騰訊安全釋出《零信任解決方案白皮書》

騰訊安全發表於2020-06-01

不久前,騰訊安全釋出「企業級零信任能力圖譜」,受到業內人士的廣泛關注。圖譜從客戶視角出發,結合相關零信任標準和國內外零信任最佳實踐,針對企業使用者如何構建零信任體系,提供具體的能力清單和指導框架,匯聚成通用性的零信任安全能力譜圖,旨在幫助企業進行安全能力轉型和升級。

此次,作為零信任能力圖譜的延續,騰訊安全正式釋出《零信任解決方案白皮書》,將核心能力聚合成解決方案、落地到關鍵元件,透過典型場景應用結合騰訊最佳實踐,幫助企業構建新一代零信任安全網路架構提供幫助。

騰訊安全釋出《零信任解決方案白皮書》

騰訊基於ZTA架構模型,參考谷歌ByondCorp最佳實踐,結合自身十多年來的網路安全管理實踐,形成了“騰訊零信任”的解決方案,於2016年在公司內部實踐。方案打破傳統基於網路區域的特權訪問方式,基於可信使用者、可信裝置和可信應用的訪問三要素驗證,對訪問主體授予最小訪問許可權,並對全鏈路訪問加密和監控保護。目前已經過6萬多員工的實踐驗證。新冠病毒疫情期間,很好解決了員工遠端辦公便捷性、穩定性和安全性問題。

以下是《騰訊零信任解決方案白皮書》全文:


1. 背景介紹

目前,絕大多數企業都還是採用傳統的網路分割槽和隔離的安全模型,用邊界防護裝置劃分出企業內網和外網,並以此構建企業安全體系。在傳統的安全體系下,內網使用者預設享有較高的網路許可權,而外網使用者如異地辦公員工、分支機構接入企業內網都需要透過VPN。不可否認傳統的網路安全架構在過去發揮了積極的作用,但是在高階網路攻擊肆虐,內部惡意事件頻發的今天,傳統的網路安全架構需要迭代升級。

同時,隨著雲端計算、大資料、物聯網、移動網際網路等技術的興起,加快了很多企業的戰略轉型升級,企業的業務架構和網路環境隨之發生了重大的變化。然而,傳統基於邊界防護的網路安全架構很難適應新環境,對於一些高階持續性威脅攻擊無法有效防禦,內網安全事故也頻頻發生。因此,傳統安全架構已不能滿足企業的數字化轉型需求。

一種基於“零信任框架模型”的網路安全架構由此誕生。最初的零信任框架模型是由著名研究機構Forrester的首席分析師John Kindervag在2010年提出的,並在Google的BeyondCorp專案中得到了應用。Google是業界第一個將零信任架構模型落地實踐的公司,ByondCorp專案對外部公共網路和本地網路的裝置在預設情況下都不會授予任何特權,使用者無論在哪裡,無論什麼時間,只有使用透過受控裝置、透過身份認證,且符合“訪問控制引擎”中的策略要求,透過專用訪問代理才能訪問特定的公司內部資源。

零信任的核心思想可以概括為:網路邊界內外的任何訪問主體(人/裝置/應用),在未經過驗證前都不予信任,需要基於持續的驗證和授權建立動態訪問信任,其本質是以身份為中心進行訪問控制。

騰訊基於ZTA架構模型,參考谷歌ByondCorp最佳實踐,結合自身十多年來的網路安全管理實踐,形成了”騰訊零信任“的解決方案,於2016年在公司內部實踐,該專案打破傳統基於網路區域的特權訪問方式,基於可信使用者、可信裝置和可信應用的可信身份三要素驗證,對訪問主體授予最小訪問許可權,並對全鏈路訪問加密和監控。目前已經過6萬多員工的實踐驗證。新冠病毒疫情期間,很好解決了員工遠端辦公便捷性、穩定性和安全性問題。

