騰訊企業IT部蔡晨：從有界到無界，新一代企業安全防禦之道

現在APT非常普遍，這兩年攻擊手段發展也非常迅速，其實黑客有很多APT攻擊以員工做突破點，比如常規郵件、投毒、社工、USB等等裝置，主機淪陷在APT這塊是經常的突破口。儘管內網劃分了很多邊界，但一旦被入侵打破安全邊界後，黑客可能就會輕易摸到應用伺服器。

剛才講的三點，其實是說我們應該去思考新的企業模式，如何能讓效率變得更好，讓安全性變得更強。經過探索，騰訊在2017年和2018年實踐了新一代的企業網。

騰訊新一代企業網，一方面在安全上要足以應對APT的攻擊，更易於管理；另一方面，儘管我們的場景和工作模式複雜，但對使用者的介面要足夠簡單，不需要他們記憶，更加便於工作，兼具安全和效率。

這套方法的核心思想是把傳統的安全防火牆和邊界拆掉，而無邊界安全的理念是保證終端足夠安全，其實是把安全顆粒度下發到了終端，要保證網路通道是足夠安全，所以需要可信的裝置、可信的人、可信的應用才能穿越通道。在應用這一側，也只接收可信的裝置、終端和應用程式傳送過來的流量，這就是大概的邏輯。

如果我們能夠做到這幾點，其實傳統的網路隔離問題和網路邊界劃分都不再是問題。這樣的模式不但能夠在企業內部簡化網路，而且能適應於未來大規模的業務上雲，以及把開發測試環境上雲，甚至把企業很多內網資源放到雲上。

第一點，拆大牆，建小牆，將顆粒度下沉到裝置。

以前我們是把終端裝置劃分為不同安全等級的網路，現在這個網路基本都被抹平，所有安全的策略、管理和加固都下沉到裝置。好處是以前員工在不同角色和機器中有許可權劃分，現在機器一樣，網路許可權一樣，在家裡甚至都不需要VPN了。

因為VPN的遠端裝置是不可信裝置，需要啟用認證身份、安全加密通道，把所有的流量通過VPN返回到企業內部。如果我們保證終端和通道安全，這套體系就完全替代傳統VPN。員工在公司職場內和職場外都是一樣的訪問和體驗模式。

第二點，剛才講了使用者可信、裝置可信、應用可信。怎麼做終端裝置的可信？

其實就有兩個關鍵因素：

第一，這個人是不是我們的員工，如何驗證他？

第二，裝置是否受保護，狀態是否足夠乾淨和健康。

首先說人的因素，在終端裝置上我們強調雙因子認證，有Token認證身份，確保是我們的員工。包括還有類似微信、QQ彈窗認證的多因子確認身份的輔助手段。一旦身份認證成功，會把身份從客戶端傳到辦公系統應用認證的後臺。一旦員工完成一次的身份認證，所有的有效性身份在內網、OA登入、以及跳板機登入場景或資料讀取場景中，整個過程是滲透式的安全身份傳遞。

如何保證終端一定安全，是可信的終端？以前很多防毒軟體或者是安全檢測的規則其實都只做到檔案級，大部分檢查檔案特徵值，會檢查PE的頭和MD5，安實際我們與APT不斷對抗的過程中發現，檔案級安全檢測對高階APT樣本及職業黑客團隊來說做的還不夠。我們發現的樣本中，很多利用的是高階隱藏技術，包括純記憶體駐留方式，還有通過DNS或高階別隱藏式網路通道的上載方式。

所以要求終端可信這部分除了常規作業系統外，還要對記憶體進行加固，對程式進行深度檢測，檢測級別需要下沉到API。因為一旦記憶體常駐留，對檔案級的監控和檢測不是特別有效。包括網路層，也要下沉到協議級別，去看加密流量負載的情況。在這個地方我們做了大量工作，讓客戶端的資料看安全資料更深，對APT類的檢測和防禦更加有效，包括端上要足夠安全。

