騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

騰訊技術工程發表於2018-10-26

騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


北京時間10月10日至10月11日,由騰訊安全發起,騰訊安全科恩實驗室與騰訊安全平臺部聯合主辦,騰訊安全學院協辦的2018騰訊安全國際技術峰會(TenSec2018)在深圳成功舉辦。

作為企業安全團隊的代表,騰訊企業IT部安全運營中心總監蔡晨受邀出席,分享”從有界到無界 騰訊新一代企業安全防禦之道”。雲端計算、大資料、人工智慧等新技術在掀起數字化轉型浪潮的同時,也改變了傳統的網路邊界,帶來了全新的威脅風險。騰訊是如何快速響應市場趨勢變化,完成零信任安全實踐,成為中國第一家無邊界企業的?

以下是蔡晨在峰會現場的演講全文。

騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


網路邊界防護存在的挑戰

大家早上好!非常高興受邀有機會跟大家分享騰訊企業IT在雲的背景下怎麼做無邊界的網路安全。

其實早在2014年,我們就已經開始探索企業傳統安全模式會有什麼樣的發展趨勢,什麼樣的新企業安全網路邊界或網路模式更適應未來雲上的方式?當時谷歌提出了無邊界理念,我們也參考這個理念做了一些實踐和嘗試。

我們先來看看企業內網傳統邊界防禦模式下的安全問題,一起來探討下為什麼會帶來這些問題。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

騰訊目前有六大BG(事業群),每個BG基本都在幾千甚至上萬人的規模。每個BG裡有形形色色的業務:Web類、客戶端類、手機類、AI類等等,這些業務非常複雜,要求IT在支援這些業務上劃分很多的安全邊界。

因為這些業務的安全等級差異比較大,對安全性的要求或對資訊的保護要求差異也比較大。在企業內部,有從桌面到隔離完再到運營區,有很多的安全區域存在,傳統方式以安全邊界或安全防火牆、主機防火牆為隔離邊界,導致在網路控制,安全策略管理上的問題難以管理。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

員工在工作的時候,希望通過一臺PC或筆記本、一臺手機,在一個網路裡既可以日常辦公,又可以上網查資訊,還能開發、測試和運維。員工的理想模式是這樣的,但實際在複雜的業務模式下,那麼多的安全邊界限制對員工而言效率通常不會太高,這個是效率與安全方面的巨大挑戰。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

公司內部的終端有windows、Mac OS、Linux、IOS,開發模式又有AI、大資料訓練、分散式編譯等等,這些分佈非常複雜。區域劃分越多,管理效率越低,顆粒度越細,安全方面仍然存在問題和風險。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


現在APT非常普遍,這兩年攻擊手段發展也非常迅速,其實黑客有很多APT攻擊以員工做突破點,比如常規郵件、投毒、社工、USB等等裝置,主機淪陷在APT這塊是經常的突破口。儘管內網劃分了很多邊界,但一旦被入侵打破安全邊界後,黑客可能就會輕易摸到應用伺服器。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


剛才講的三點,其實是說我們應該去思考新的企業模式,如何能讓效率變得更好,讓安全性變得更強。經過探索,騰訊在2017年和2018年實踐了新一代的企業網。

騰訊新一代企業網

騰訊新一代企業網,一方面在安全上要足以應對APT的攻擊,更易於管理;另一方面,儘管我們的場景和工作模式複雜,但對使用者的介面要足夠簡單,不需要他們記憶,更加便於工作,兼具安全和效率。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


這套方法的核心思想是把傳統的安全防火牆和邊界拆掉,而無邊界安全的理念是保證終端足夠安全,其實是把安全顆粒度下發到了終端,要保證網路通道是足夠安全,所以需要可信的裝置、可信的人、可信的應用才能穿越通道。在應用這一側,也只接收可信的裝置、終端和應用程式傳送過來的流量,這就是大概的邏輯。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


如果我們能夠做到這幾點,其實傳統的網路隔離問題和網路邊界劃分都不再是問題。這樣的模式不但能夠在企業內部簡化網路,而且能適應於未來大規模的業務上雲,以及把開發測試環境上雲,甚至把企業很多內網資源放到雲上。


第一點,拆大牆,建小牆,將顆粒度下沉到裝置。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


以前我們是把終端裝置劃分為不同安全等級的網路,現在這個網路基本都被抹平,所有安全的策略、管理和加固都下沉到裝置。好處是以前員工在不同角色和機器中有許可權劃分,現在機器一樣,網路許可權一樣,在家裡甚至都不需要VPN了。

因為VPN的遠端裝置是不可信裝置,需要啟用認證身份、安全加密通道,把所有的流量通過VPN返回到企業內部。如果我們保證終端和通道安全,這套體系就完全替代傳統VPN。員工在公司職場內和職場外都是一樣的訪問和體驗模式。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


第二點,剛才講了使用者可信、裝置可信、應用可信。怎麼做終端裝置的可信?

其實就有兩個關鍵因素:

第一,這個人是不是我們的員工,如何驗證他?