在零信任標準制定方面,騰訊基於在零信任的技術積累和實踐經驗,在業界率先發起零信任技術標準的研製工作。在國內,2019年7月,騰訊聯合CNCERT、奇虎科技、資料通訊科學技術研究所、中國行動通訊集團設計院、奇安信、天融信、上海觀安、恆安嘉新、深信服、北京微智信業、西安郵電大學等產學研機構,發起《零信任安全技術參考框架》行業標準立項,推進國內的零信任標準研製工作。在國外,2019年9月,在瑞士日內瓦舉辦的ITU-T(國際電信聯盟通訊標準化組織) SG17安全研究組全體會議上,由騰訊、CNCERT、中國移動主導的“服務訪問過程持續保護參考框架”國際標準成功立項。該框架提供有關持續身份安全和訪問控制管理的標準化指導,成為國際標準組織中首個零信任安全相關的技術標準,表明中國力量在國際網路安全領域逐步在增強技術領導力和話語權,對推動零信任安全技術在全球範圍規模商用的程式,加快零信任技術和服務快速發展與普及具有重要深遠的意義。2020年3月,“服務訪問過程持續保護參考框架”國際標準草案正式提交ITU-T,也在SG17安全研究組全體會議中得到普遍認可並獲透過,後續將聯動國內外相關機構持續推動。

騰訊安全釋出《零信任解決方案白皮書》

產業網際網路時代正面臨前所未有的安全挑戰。市場亟需新一代安全技術標準的指導準則和參考框架,騰訊將與各方合作伙伴一起,攜手推動零信任安全技術標準建設和技術應用落地,為使用者新一代網路安全體系構建、為全球網路安全的健康發展做出貢獻。


2. 核心能力

騰訊安全釋出《零信任解決方案白皮書》
(騰訊安全零信任能力圖譜)

騰訊安全零信任能力圖譜包含五大能力:可信識別能力是零信任的基礎能力,包括使用者可信識別、受控裝置可信識別和受控應用可信識別。透過可信的使用者在可信的受控裝置上使用可信的應用,對受保護資源進行可信的訪問。在此能力基礎上,依託持續信任評估能力,對訪問主體的整個訪問過程進行監控分析,對使用者、受控裝置和應用的可信度進行持續的信任評估,根據評估結果透過無邊界應用訪問控制能力無邊界網路訪問控制能力進行動態的許可權控制,並透過安全視覺化能力將訪問流量、路徑和效果等直觀呈現,為企業安全運營提供有力的決策支撐。


  • 可信識別能力

零信任架構體系下,基於數字身份,實現使用者的可信識別,完成身份認證和單點登入。實現受控裝置可信識別,完成受控裝置的合規和安全管理。實現應用的可信識別,實現應用和程式的黑白名單管理。最終形成一整套零信任可信識別能力,保證合法的使用者基於合法的受控制終端透過合法的應用和程式,發起對客體合法的訪問。

  • 無邊界的訪問控制能力

零信任架構下基於身份而非網路位置來構建訪問控制體系,即無邊界的訪問控制。將控制平面和資料平面解耦,透過控制平面接收來自動態信任評估的使用者信任評估和裝置風險評估結果,設定訪問控制策略並下發到資料平面策略執行點執行訪問控制策略。

透過零信任架構中的無邊界訪問控制能力構建核心業務資產保護屏障。將核心業務資產暴露面隱藏,保證核心資產對未經認證的訪問主體不可見。只有訪問許可權和訪問信任等級符合要求的訪問主體才被允許對業務資產進行訪問。透過對訪問主體的逐層訪問控制,不僅滿足動態授權最小化原則,同時可以抵禦攻擊鏈各階段攻擊威脅。

  • 持續信任評估能力

在零信任架構下,持續信任評估能力是可信識別能力和訪問控制能力的重要輸入。透過對訪問主體的持續信任評估,實現對訪問主體的訪問許可權動態調整和訪問身份認證動態調整。

訪問主體信任評估包括對使用者訪問上下文行為分析的信任評估,對受控裝置和訪問閘道器基於環境因素的風險評估,透過信任評估模型和演算法,實現基於身份的持續信任評估能力,識別異常訪問行為和風險訪問環境,並對信任評估結果進行調整,為動態訪問控制提供有效輸入。

  • 安全視覺化能力

透過視覺化技術將訪問路徑、訪問流量、使用者異常訪問行為直觀展示,也可以將線上裝置狀態、統計情況、策略執行情況、執行路徑等視覺化呈現,幫助安全運營人員更為直觀、更為全面的瞭解訪問主體的安全狀態和行為,從而更快速、更精準的找到風險點,觸發安全響應,支撐安全決策。


3. 方案概述

騰訊零信任解決方案,充分利用五大安全能力,構建基於可信使用者、可信裝置和可信應用的訪問主體,並對其訪問行為進行持續信任評估和動態授權,以達到無邊界的最小許可權訪問控制。

