰巨的”。老孙负责腾讯零信任安全产品的规划,帮助客户为零信任整体解决方案运筹帷幄。对他而言,“930变革”同样记忆深刻。
“那段时间,零信任产品市场化的过程中,面临的最大困扰就是如何去解开内部系统之间的耦合,让方案去适配不同的产品,满足用户五花八门的诉求。”
老孙直言,零信任战略的落地需要从用户身份验证、终端合规检测等多个方面来考虑,团队所面临最主要的任务,是如何兼容不同的技术和系统,同时发挥腾讯自有产品的优势。
在这次培训中,老孙确认了实践的“参照系”:“采用哪种产品、哪种技术其实并不是最重要的,重要的是如何将整个零信任的理念贯穿和落地到整个的信息安全管理中去,如何跟各种层次的人打交道,让他们去接受零信任的理念。”这也与Steven早期的想法不谋而合。
在他看来,此次认证培训来得格外及时,“Forrester有一个比较完整的框架,整个学习的过程使我终于有机会去验证已有的哪些想法是对的,哪些想法可能是存在一些问题的。”
蓝图
2020年疫情暴发后,远程办公成为常态,零信任迎来新的分水岭。
此时的Steven正在忙于筹备ZTX认证,老孙还在技术路线与客户需求间博弈。而另一边,腾讯iOA的负责人Andy已在为零信任办公产品的未来市场谋划蓝图。
Andy专注于安全领域已经近10年,见证了零信任产品在腾讯的起步与转折。2008年加入腾讯后,他主要从事终端安全领域的产品研发,也就是现在为公众所熟知的电脑管家。后转型TO B安全,研究企业终端安全产品“御点”。当时,公司内部办公产品仍采用传统的VPN方案。
知名咨询公司Gartner曾经预测,“2023年全球将有60%以上的VPN被零信任取代。”
腾讯的嗅觉尤其敏锐。早在2016年,腾讯就开始推动内部办公安全落地零信任解决方案,替换VPN方案,提升公司的安全基线。几无差别的内外网办公体验,让很多腾讯员工明显感受到了无边界办公带来的便利。
Andy介绍,零信任方案市场化的过程中,为带给员工更好的使用体验,同时方便企业的安全管理,腾讯将办公安全的两个产品——御点和内网iOA进行深度整合,形成了如今的“iOA零信任安全管理系统”。
在iOA产品设计之处,腾讯安全的团队内部达成一个共识——希望它更多地承载一些“人”的特质,让员工感觉到方便,对自身工作是有帮助的。“我们希望更多地将它定位成办公助手,而不是一个管理软件,希望它切实对员工的工作效能和业绩有较好的帮助,同时也对企业安全有较好的管理支撑。” Andy说。
疫情初始,仅用5天,腾讯便完成了从传统模式向零信任安全体系的切换,7万员工、10万终端可以同时远程处理各种复杂的工作。
如今腾讯iOA产品已经进入泛互、物流、地产、教育、制造、政府、银行等多个行业。在Andy看来,iOA不仅仅是一款产品,而是一整套以身份为中心的安全理念,它可以为不同安全建设期的客户提供逐层深入的解决方案,小到终端安全,大到资产梳理、访问权限管理。
在实战中摸爬滚打多年,Andy仍时刻绷紧神经。挑战来源于多个方面,产品涉及安全范围较广,客户需求的抽象,对交付速度的要求,以及项目的风险管理等。在他看来,这次的ZTX认证是一次很好的充电机会,能够帮助他去体系化学习、借鉴。
当前,国内的零信任生态圈被切的很碎。虽有数十家企业尝试为企业提供零信任解决方案,但Andy认为,“大多数的企业是封闭起来‘抄书’”,他早早地提出了构想:希望iOA未来能够逐渐开放,基于腾讯的自身实践经验,逐渐变成一个平台服务于客户,通过联合客户自身的安全运营和合作伙伴,共建零信任生态。
“安全说到底是数据的安全,数据说到底都是业务的。我们希望逐渐开放部分能力和接口,让企业深度参与到策略设定和安全运营中来,让每个企业能够组建符合自身特点的零信任体系。”
腾讯零信任安全管理系统 iOA
传承
95后小楠是此次参与ZTX认证中最年轻的专家人才。对她来说,零信任的启蒙是从腾讯开始的。
“入职之前,我对零信任其实并不了解,只是觉得做安全是个很酷的事情。”大学时期,小楠选择了网络安全专业,学习“攻防”。四年前,一次腾讯实习经历,让小楠第一次接触到“零信任”这个词。时值腾讯内部零信任架构的全面落地,作为“改革”的亲历者,那个时候的小楠“确确实实感受到了远程办公的顺畅”。
2019年,毕业于香港大学计算机系的小楠经校招入职腾讯,担任iOA产品经理。
疫情暴发后,零信任市场规模迎来爆发式增长,2020年,腾讯端点覆盖数已经超过100万。和客户沟通方案是小楠平时最主要的工作,疫情期间,不断找上门的需求使她忙了起来。
沟通需求,这件让几位前辈都头疼的事,在小楠这里,难,却也不难。她发现,很多客户只是通过一些行业报告了解到零信任,尽管体系化的输出需要一定过程,好在,腾讯本身就是零信任的实践者,所以还是有很多实操的经验可以分享。
两年过去,在与客户不断地切磋打磨中,小楠实践着自己对“零信任”的一套认知体系。“零信任是要让任何设备,不管在内网还是在外网,都保持一个没有验证就不信任的状态,这在当下,是办公安全理念一次比较大的升级。”
今年年初,小楠加入到ZTX认证中,她非常享受这个学习过程,脑海中也常闪过春节里和大家一起相互督促、交流方案的片段。
一个细节是,有一门课程是将企业分割成领导层、执行层、普通层等多个层次,来讲授如何将零信任落地,这让小楠觉得非常“解渴”,她形容,这与整个腾讯在落地零信任的过程很相似,每一层阻碍相应的解决方法也很符合实际,“具有很强的实操性”。
在这场全球级别的认证中,小楠没有太在意“专家”身份的注脚,而是把它当作一次认知的扩充,“接触到Forrester的课程以后,可以看到其他的一些企业,包括欧美市场对零信任的前沿解读。”
“其实像我2019年才毕业,在零信任这方面不算是老师。”于小楠而言,认证之后,在这个领域深耕下去的动力更足了。
“像Forrester的专家也好,或者是这次一起拿到证书的专家也好,我想成为像他们一样的人。”
Forrester为腾讯零信任团队成员颁发ZTX专家认证
这群“安全侠”数年的耕耘迎来了新的里程碑。5月14日, Forrester为腾讯安全团队的10名安全技术人才颁授了零信任领域权威的ZTX专家认证。这是这家全球著名IT研究机构首次为企业授牌,也是国内最大规模的一次ZTX认证。不过,小楠知道,零信任的万里长征才刚刚开始。
来源:freebuf.com 2021-05-28 15:34:35 by: 互联网发烧友
请登录后发表评论
注册