第二,裝置是否受保護,狀態是否足夠乾淨和健康。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


首先說人的因素,在終端裝置上我們強調雙因子認證,有Token認證身份,確保是我們的員工。包括還有類似微信、QQ彈窗認證的多因子確認身份的輔助手段。一旦身份認證成功,會把身份從客戶端傳到辦公系統應用認證的後臺。一旦員工完成一次的身份認證,所有的有效性身份在內網、OA登入、以及跳板機登入場景或資料讀取場景中,整個過程是滲透式的安全身份傳遞。

如何保證終端一定安全,是可信的終端?以前很多防毒軟體或者是安全檢測的規則其實都只做到檔案級,大部分檢查檔案特徵值,會檢查PE的頭和MD5,安實際我們與APT不斷對抗的過程中發現,檔案級安全檢測對高階APT樣本及職業黑客團隊來說做的還不夠。我們發現的樣本中,很多利用的是高階隱藏技術,包括純記憶體駐留方式,還有通過DNS或高階別隱藏式網路通道的上載方式。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


所以要求終端可信這部分除了常規作業系統外,還要對記憶體進行加固,對程式進行深度檢測,檢測級別需要下沉到API。因為一旦記憶體常駐留,對檔案級的監控和檢測不是特別有效。包括網路層,也要下沉到協議級別,去看加密流量負載的情況。在這個地方我們做了大量工作,讓客戶端的資料看安全資料更深,對APT類的檢測和防禦更加有效,包括端上要足夠安全。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道


大量資料如果都留在客戶端處理,其實效能消耗非常大,員工體驗也不是特別好,機器佔用的CPU和記憶體都比較高。我們採用的做法是把大量要分析的資料全部拋到雲上的系統,客戶端只做兩個傳統的基本事情:一個是接收雲端下發的指令進行策略執行,一個是把需要上拋的資料進行上報,形成輕客戶端和雲上“胖資料”的模式,所有的資料都在雲上的系統檢測,效果會比較好,效率高,CPU佔用率低,事件報警和分析的速度也會非常快,安全人員在有問題的時候可以及時快速介入。


騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

除了有可信的人、可信的終端之外,端上可信還有一點。我們知道傳統企業內網的網路層基本是通的,意味著敏感資源、伺服器資源的所有流量都可以觸達。那麼對黑客而言有如下幾種方式利用:

  第一,自己偽造程式,這個程式可以直接訪問到應用資源。

  第二,注入到系統程式裡,利用偽裝系統的模組和API,訪問應用資源。

  第三,注入正常程式及常用軟體和工具程式中。

這時候對我們而言的一點就是,如何讓我們信任的應用通過通道?剛才我講的幾種黑客的方式,需要安全團隊對抗的應用是無窮無盡的。舉個例子,一個人辦公機上的程式是上千量級,如果要做一萬臺機器,會發現一萬個人有一萬個哈姆雷特,這裡面的程式都是十幾萬的量級。

騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

這個應用程式的數量非常大,包括版本不同程式的MD5就不同。這個時候安全人員需要分析和對抗的量很大,在這種無邊界專案中探索的是,有沒有可能把企業內部的應用進行簡化和梳理,其實只需要把正常工作的程式和程式流量變得可信,這部分的程式和流量能穿越我們的安全通道。所以這時候就把與那些無窮無盡的程式對抗和檢測的事,變成了十幾個甚至二十個程式保護的問題。

所以我們把如何讓程式變得可信進行了梳理,在程式的流量里加入可信標籤,去加入相應的票據,然後拿到票據和安全可信標籤的流量,才能通過我們的安全閘道器。

騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

第三點,安全閘道器問題。

剛才講到可信裝置、可信人,不只是在企業內部,有可能在全球任何一個角落進行工作。通過這個安全閘道器,他會問這是不是騰訊員工的機器?這臺機器是否安全可信?機器上的應用程式是否已授權?應用程式每一個包是否含有合法標籤、合法票據?如果這些條件都符合,智慧閘道器會把流量拋向業務伺服器及內網業務伺服器資源,從而達到無邊界效果。

騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

  騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

通過這種方式,在智慧閘道器和後臺上,不需要讓每一個應用都改變,比如應用是否足夠健壯、應用流量是否加密、是否對應用進行合法身份的健全。如果我們在企業內部這個工作是難以推動的,應用改造的成本也非常大。通過智慧閘道器及終端安全iOA的協同配合,可以解決統一企業內部的可信端和可信流量,進行安全資料傳遞和安全訪問。

騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

一些實踐建議

在騰訊而言,無邊界網路基本就是用一張企業網簡化了原來很多張網的複雜的網路劃分,也簡化了網路介面,把傳統的防火牆和網路邊界拆掉,把安全邊界下沉到主機上,讓主機變得可信;主機終端儘可能讓監控更深,在雲端完成分析工作,進行雲管雲控;這樣效率和安全上都有很大的提升,員工如今在一張網上就可以做所有的工作。

剛剛的理念,跟谷歌的無邊界概念比較像,但實際差異比較大,他們是以安全閘道器為核心的,而我們在此基礎上,更加強了在終端上可信通道和可信應用的概念。

騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

在實際操作過程中,有一些比較底層的資料需要打通。比如網路資料、主機資料,只有IT部門把這些資料全部融合到企業的基礎資訊庫裡,剛才講到的端識別、人識別包括應用識別才有可能實現。如果沒有基礎網路資料和主機資料,其實在實現無邊界網路的時候,會碰到各種各樣的問題。

騰訊企業IT部蔡晨:從有界到無界,新一代企業安全防禦之道

這是谷歌2014年的論文,我們在此基礎上做了騰訊版本的探索與實踐。

這是我今天分享的內容,謝謝大家。

原文連結:https://mp.weixin.qq.com/s/-xCxRre9yOgGomoXiZBxjw

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559354/viewspace-2217638/,如需轉載,請註明出處,否則將追究法律責任。

相關文章