身份可信作為“零信任”架構的第一關,包括使用者可信、裝置可信和應用可信。有多種認證方式來確保使用者可信:如企業微信掃碼、token雙因子認證、生物認證等。使用者身份可與企業本地身份、域身份以及自定義帳號體系靈活適配。在使用者體驗上,透過應用系統單點登入(SSO),讓應用使用更加便捷。裝置可信則透過對裝置進行合規管理、病毒查殺、安全加固和裝置認證來實現。應用可信透過對應用和程式識別、黑白名單管理、遠端分發和應用白名單發起來確保。

無邊界動態訪問控制是零信任架構的戰略指揮核心,訪問主體的訪問鑑權依賴動態信任評估結果,且信任評估是持續的,伴隨整個訪問過程。一旦訪問過程發生行為異常或環境異常,動態自動調整訪問許可權,保證業務訪問的最小許可權。訪問控制策略可透過受控終端代理和訪問閘道器雙向執行。受控終端訪問控制策略直接控制終端發起的應用程式,訪問閘道器根據訪問控制策略對訪問流量進行二次校驗,確保人-應用-訪問目標合法,確保訪問主體行為合法。

為了保證訪問鏈路安全,採用獨有的訪問鏈路加密/解密閘道器,可針對裝置指定WEB或應用程式流量層層加密,對不穩定網路做網路傳輸協議最佳化。同時,透過鏈路加速解決訪問速度的問題。並且支援訪問控制管理、單連結請求授權,及時阻斷違規訪問與網路風險。

透過零信任解決方案,為使用者打造基於可信身份的無邊界動態訪問控制閉環,為企業構建全方位、一站式的零信任安全體系,為企業業務安全和業務上雲提供安全保障。


4. 關鍵元件

騰訊零信任解決方案提供零信任架構中無邊界可信訪問的核心能力,為企業構建基於零信任的新一代安全架構。

關鍵元件包括:終端訪問代理、可信識別、動態信任評估引擎、訪問控制引擎和訪問閘道器。

騰訊安全釋出《零信任解決方案白皮書》
(關鍵元件結構圖)

4.1 終端訪問代理

終端訪問代理是部署於受控裝置的發起安全訪問的終端代理,負責訪問主體可信身份驗證的請求發起,驗證身份可信,即可與訪問閘道器建立加密的訪問連線,同時也是訪問控制的策略執行點。

終端訪問代理部署於受控裝置,訪問主體發起訪問時,需要校驗主體身份狀態是否可信、身份訪問的目標資源是否有許可權。同時檢查發起訪問的應用是否是可信應用,透過可信識別校驗的訪問主體授權建立對應的加密連線,並將相應的網路連線資料傳送到訪問閘道器。訪問主體發起訪問時建立人身份-應用-目標業務系統的組合策略控制,為了保障低風險訪問,進行流量過濾,大大減少訪問閘道器的訪問流量壓力。

4.2 可信識別

零信任架構體系下的可信識別包括使用者可信識別、受控裝置可信識別和受控應用可信識別。透過可信識別模組對使用者進行多因子身份認證(MFA)並驗證該使用者名稱下受控裝置和受控應用的安全性和可信度,認證透過之後,自動評估訪問主體的初始信任等級並根據等級進行授權。

使用者可信識別提供使用者全生命週期的身份管理和多因素身份認證能力。針對使用者/使用者組制定網路訪問許可權策略。在裝置接入前,對使用者進行業務許可權的授權,非授權的業務資源完全不可見,做到最小特權的需求。在裝置接入後,持續驗證所有使用者的身份,提供包括企業微信掃碼、LDAP認證、域身份、Token 雙因子認證在內的多種身份驗證方式。透過身份可信識別能力實現合法的使用者使用合法的終端,使用合法的應用對被保護資產進行合法的訪問。

受控裝置可信識別支援病毒查殺、漏洞修復、安全加固、合規檢測、資料保護、EDR等全方位的終端管控功能模組。其中,病毒查殺採用了新一代的AI動態防毒引擎,海量樣本可實時發現最威脅;EDR入侵檢測基於騰訊多年來成熟的實戰經驗,透過雲端聯動最新威脅情報,定時推送預警檢測模型及專家策略,秒級發現入侵隱患,為使用者及時應對熱點安全事件提供決策支援。在裝置接入內網之前以及接入執行後,iOA持續檢查裝置安全狀態,更好地透視與管控企業內網環境,限制任何不符合安全要求的裝置對企業網路的訪問。