大量資料如果都留在客戶端處理，其實效能消耗非常大，員工體驗也不是特別好，機器佔用的CPU和記憶體都比較高。我們採用的做法是把大量要分析的資料全部拋到雲上的系統，客戶端只做兩個傳統的基本事情：一個是接收雲端下發的指令進行策略執行，一個是把需要上拋的資料進行上報，形成輕客戶端和雲上“胖資料”的模式，所有的資料都在雲上的系統檢測，效果會比較好，效率高，CPU佔用率低，事件報警和分析的速度也會非常快，安全人員在有問題的時候可以及時快速介入。

除了有可信的人、可信的終端之外，端上可信還有一點。我們知道傳統企業內網的網路層基本是通的，意味著敏感資源、伺服器資源的所有流量都可以觸達。那麼對黑客而言有如下幾種方式利用：

  第一，自己偽造程式，這個程式可以直接訪問到應用資源。

  第二，注入到系統程式裡，利用偽裝系統的模組和API，訪問應用資源。

  第三，注入正常程式及常用軟體和工具程式中。

這時候對我們而言的一點就是，如何讓我們信任的應用通過通道？剛才我講的幾種黑客的方式，需要安全團隊對抗的應用是無窮無盡的。舉個例子，一個人辦公機上的程式是上千量級，如果要做一萬臺機器，會發現一萬個人有一萬個哈姆雷特，這裡面的程式都是十幾萬的量級。

這個應用程式的數量非常大，包括版本不同程式的MD5就不同。這個時候安全人員需要分析和對抗的量很大，在這種無邊界專案中探索的是，有沒有可能把企業內部的應用進行簡化和梳理，其實只需要把正常工作的程式和程式流量變得可信，這部分的程式和流量能穿越我們的安全通道。所以這時候就把與那些無窮無盡的程式對抗和檢測的事，變成了十幾個甚至二十個程式保護的問題。

所以我們把如何讓程式變得可信進行了梳理，在程式的流量里加入可信標籤，去加入相應的票據，然後拿到票據和安全可信標籤的流量，才能通過我們的安全閘道器。

剛才講到可信裝置、可信人，不只是在企業內部，有可能在全球任何一個角落進行工作。通過這個安全閘道器，他會問這是不是騰訊員工的機器？這臺機器是否安全可信？機器上的應用程式是否已授權？應用程式每一個包是否含有合法標籤、合法票據？如果這些條件都符合，智慧閘道器會把流量拋向業務伺服器及內網業務伺服器資源，從而達到無邊界效果。

通過這種方式，在智慧閘道器和後臺上，不需要讓每一個應用都改變，比如應用是否足夠健壯、應用流量是否加密、是否對應用進行合法身份的健全。如果我們在企業內部這個工作是難以推動的，應用改造的成本也非常大。通過智慧閘道器及終端安全iOA的協同配合，可以解決統一企業內部的可信端和可信流量，進行安全資料傳遞和安全訪問。

在騰訊而言，無邊界網路基本就是用一張企業網簡化了原來很多張網的複雜的網路劃分，也簡化了網路介面，把傳統的防火牆和網路邊界拆掉，把安全邊界下沉到主機上，讓主機變得可信；主機終端儘可能讓監控更深，在雲端完成分析工作，進行雲管雲控；這樣效率和安全上都有很大的提升，員工如今在一張網上就可以做所有的工作。

剛剛的理念，跟谷歌的無邊界概念比較像，但實際差異比較大，他們是以安全閘道器為核心的，而我們在此基礎上，更加強了在終端上可信通道和可信應用的概念。

在實際操作過程中，有一些比較底層的資料需要打通。比如網路資料、主機資料，只有IT部門把這些資料全部融合到企業的基礎資訊庫裡，剛才講到的端識別、人識別包括應用識別才有可能實現。如果沒有基礎網路資料和主機資料，其實在實現無邊界網路的時候，會碰到各種各樣的問題。

這是谷歌2014年的論文，我們在此基礎上做了騰訊版本的探索與實踐。

這是我今天分享的內容，謝謝大家。

原文連結：https://mp.weixin.qq.com/s/-xCxRre9yOgGomoXiZBxjw