从理念到大型实践，揭开腾讯零信任iOA安全方案的“落地密码”

随着企业数字化转型的不断深化，远程办公、移动办公逐渐成为主流办公形式，但在复杂多变的安全环境下，如何应对来自内外部的潜在安全风险也成为了企业的必修课题。

在1月23日举办的TGO鲲鹏会杭州年度家宴上，腾讯安全高级战略产品总监孙方霆表示，零信任代表了新一代的网络安全防护理念，基于零信任原则的安全防御才能在复杂形势当中建立起牢固的安全防线。

零信任安全是以“持续认证、永不信任”为核心思想，同时整合了身份设备、设备安全、应用安全和链路安全等要素，确保业务系统访问的安全性的解决方案。作为腾讯办公职场建设的基础，腾讯IT自主设计和研发，结合自身多年的网络安全管理实践经验，形成了腾讯iOA零信任安全管理系统。在去年年初疫情防控期间，腾讯iOA整合了IT服务和终端安全，成功为6万员工和10万台终端的跨境、跨城远程办公场景提供了安全保障。

基于腾讯最佳实践，腾讯iOA零信任安全方案的商业化重点围绕可信身份、可信终端、可信应用、可信链路四大要素打造企业下一代安全体系。此外，孙方霆还分享了远程办公、运维、多云接入和全球业务加速四个典型应用场景，为用户打造了基于可信身份的无边界动态访问控制闭环的同时，全力护航企业云上业务安全。

以下为孙方霆演讲全文：

最近两年，零信任安全的概念在信息安全领域热度越来越高。腾讯安全作为国内领先的信息安全领导企业，在2016年就开始在集团内部署零信任安全解决方案，积累了大量的成功经验。

本文探讨的话题包括三个方面：一是零信任安全的发展和概念，主要想聊聊为什么要采用零信任安全，零信任安全带来的价值是什么？二是腾讯在零信任安全方面的实践，腾讯从2016年开始自研和实施零信任战略，在零信任解决方案上积累了大量的经验。三是腾讯iOA零信任安全方案商业化，目前该方案已经在一些大型行业客户那里进行了成功的部署。

零信任安全之所以热度越来越高，有三个关键的背景因素：

首先，多样化的办公环境，导致企业安全边界变得越来越模糊。传统的信息化发展，用户自己建设数据中心，采用塔防式进行安全防御，基本可以保障安全性。而现在，随着企业业务的发展，很多业务部署形态已经发生了非常大的变化，用户关键的业务数据可能分布在私有云、公有云或传统数据中心内。各种部署形态导致数据无法进行集中管理，在这种情况下，数据安全管理面临着大的挑战。从终端的使用场景来看，变化也非常大，尤其是2020年疫情期间，远程办公成为主流办公方式，但是在远程接入时，如何确定接入用户的身份以及终端和环境的安全，也成为企业面临的挑战。

其次，虚拟货币的兴起，促使黑产更加猖獗。从2015年开始，加密勒索攻击越来越频繁。主要的原因是比特币的发展和流行。

从2017年开始，加密勒索呈大规模爆发趋势，其中是极具标志性的WannaCry勒索病毒。此后，越来越多的黑客团伙投入到加密勒索攻击中。2020年12月，富士康在巴西的工厂被黑客攻击勒索3400万美金；国内芯片行业的研华科技遭黑客勒索750个比特币。不法黑客有了更快的变现途径，并且难以追踪，所以他们在这方面更加肆无忌惮。

第三，企业内部的设备越来越多，IoT、BYOD等各种各样的智能化接入设备无法有效管理。随着物联网的蓬勃发展，越来越多的物联网设备接入网络。这些接入的物联网设备操作系统存在大量安全漏洞，并且疏于管理，给企业的安全运维带来巨大的风险。2017年，美国某赌场被入侵，不法黑客通过水缸里面智能温控系统作为途径，入侵美国某知名赌场。黑客利用物联网设备构建巨型僵尸网络，发动大规模的DDoS攻击。

总体来说，我们面临的安全挑战有如下几个：

第一，企业数字化转型推动了新技术的应用需求，这些新技术的使用对传统的网络安全技术和管理方式提出了新的挑战。

第二，数字化转型过程中，企业的业务架构和网络环境发生了很大变化。

第三，安全管理产品和技术的割裂，导致运维管理成本不断提高。

第四，业务上云缺乏管控，为企业安全带来新的风险和挑战。

那么，零信任到底是什么？

传统的安全防御，我们会假定接到内网的用户都是安全的，这种情况下只要做好边界的防护和准入，那你进来了以后就是可信的。而零信任安全则是默认不相信任何流量，在所有的访问之前要对用户身份进行认证，并根据终端的使用环境来动态授权。

从大多数的安全事件来看，黑客通常从我们认为安全的内网客户端进行渗透，然后进行横向平移，逐步控制内部网络中的关键节点，最终达到攻击目的。

所以，零信任是一种截然不同的安全理念。它假定网络里所有的接入设备可能已经被入侵，是默认不可信的。当用户通过终端访问我们的重要业务系统和数据时，需要对访问用户的身份进行认证和授权，同时评估终端的安全性以及所在环境的安全性，通过层层防护，确保从人到设备、从应用到链路都是安全合规的，这样才能允许访问请求到达后端应用。同时，对用户的访问行为进行持续地分析，及时发现异常行为并进行阻断。

简单理解，零信任安全是整合了身份设备、设备安全、应用安全和链路安全等要素，通过实时的行为和环境评估，确保业务系统访问的安全性。整个零信任的核心思想是“持续认证，永不信任”。

从Gartner零信任网络市场指南的报告来看，主流的零信任解决方案有两个模式：

基于服务的零信任网络访问和基于终端的零信任网络访问。

基于服务的零信任网络访问不需要在终端上安装客户端，通过Web方式实现对后端的业务访问，在访问的过程中对用户的身份进行认证和授权。这也是谷歌的BeyondCorp的主要实现方式。

基于终端的零信任网络访问需要在终端上安装客户端，它支持更加丰富的应用模式，包括B/S和C/S架构的应用。这也是腾讯采用的部署模式。这种方式不仅支持更加丰富的应用，而且对终端的安全状态能够实现更加精准的评估和监控。

腾讯在2016年开发和部署iOA零信任安全系统，并逐渐将所有系统，包括OA、知识分享、远程运维、开发等系统切换到零信任访问模式。2020年疫情期间，由于所有员工都无法返回工作场所需要远程办公，我们在一周实现扩容，支撑了整个公司的日常办公、运维运营和开发工作需要。

腾讯iOA零信任安全方案的商业化，主要围绕着以下四个要素：

第一，身份可信。除了用户名口令，通过多因素认证来对用户身份进行强认证，同时，动态分析用户的登录环境，当用户登录状态、地点和设备等风险等级较低时，会简化用户登录方式，实现一键登录。

第二，终端可信。通过病毒防护，系统漏洞检测和加固、终端准入、合规检测等措施，确保终端安全可信。

第三，应用可信。在访问某些关键敏感应用的时候，限制用户使用合规应用进行访问，有效拦截黑客通过隐藏通道或应用进行的攻击行为。

第四，链路可信。通过腾讯自研的NGN技术，在确保链路加密和安全的同时，改善用户的访问体验。同时，避免传统VPN的隧道技术在网络切换或网络通讯质量较差时的隧道频繁重建问题。

另外，为了支持更多的接入场景，我们不仅提供基于终端的零信任访问模式，也支持基于服务的零信任访问模式。