受控應用可信識別支援細粒度識別應用和程式,包括名稱/版本/程名/MD5/Hash/簽名。支援遠端下發程式黑名單,阻止惡意程式在終端中執行。對訪問發起方採用白名單模式,發現惡意程式即攔截訪問,無法建立連線和接入,同時針對企業指定軟體,支援遠端強制解除安裝或分發。

4.3 動態信任評估引擎

動態信任評估引擎是零信任整體架構的策略指揮中心,為訪問主體對核心業務資產的訪問鑑權提供信任評估依據,並將信任評估結果下發到訪問控制引擎,為訪問控制引擎基於動態信任評分授權提供依據。

動態信任評估引擎具有解析、評估、決策三部分能力:

騰訊安全釋出《零信任解決方案白皮書》
(動態信任評估引擎元件架構)

1)訪問解析

訪問解析旨在解析訪問主體對資源的訪問請求,從訪問請求中提取出涉及的使用者實體、裝置實體、資料資源、應用資源等資訊,並對訪問請求進行欄位標準化,轉化為信任引擎可以處理的格式。然後將這些實體、資源資訊傳遞給動態信任評估引擎和靜態信任評估引擎,進入信任評估。

2)信任評估

信任評估包括訪問評估引擎、持續信任評估引擎和靜態場景評估引擎。

訪問實體評估引擎:對所有的使用者和裝置等實體進行週期性的信任評估。系統按照一定週期,根據使用者和裝置的認證記錄、歷史行為記錄、當前各項屬性情況以及歷史的異常風險記錄,最終對實體進行綜合信任量化評分,輸出當前週期每個實體的信任級別。

動態信任評估引擎接收實體的資源訪問請求,對資源訪問請求進行信任評估。根據實體請求資源的行為特徵,結合上下文行為資訊,檢測當前實體行為的異常風險,並最終對實體行為進行信任量化評分,輸出當前實體訪問資源行為的信任級別。

靜態信任評估引擎為信任評估中重要的組成部分。靜態信任評估引擎根據確定的評估規則對請求中,較穩定的靜態屬性(如使用者身份、部門、崗位、許可權、賬號;裝置歸屬;資產權重;應用權重等)進行評估。靜態信任策略由於判斷規則明確,往往能較快完成評估動作,適用於明確的規則型判斷場景。

3)決策演算法

決策演算法以訪問實體評分作為訪問鑑權基線值,後續依賴動態信任評估引擎和靜態信任評估引擎,持續對訪問主體行為進行信任評估,並依據實時信任評分動態調整訪問授權範圍,以滿足最小授權原則。從某種意義上說,決策演算法是一種融合規則及評分的複合決策機制(criteria & score-based judging mechanism)。

依據多維決策點綜合對訪問主體的訪問授權進行決策,決策點包括訪問行為是否滿足訪問合規要求、基於上下文行為的信任評分、是否觸發安全事件場景,以及綜合訪問置信度等。透過綜合這些決策方式,訪問決策引擎給出當前實體訪問資源的最終信任結果。

4.4 訪問控制引擎

透過訪問控制引擎實現零信架構下的無邊界訪問控制能力,訪問控制引擎包含網路訪問接入、業務訪問鑑權、靜態訪問控制和動態訪問控制四大能力。

  • 網路訪問接入

訪問主體對被訪問資源發起訪問時,透過身份可信識別模組,對訪問請求進行預認證,認證透過之後,訪問終端才能夠與訪問閘道器建立網路連線,由閘道器代理可訪問的服務。

  • 業務訪問鑑權

訪問鑑權將根據接收到使用者身份、裝置狀況、信任等級和訪問請求等資訊,結合訪問控制策略為使用者每個請求建立加密訪問連結。比如,預設運維工程師只能使用特定裝置,透過特定客戶端訪問網路系統某個預設好的功能模組。

  • 靜態訪問控制引擎

所有訪問主體的訪問基於靜態合規類訪問條件鑑權,不滿足訪問控制策略的訪問即時觸發身份驗證、拒絕訪問或置信度動態調整等動作。

  • 動態訪問控制引擎

動態訪問控制策略:從動態訪問控制引擎中獲得動態評估結果,例如訪問主體評估分數,安全場景結果等。動態訪問控制策略主要基於動態評估結果提供基於上下文的資源訪問評分、基於安全場景決策或基於置信度訪問決策等能力。

