北京時間10月10日至10月11日，由騰訊安全發起，騰訊安全科恩實驗室與騰訊安全平臺部聯合主辦，騰訊安全學院協辦的2018騰訊安全國際技術峰會（TenSec2018）在深圳成功舉辦。

作為企業安全團隊的代表，騰訊企業IT部安全運營中心總監蔡晨受邀出席，分享”從有界到無界 騰訊新一代企業安全防御之道”。云計算、大數據、人工智能等新技術在掀起數字化轉型浪潮的同時，也改變了傳統的網絡邊界，帶來了全新的威脅風險。騰訊是如何快速響應市場趨勢變化，完成零信任安全實踐，成為中國第一家無邊界企業的？

以下是蔡晨在峰會現場的演講全文。

網絡邊界防護存在的挑戰

大家早上好！非常高興受邀有機會跟大家分享騰訊企業IT在云的背景下怎么做無邊界的網絡安全。

其實早在2014年，我們就已經開始探索企業傳統安全模式會有什么樣的發展趨勢，什么樣的新企業安全網絡邊界或網絡模式更適應未來云上的方式？當時谷歌提出了無邊界理念，我們也參考這個理念做了一些實踐和嘗試。

我們先來看看企業內網傳統邊界防御模式下的安全問題，一起來探討下為什么會帶來這些問題。

騰訊目前有六大BG（事業群），每個BG基本都在幾千甚至上萬人的規模。每個BG里有形形色色的業務:Web類、客戶端類、手機類、AI類等等，這些業務非常復雜，要求IT在支持這些業務上劃分很多的安全邊界。

因為這些業務的安全等級差異比較大，對安全性的要求或對信息的保護要求差異也比較大。在企業內部，有從桌面到隔離完再到運營區，有很多的安全區域存在，傳統方式以安全邊界或安全防火墻、主機防火墻為隔離邊界，導致在網絡控制，安全策略管理上的問題難以管理。

員工在工作的時候，希望通過一臺PC或筆記本、一臺手機，在一個網絡里既可以日常辦公，又可以上網查信息，還能開發、測試和運維。員工的理想模式是這樣的，但實際在復雜的業務模式下，那么多的安全邊界限制對員工而言效率通常不會太高，這個是效率與安全方面的巨大挑戰。

公司內部的終端有windows、Mac OS、Linux、IOS，開發模式又有AI、大數據訓練、分布式編譯等等，這些分布非常復雜。區域劃分越多，管理效率越低，顆粒度越細，安全方面仍然存在問題和風險。

現在APT非常普遍，這兩年攻擊手段發展也非常迅速，其實黑客有很多APT攻擊以員工做突破點，比如常規郵件、投毒、社工、USB等等設備，主機淪陷在APT這塊是經常的突破口。盡管內網劃分了很多邊界，但一旦被入侵打破安全邊界后，黑客可能就會輕易摸到應用服務器。

剛才講的三點，其實是說我們應該去思考新的企業模式，如何能讓效率變得更好，讓安全性變得更強。經過探索，騰訊在2017年和2018年實踐了新一代的企業網。

騰訊新一代企業網

騰訊新一代企業網，一方面在安全上要足以應對APT的攻擊，更易于管理；另一方面，盡管我們的場景和工作模式復雜，但對用戶的界面要足夠簡單，不需要他們記憶，更加便于工作，兼具安全和效率。

這套方法的核心思想是把傳統的安全防火墻和邊界拆掉，而無邊界安全的理念是保證終端足夠安全，其實是把安全顆粒度下發到了終端，要保證網絡通道是足夠安全，所以需要可信的設備、可信的人、可信的應用才能穿越通道。在應用這一側，也只接收可信的設備、終端和應用程序發送過來的流量，這就是大概的邏輯。

如果我們能夠做到這幾點，其實傳統的網絡隔離問題和網絡邊界劃分都不再是問題。這樣的模式不但能夠在企業內部簡化網絡，而且能適應于未來大規模的業務上云，以及把開發測試環境上云，甚至把企業很多內網資源放到云上。

?

第一點，拆大墻，建小墻，將顆粒度下沉到設備。

以前我們是把終端設備劃分為不同安全等級的網絡，現在這個網絡基本都被抹平，所有安全的策略、管理和加固都下沉到設備。好處是以前員工在不同角色和機器中有權限劃分，現在機器一樣，網絡權限一樣，在家里甚至都不需要VPN了。

因為VPN的遠端設備是不可信設備，需要啟用認證身份、安全加密通道，把所有的流量通過VPN返回到企業內部。如果我們保證終端和通道安全，這套體系就完全替代傳統VPN。員工在公司職場內和職場外都是一樣的訪問和體驗模式。

第二點，剛才講了用戶可信、設備可信、應用可信。怎么做終端設備的可信？

其實就有兩個關鍵因素：

第一，這個人是不是我們的員工，如何驗證他？

第二，設備是否受保護，狀態是否足夠干凈和健康。

首先說人的因素，在終端設備上我們強調雙因子認證，有Token認證身份，確保是我們的員工。包括還有類似微信、QQ彈窗認證的多因子確認身份的輔助手段。一旦身份認證成功，會把身份從客戶端傳到辦公系統應用認證的后臺。一旦員工完成一次的身份認證，所有的有效性身份在內網、OA登錄、以及跳板機登錄場景或數據讀取場景中，整個過程是滲透式的安全身份傳遞。

