騰訊內網安全管理建設歷經十多年的研發積累，現將自身最佳實踐經驗結合“零信任”安全理念，帶來產業升級下安全升維的新思路和新方法。在近日舉行的“2019互聯網安全領袖峰會”大中型政企通用安全專場上， 騰訊企業IT部安全運營中心總監蔡晨分享了騰訊版本的零信任安全業務實踐——重構新一代企業網絡：騰訊無邊界訪問控制體系，以下是分享全文：

大家好，很高興來給大家分享騰訊在零信任安全與無邊界網絡上的具體實踐和落地。

“零信任”概念是在2010年由Forrester提出，谷歌BeyondCorp項目做了全世界第一個落地，谷歌BeyondCorp方案的目的就是為了讓員工在不安全的網絡下安全地訪問公司。作為騰訊，很多年前已經關注到了這塊IT基礎建設和基礎架構方面的變化。
我們知道無論騰訊也好，互聯網公司也好，非互聯網公司也好，之前企業網絡架構通常是重邊界的架構，會把各種安全防御措施、網絡隔離措施、安全設備堆在邊界上，這樣做通常有兩種結果：一是如果遇到比較嚴重APT攻擊，一旦突破邊界，內部沒有足夠的安全檢測機制和有效防御機制；二是如果內部業務比較復雜，整個IT在內部管理策略和管理成本是非常高的。基于此安全和效率的問題，我們看到了零信任網絡架構的價值。

2016年，騰訊在內網啟動了基礎網絡環境改造的工作，騰訊無邊界控制體系究竟是怎么落地的，帶來了哪些好處，我們具體來看一下：

騰訊無邊界訪問控制方案，具體包括三個在端上的應用場景，終端安全管理、無縫介入網絡場景、多維度云上、云下應用資源和訪問資源控制場景，具體實施可參考在騰訊的應用規模以及多個行業實施的案例。

無邊界訪問控制—設備可信 用戶可信 應用可信

在騰訊落地的無邊界訪問控制體系里，“無邊界”和“零信任”的要求是要做到設備可信、用戶可信、應用可信，終端能夠在任意網絡中安全、穩定、高效訪問企業資源和數據。這主要的技術挑戰和問題是如何做到設備的可信，如何做到用戶可信，如何做到應用可信，怎么保障通路任意網絡環境中是安全和穩定高效訪問到企業中去，這是騰訊無邊界訪問控制的核心概念和理念。

隨著企業上云，包括原有的云下業務和云上業務都在往云端遷移，傳統重邊界的企業網絡結構除了安全性未達到全面保障，在效率和用戶體驗上都欠佳。而零信任安全架構在安全用戶體驗和效率上能有極大的提升，可以稱得上是新一代的企業網絡安全結構。

那么在此體系下，我們如何保證終端安全？可以看到在騰訊內部的每一個終端上都部署了騰訊iOA和騰訊御點。iOA主要做資產的盤點、安全加固、用戶身份識別、數據保護與EDR，EDR就是動態APT動態安全威脅的入侵檢測，御點主要用來做病毒的查殺和補丁管理，通過這兩個終端來保證設備是可信狀態；同時我們提供雙因子認證，iOA跟企業微信和軟硬件的結合，使每個員工入網都是經過嚴格的雙因子身份驗證，確保他是一個企業的真實員工，而不是盜用身份。通過這兩方面可以嚴格確保來訪安全可信，保障終端的可信度。

重大安全事件中的“5-2-1”

在近幾年內，我們利用可信終端和可信用戶的控制體系處理了3個比較典型的事件。

首先，在2017年“永恒之藍”病毒爆發，各行各業都受到了嚴重的沖擊，在爆發期間騰訊10萬臺終端只有1臺從外面環境中感染，且整個事件在5分鐘內發現和阻隔處理完成，15分鐘內把相應端口或者風險隔離策略下發到全網，沒有對公司造成任何實際危害。

第二，在今年6月爆發的海蓮花APT攻擊潮中，我們在護網行動中同樣遭到了一次來自APT32海蓮花組織的反向域名的魚叉式攻擊，IT安全團隊在2個小時內就發現其軌跡并迅速拔除，經普查騰訊10萬臺終端未有其他終端受到海蓮花樣本的魚叉式攻擊感染。

第三，在2018年行業大規模爆發Xshell后門軟件供應鏈攻擊事件時，騰訊早于業界24小時發現，利用終端和網絡上的數據發現有PC異常的DNS通信，這個DNS就是疑似DNS隧道型的攻擊事件，一天內對全網進行了Xshell軟件供應鏈排查和處理工作，在整個行業爆發事件之前把700臺終端的潛在威脅風險全部解除。

無邊界訪問控制-無縫網絡接入

接下來再看下無邊界訪問控制體系是如何做到無縫網絡接入的。傳統訪問方式尤其在外網時通常是用VPN來解決網絡訪問問題，而出差國外給我最大的感受是，傳統VPN情況下布了很多接入點，甚至起用了跨洋專線和VPN情況下，訪問速度和體驗仍然遠遠不夠，與內網相比體驗會差很多。?