4.5 訪問閘道器

訪問閘道器是無邊界網路訪問控制能力的策略執行點,訪問閘道器與動態訪問控制引擎、可信識別引擎聯動,基於訪問控制策略對訪問主體提供授權範圍內的訪問服務,而後建立加密連線,對異常訪問行為進行阻斷並對訪問主體動態調整授權範圍。訪問加密流量攜帶對應關鍵策略的資訊,在閘道器進行二次訪問控制鑑權校驗。訪問閘道器在確保連線合法性後,將加密流量還原為目標業務系統的原始流量進行轉發,保障原始業務系統訪問體驗不變,業務系統無需做開發改造。

訪問閘道器提供應用分層訪問代理、API介面代理、流量資料加密、應用單點登入和全流量應用操作記錄能力。

除此之外,訪問閘道器的另一個重要的能力是將業務系統網路隱身的能力,訪問閘道器為業務系統提供統一訪問入口,只有透過身份可信識別的訪問主體才可以與訪問閘道器建立訪問通路,並根據訪問控制策略對受保護業務資產發起訪問,原有主體終端到目標業務系統的物理網路策略無需提供。業務系統避免被暴露在終端所在的任意風險等級的網路,防禦攻擊效果直接,即使被入侵,也掃描不到企業資產,只能夠掃到閘道器入口,同時訪問主體必須符合訪問控制策略,才能對業務系統發起訪問。

訪問閘道器除了具備以上關鍵能力外,還具備流量控制、網路加速、Web動態水印、業務系統狀態監控等能力。

4.6 鏈路加速服務

全球辦公網路加速(Global Office Accelerator)透過部署全球1300+節點與智慧動態規劃最優加速路徑,結合訪問主體可信識別與訪問控制引擎,為企業搭建“無縫接入、鏈路高效、終端可靠、訪問可控”的辦公加速網路, 實現使用者在全球任意網路環境中高速、穩定、安全地訪問企業資料和協同辦公。

騰訊全球加速網路在中國境內部署1100餘處加速節點,擁有120T+儲備頻寬,覆蓋國內所有省份及自治區域,網路涵蓋三大運營商以及20多家主流中小型運營商,同時具備高規格、高安全性的自建機房;在境外區域部署了200餘處加速節點,擁有20T+儲備頻寬,網路範圍覆蓋50+個國家及地區,與AWS、Azure等國際雲建有Peer,並與全球 TOP10 的 CDN 廠商建立良好合作關係,建立跨境鏈路保證跨境資源加速質量,更有2700+ 合作節點可按需排程。

鏈路加速服務基於AI智慧排程優選節點,智慧分離動靜態資源,結合騰訊自研最優鏈路演算法及協議層最佳化技術,一鍵操作切換,即可實現全站加速。可支援各類主流、新型傳輸及應用協議網路加速,適用在任意應用場景下的不同協議間的融合傳輸。


5. 典型應用場景

零信任理念主要闡述了以動態訪問控制為核心的企業內部安全框架。同時,也提出了不以訪問終端裝置所在網路位置為安全評判標準的方法。

基於此方法,當零信任體系在企業進行應用時,它可以非常靈活的應對多種安全場景。

  • 無邊界辦公/運維場景

業務訪問的便捷性和安全性兼顧一直是企業數字化辦公的需求。部分企業為了提供更為便捷的業務訪問,將業務系統直接釋出在網際網路,極大的增加了業務安全風險;亦或是企業為了保證業務安全性,生產系統只能本地維護,一旦有故障發生,維護人員只能奔赴現場處理,響應速度大大降低。如何讓員工/運維人員不論在何時何地,無論使用何種辦公終端,無論對辦公應用訪問還是對生產業務維護,感知與本地操作一致,同時還能提升訪問安全性和穩定性,是企業數字化辦公的剛需。

在零信任安全網路架構下,預設網路無邊界,訪問人員無論在哪裡,使用任意終端,對內網辦公應用或是業務資源的訪問,都不需要使用VPN,同時更為多元的可信認證和更為精細的鑑權訪問控制,實現無邊界化安全辦公和運維。

騰訊安全釋出《零信任解決方案白皮書》
(無邊界辦公/運維場景圖)