如何保證終端一定安全，是可信的終端？以前很多殺毒軟件或者是安全檢測的規則其實都只做到文件級，大部分檢查文件特征值，會檢查PE的頭和MD5，安實際我們與APT不斷對抗的過程中發現，文件級安全檢測對高級APT樣本及職業黑客團隊來說做的還不夠。我們發現的樣本中，很多利用的是高級隱藏技術，包括純內存駐留方式，還有通過DNS或高級別隱藏式網絡通道的上載方式。

所以要求終端可信這部分除了常規操作系統外，還要對內存進行加固，對進程進行深度檢測，檢測級別需要下沉到API。因為一旦內存常駐留，對文件級的監控和檢測不是特別有效。包括網絡層，也要下沉到協議級別，去看加密流量負載的情況。在這個地方我們做了大量工作，讓客戶端的數據看安全數據更深，對APT類的檢測和防御更加有效，包括端上要足夠安全。

?

大量數據如果都留在客戶端處理，其實性能消耗非常大，員工體驗也不是特別好，機器占用的CPU和內存都比較高。我們采用的做法是把大量要分析的數據全部拋到云上的系統，客戶端只做兩個傳統的基本事情：一個是接收云端下發的指令進行策略執行，一個是把需要上拋的數據進行上報，形成輕客戶端和云上“胖數據”的模式，所有的數據都在云上的系統檢測，效果會比較好，效率高，CPU占用率低，事件報警和分析的速度也會非常快，安全人員在有問題的時候可以及時快速介入。

?

除了有可信的人、可信的終端之外，端上可信還有一點。我們知道傳統企業內網的網絡層基本是通的，意味著敏感資源、服務器資源的所有流量都可以觸達。那么對黑客而言有如下幾種方式利用：

? 第一，自己偽造進程，這個進程可以直接訪問到應用資源。

? 第二，注入到系統進程里，利用偽裝系統的模塊和API，訪問應用資源。

? 第三，注入正常進程及常用軟件和工具進程中。

這時候對我們而言的一點就是，如何讓我們信任的應用通過通道？剛才我講的幾種黑客的方式，需要安全團隊對抗的應用是無窮無盡的。舉個例子，一個人辦公機上的進程是上千量級，如果要做一萬臺機器，會發現一萬個人有一萬個哈姆雷特，這里面的進程都是十幾萬的量級。

這個應用進程的數量非常大，包括版本不同進程的MD5就不同。這個時候安全人員需要分析和對抗的量很大，在這種無邊界項目中探索的是，有沒有可能把企業內部的應用進行簡化和梳理，其實只需要把正常工作的進程和進程流量變得可信，這部分的進程和流量能穿越我們的安全通道。所以這時候就把與那些無窮無盡的進程對抗和檢測的事，變成了十幾個甚至二十個進程保護的問題。

所以我們把如何讓進程變得可信進行了梳理，在進程的流量里加入可信標簽，去加入相應的票據，然后拿到票據和安全可信標簽的流量，才能通過我們的安全網關。

第三點，安全網關問題。

剛才講到可信設備、可信人，不只是在企業內部，有可能在全球任何一個角落進行工作。通過這個安全網關，他會問這是不是騰訊員工的機器？這臺機器是否安全可信？機器上的應用進程是否已授權？應用進程每一個包是否含有合法標簽、合法票據？如果這些條件都符合，智能網關會把流量拋向業務服務器及內網業務服務器資源，從而達到無邊界效果。

?

?

通過這種方式，在智能網關和后臺上，不需要讓每一個應用都改變，比如應用是否足夠健壯、應用流量是否加密、是否對應用進行合法身份的健全。如果我們在企業內部這個工作是難以推動的，應用改造的成本也非常大。通過智能網關及終端安全iOA的協同配合，可以解決統一企業內部的可信端和可信流量，進行安全數據傳遞和安全訪問。

一些實踐建議

在騰訊而言，無邊界網絡基本就是用一張企業網簡化了原來很多張網的復雜的網絡劃分，也簡化了網絡界面，把傳統的防火墻和網絡邊界拆掉，把安全邊界下沉到主機上，讓主機變得可信；主機終端盡可能讓監控更深，在云端完成分析工作，進行云管云控；這樣效率和安全上都有很大的提升，員工如今在一張網上就可以做所有的工作。

剛剛的理念，跟谷歌的無邊界概念比較像，但實際差異比較大，他們是以安全網關為核心的，而我們在此基礎上，更加強了在終端上可信通道和可信應用的概念。

在實際操作過程中，有一些比較底層的數據需要打通。比如網絡數據、主機數據，只有IT部門把這些數據全部融合到企業的基礎信息庫里，剛才講到的端識別、人識別包括應用識別才有可能實現。如果沒有基礎網絡數據和主機數據，其實在實現無邊界網絡的時候，會碰到各種各樣的問題。

這是谷歌2014年的論文，我們在此基礎上做了騰訊版本的探索與實踐。

這是我今天分享的內容，謝謝大家。

總結

以上是生活随笔為你收集整理的腾讯企业IT部蔡晨：从有界到无界，新一代企业安全防御之道的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。