那么既然谷歌在BeyondCorp中能解決這個問題，我們是不是可以用這個方案更好地把內外網絡接入體驗做成一致，把網絡架構做成一致，在VPN訪問尤其海外VPN訪問上做到極大提升？我們當時進行了了替換和嘗試。通過智能網關與終端聯動的方式，去取代傳統VPN長SL點對點加密隧道的技術方式，其中用短鏈接方式，每個數據包經過自有加密的方案，達到的效果是非常好的。除了能夠實現原來VPN點對點方式之外，還能夠對用戶身份安全，設備安全，應用安全，包括目標控制等等做到非常細的顆粒度的管理和控制，取得的效果也非常明顯。

在騰訊內部，我們采用的是用戶自主選擇的方式，你可以選擇保留原來VPN的方式，也可以選擇新的無邊界控制方式接入企業內網。從實際數據來看，公司有70%的員工都自主選擇了新的無邊界方式進入到公司內網，驗證效率和驗證速度都提高很多，驗證效率提高70%，速度至少提升7倍以上。70%VPN沒有很好滿足的問題比如速度慢，出口不斷跳變等問題都得到了明顯的改善。?無邊界訪問控制-多維度訪問控制

無邊界控制方案比傳統邊界網絡架構更優的體現還在于，傳統邊界防御體系利用防火墻控制目標源，但這樣的做法在復雜的網絡中、尤其是彈性的企業資源池里對原IP、目的IP的安全是難以維護的。而通過我們無邊界控制方案能夠做到什么呢？可以根據用戶身份，不論是銷售人員，還是研發人員，還是某個業務人員，都能夠根據你機器的狀態，甚至針對某個進程，來判斷你的訪問到底是有風險還是無風險的。譬如企業中Xshell的問題，某個運維工具出現了供應鏈投毒或供應鏈風險，抑或者工具存在低版本漏洞，這時候你就可以指定某些固定的、沒有風險的或被允許的進程才能夠訪問業務系統和生產系統，來保持業務系統和生產系統的安全性。

我們再來看下騰訊無邊界網絡在云上業務和云下業務的具體訪問控制場景：

基于身份控制，可根據開發人員和業務屬性設立源和目標，包括可信應用的定制和可信進程的管理。
基于目標控制，運維系統可以被指定的某幾個進程訪問，內部的OA站點設置了某些瀏覽器的某些版本，這是經過安全人員的測試，沒有風險的，就可以通過無邊界網絡訪問到業務系統中。
基于狀態控制，如因為互聯網公司開放度比較高，可能為了方便在機器上裝不安全的代理軟件，這些代理軟件通過另外一臺機器可以通過代理軟件進行PC透傳，有風險有漏洞的進程會被無邊界訪問控制系統阻攔掉，無法通過無邊界網絡訪問生產系統或者核心業務系統。?無邊界網絡訪問控制體系-應用規模

騰訊無邊界網絡自從2016年開始著手構建，差不多3年時間在內部基本完成了整個基礎架構的變化。現在整個騰訊規模是100多個職場，服務60000正式員工，10萬多臺終端，整個無邊界系統在SOC中形成800億的數據，這800億數據會通過各種入侵監測規則、信息泄露規則、風險評估模型等在整個SOC里運轉。

多行業落地實施
我們已將此業務實踐凝結成為企業無邊界訪問控制產品方案提供給騰訊云幫助行業落地，在實施中，既保障了企業員工使用體驗，又有效提升了安全運營效率，大家的反饋和評價還是很好的。同時，由我方牽頭的“零信任安全技術-參考框架” CCSA行業標準也在本月成功立項，代表著騰訊零信任安全技術已達到指導性行業標準水平。
?以上就是今天的分享，感謝大家！?附記：2010年，研究機構Forrester提出“零信任網絡模型”。2014年，谷歌推出BeyondCorp項目。2016年，騰訊在國內率先落地零信任網絡架構。2019年，騰訊“零信任安全技術-參考框架”獲CCSA行業標準立項。?

總結

以上是生活随笔為你收集整理的CSS干货直击：腾讯无边界访问控制体系建设的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。