  • 混合雲業務場景

隨著企業數字化轉型推動,企業業務系統分步上雲,這就造成了業務部署分散。業務系統可以部署於內網,也可以部署於公有云,甚至部署於多雲環境。對於這種複雜的業務部署場景,如何將這些業務系統統一管理,並保證業務在公有云上的訪問安全性是企業亟待解決的問題。

在零信任安全網路架構下,透過零信任訪問閘道器的隧道聯通技術,將分散在不同環境的業務系統統一管理,同時,利用閘道器將業務系統的真實IP、埠隱藏,保障了業務部署於任何環境下的訪問安全性,有效防禦資料洩露、資料丟失、DDoS攻擊、APT攻擊等安全威脅。同時,訪問策略從以IP為中心轉變為以以身份為中心,訪問鑑權不隨策略的頻繁變更而變更。同時,跨過混合雲網路間的邊界隔離,可以讓使用者靈活便捷且更為安全的訪問處於不同雲上的業務系統。

騰訊安全釋出《零信任解決方案白皮書》
(混合雲業務場景圖)

  • 分支安全接入場景

企業分支/門店有接入總部、訪問總部業務或者跟總部業務之間有資料交換的需求場景,會面臨接入點種類數量多,攻擊面廣;業務型別多,訪問協議多樣;專線部署成本高,VPN安全性和穩定性不能保證等問題。

零信任解決方案,具有靈活快速適配客戶訪問端和業務端多樣性的特點,同時保障訪問鏈路穩定性和安全性,為客戶帶來降本增效的價值。

騰訊安全釋出《零信任解決方案白皮書》
(分支安全接入場景圖)

  • 應用資料安全呼叫場景

隨著企業數字化開放,外部應用對企業業務資料有介面呼叫需求,然而,在應用資料呼叫場景下,介面開放混亂,呼叫過程中缺失身份鑑權和許可權驗證的安全驗證手段。

應用資料安全呼叫場景適配多樣化的介面,將介面統一呼叫,當業務應用需要呼叫已註冊的服務能力時,需要在簽名中包含呼叫方自身的ID和Token資訊,閘道器進行身份鑑權和許可權驗證。在應用資料呼叫過程中,動態信任評估引擎對外部訪問應用進行信任評估,並對呼叫行為進行識別,透過訪問控制引擎進行動態訪問控制。

騰訊安全釋出《零信任解決方案白皮書》
(應用資料安全呼叫場景)

  • 統一身份與業務集中管控場景

在傳統的企業IT架構中,業務系統管理分散,需要花費更高成本進行安全管理和運維,手動的管理方式效率低且易導致資訊洩露,並且存在難以審計的問題。如何靈活高效將業務系統集中管控是企業在安全運營過程中的一大訴求。

新一代基於零信任安全的統一身份管控解決方案,透過統一認證、統一身份管理、集中許可權管理、集中業務管控、全面審計能力,幫助企業實現安全性與便利性的統一,從而確保企業業務的安全訪問。方案將身份的外延擴充套件到包含人、裝置、應用,在基於角色授權框架的基礎上,結合上下文感知資訊(IP、地理位置、接入網路、時間、裝置安全狀態等),實現自適應的訪問控制。同時,方案結合風控領域的積累(知識圖譜、對等組分析等能力),實現對於整體人、裝置、訪問風險的集中審計和智慧評估,讓安全可識可視。方案透過業務管控可以將業務系統應用、API應用、微服務等應用集中管理。

騰訊安全釋出《零信任解決方案白皮書》
(統一身份與業務集中管控場景圖)

  • 全球鏈路加速訪問場景

在無邊界的遠端辦公/運維場景下,使用者遠端辦公/運維會遇到跨運營商訪問、偏遠地區訪問、跨國訪問等問題,並且發起訪問的主體可以在任意網路,如何保障這些場景下的使用者訪問體驗,是新一代零信任網路需要解決的一個重要問題。

為了保證以上遠端訪問場景下的使用者體驗,遠端連線採用短連線方式,每個訪問連線帶有鑑權資訊,避免鏈路斷開重新認證,同時我們在方案中引入全球性網路接入的加速能力,透過動態探測智慧路由選擇最佳路徑,弱網路(小運營商、高峰期),依然可以穩定通訊,避免出現資料訪問中斷的情況,大幅提升遠端訪問體驗和業務可靠性。

騰訊安全釋出《零信任解決方案白皮書》
(全球鏈路加速訪問場景圖)


6. 騰訊最佳實踐

騰訊IT自主設計與研發,結合自身十多年來的網路安全管理實踐,形成了騰訊零信任安全管理系統(iOA),於2016年在公司內部實施,已經過6萬多員工的實踐驗證。2020年新冠疫情期間,支撐了全網員工的全尺寸工作,在滿足資訊互通、收發郵件、遠端會議、流程審批、專案管理等基本辦公需求基礎上,同時實現遠端無差別地訪問 OA 站點和內部系統、開發運維、登入跳板機等 。

設計目標上,可控制對企業公有云、私有云以及本地應用的訪問許可權,透過驗證使用者的身份、裝置的安全狀態來確定是否允許使用者訪問應用,確保對企業應用的可信訪問並降低企業資料洩露風險。無論員工位於何處、使用任何裝置都可以安全訪問企業的應用程式和資料。

  1. 設計原則上,延續了 ZTA 架構的理念和 BeyondCorp 的指導原則,並進一步細化為以下三大原則:
  2. 打破傳統基於區域的授信控制方式;
  3. 基於可信身份,可信裝置,可信應用三要素,授予訪問許可權;對每一個訪問企業資源的會話請求,都進行使用者身份驗證,裝置安全狀態,軟體應用安全狀態檢查和授權,全鏈路加密。

設計方案上,核心模組主要有,安全客戶端和智慧閘道器:

  1. 安全客戶端:安裝在員工工作裝置上的安全 Agent,負責確保裝置上的使用者可信身份,可信裝置,可信應用三要素;
  2. 智慧閘道器:部署在企業應用程式和資料資源的入口,負責每一個訪問企業資源的會話請求的驗證,授權和轉發;

除安全客戶端和智慧閘道器外,還需要多個後臺元件配合完成安全檢測和訪問控制,包括:

  • 策略控制引擎:對業務流量進行安全排程,按照人-裝置-軟體-應用顆粒度授權;
  • 身份驗證模組:對使用者身份進行驗證;
  • 裝置基線模組:驗證裝置硬體資訊、裝置證書和裝置安全狀態;
  • 應用檢測模組:檢測應用程式是否安全,如是否有漏洞,是否有病毒木馬等。

技術實現上,全鏈路加密有別於傳統的 VPN,所有業務資料,透過 key 加解密,每一個訪問,都是獨立的 TCP 訪問,每一個訪問,都驗證使用者、裝置、應用的狀態,即零信任。無需維持一個穩定 TCP 長連結,在不穩定弱網路條件下,即使網路有波動,透過自動重試機制,下一次訪問即可成功,從而減少網路抖動帶來的影響,保證穩定訪問業務。相比傳統 VPN,減少 SSL 通道協商,無需經過 IP 分配、配置路由過程,大大減少通道建立的時間。

效率和體驗上,為方便員工快速建立和接入工作環境,iOA 針對資源訪問,身份驗證,裝置標準化等高頻場景,有針對性的提升員工效率和體驗:

  1. 工作資源一鍵可達:支援應用釋出和幫助資訊釋出,對於使用者辦公、研發所需要的常用資源,使用者可透過安全客戶端快速開啟所需資源。同時根據使用者需要實時更新幫助內容,將使用者所需常用操作指引、常見問題處理方式更新發布至安全客戶端,快速觸達使用者。
  2. 快速身份驗證:iOA 結合了企業 SSO,實現快速、統一的身份驗證。透過終端裝置一鍵訪問到公司 OA、運維等資源。
  3. 裝置標準化:疫情突然,很多員工沒有提前準備常用的工作裝置,需要臨時使用“新裝置”來完成工作。企業對新接入公司的裝置,都存在統一標準化的要求,如加入公司域、安裝殺軟、基本安全加固、漏洞檢測等。iOA 給員工提供了標準化工具,實現一鍵標準化操作,極大簡化了操作步驟和時間。


7. 結束語

傳統的邊界網路安全架構將逐步退出歷史舞臺,一種新的網路安全架構應運而生。零信任網路安全架構對網路安全進行了重構,無邊界的網路、基於可信的身份、動態的授權和持續的信任評估成為新的理念。在零信任架構下,訪問主體身份管控更為全面,不僅僅是人的身份,還有裝置和應用、系統身份。訪問鑑權更為精準,不再基於角色的靜態鑑權,而是基於信任評估的動態鑑權。訪問鏈路的安全性、穩定性和訪問速度也被全面考慮,最終形成一整套適用企業數字化轉型的新型安全機制。

相關文章