引用本文:蔡東贇 . 騰訊 iOA 零信任安全技術實踐 [J]. 資訊保安與通訊保密 ,2020( 增刊 1):98-102.
摘要
騰訊零信任安全管理系統 iOA,基於終端安全、身份安全、應用安全、鏈路安全等核心能力,對終端訪問過程進行持續的許可權控制和安全保護,實現終端在任意網路環境中安全、穩定、高效的訪問企業資源及資料,助力企業降低內網辦公、遠端辦公、雲上辦公、跨境辦公等不同業務場景風險。
關鍵詞:零信任;無邊界;遠端辦公;跨境辦公;持續保護;iOA
內容目錄:
0 引 言
1 產品設計背景
2 整體方案
3 技術創新
3.1 技術及產品創新
3.2 應用場景創新
4 實踐效果
5 結 語
0
引言
騰訊零信任安全管理系統iOA(以下簡稱“騰訊 iOA”),是騰訊自主設計和研發的零信任無邊界的訪問系統。可控制對企業公有云、私有云以及本地資源的訪問許可權,基於終端安全、身份安全、應用安全、鏈路安全等核心能力, 對終端訪問過程進行持續的許可權控制和安全保護,確保對企業資源的可信訪問,助力企業降低內網辦公、遠端辦公、雲上辦公等不同業務場景風險,打造員工無論位於何處 (Anywhere)、何時 (Anytime)、使用何裝置 (Any device) 都可安全地訪問授權資源,以處理任何業務 (Any work)的新型“4A 辦公”方式。
1 產品設計背景
網際網路時代,遠端協同辦公逐漸發展成為社會的新常態。新的辦公模式之下,隨之帶來的也是安全及侷限問題的各類挑戰:
企業規模大:裝置數量多,型別多樣化(Mac、Windows、桌上型電腦、筆記本、移動裝置等)。
業務型別多:涉及金融、社交、遊戲、雲服務等業務,使用的辦公工具不同,業務對應的辦公安全敏感程度亦不同。
職場分部多:有遍佈各地的辦事處,有通過專線連線集團企業網路的職場,包括特殊外包職場、投後公司、切分公司等。
協作廠商多:供應商協作系統辦公、協作研發運維。
高階威脅:面臨行業的專業黑客組織入侵及敏感資料洩密等風險。
員工體驗:面臨職場年輕化對辦公領域接入、訪問等體驗性要求。
天災或者其他應急場景:颱風、疫情、過年突發業務高峰等遠端辦公訴求,涉及內部系統使用、研發、運維等要求。
業務特殊性:跨境收發郵件、登入辦公系統, 非辦公場所研發、運維。
為解決以上問題,騰訊從 2015 年開始自主設計、研發並在內部部署騰訊 iOA。面對大量使用者、海量業務、多分支職場、經常面臨高階威脅攻擊、遠端辦公、跨境辦公等複雜環境,實現員工位於何處、使用任何裝置都可以安全訪問企業資源與資料 。
圖 1 騰訊 iOA 整體方案架構
騰訊 iOA 整體方案如圖 1 所示,通過在公司建立 iOA 零信任網路,實現以下安全能力:
(1)使用者身份可信
身份認證提供多種認證方式,包括手機端軟 Token\ 硬體 Token\ 掃碼認證等,可對接企業內部統一的身份認證系統。
(2)應用程式可信
指定終端的可信應用程式白名單。應用識別特徵包括髮行商、簽名、HASH、簽名使用的根證書等特徵。只有滿足安全要求的應用程式, 可以發起對企業內部資源的訪問,減少未知惡意程式碼入侵風險。一般來說,一個企業的辦公應用的數量是有限的,如果一家企業對安全有較高需求,並且有潛在 APT、供應鏈攻擊風險, 採用此方式比較簡單且有效果。
支援程式安全檢測。提供病毒程式檢測、未知灰程式二次檢測;發現系統無法判別程式, 可通過第三方威脅情報介面、沙箱檢測等方式, 由安全運營人員分析決策是否加白名單放行。
(3)裝置安全可信
保障作業系統環境可信。支援病毒查殺、漏洞修復、安全加固、合規檢測、資料保護、EDR 等多方位的終端管控能力。由於企業部門或者集團子公司業務需求不同,安全保護的訴求亦不同。可按照企業不同業務的安全等級, 對終端分配不同的安全策略。
保障硬體裝置可信。對非企業提供的私人硬體裝置資產,可統一採用安全基線檢查,僅滿足安全合規檢查的裝置可接入。當發生緊急遠端業務需求時,員工需要臨時使用“新裝置” 來完成工作時,對新接入裝置採用安全基線合規、身份合法註冊的方式實現裝置可信。
騰訊 iOA 安全技術由老牌防毒引擎研發等團隊支撐。支援 41 次 vb100,服務 6 億市場使用者, 擁有國際一流的騰訊安全聯合實驗室技術支援, 獲得全球七大權威機構評測大滿貫,百餘次最高評級。
(4)鏈路保護與加速優化
保護鏈路設計採用按需建立連線的方式, 不採用傳統的安全隧道模式,滿足類似瀏覽器訪問網頁或者一些本地應用有併發連線的訪問場景。釋放業務系統的訪問併發能力,在零信任方案下通過分離登入和鏈路建立上下文,採用根據訪問授權票據上下文減少重新登入,很好地提升訪問連線穩定性和使用者體驗。
模擬不同網路環境下訪問內網 Web 門戶系統,零信任和 VPN 方案在登入和 Web 頁面載入完成時耗的測試情況如下:
在企業內部,提供平行擴容的閘道器、鏈路加密等能力,避免攻擊者通過內部淪陷節點進行流量分析,企業在做完傳統的終端裝置網路准入後,依然要做身份校驗和許可權控制來訪問具體的業務系統。通過閘道器隔離了使用者和業務系統的直接連線。
在網際網路端,提供鏈路加密與全球接入點部署加速,滿足弱網路(如小運營商,丟包率高)、跨境(跨洋線路,延遲大)接入網路延遲等問題, 解決頻繁斷線重連,提升遠端辦公體驗。如圖 2 所示。
圖 2 VPN 與零信任網路在弱網路下登入及訪問資源情況
(5)持續訪問控制
基於訪問關鍵物件的組合策略進行訪問控制。支援針對不同的人員(角色 \ 部門等)- 應用白名單清單- 可訪問的業務系統的組合關係, 下發不同的訪問策略。訪問控制策略細粒度到終端應用程式級別,大大增加攻擊難度。
當企業發現安全風險,影響到訪問過程涉及到的關鍵物件時,自身安全檢測可以發起針對人、裝置、訪問許可權的禁止阻斷。
(6) 基線變化和企業內部 SOC 做動態的訪問控制
基於安全合規基線變化進行動態訪問控制。通過對受控終端收集到的安全基線狀態,根據企業運營需求,做對應的動態響應決策。在發現基線安全狀態存在風險時及時阻斷終端訪問, 以此實現動態訪問控制。支援對接企業內部的 SOC 平臺系統。SOC 整合企業內部所有的安全裝置 / 系統的日誌和檢測結果,並具備很強的安全分析能力,支援檢測到對使用者身份、終端裝置等關鍵物件非常明確的安全風險。騰訊 iOA 可藉助呼叫 SOC 的檢測結果資訊,對風險訪問進行及時阻斷。當發生 SOC 平臺難以自動化判斷的風險時,可進一步由安全運營團隊經過人工分析,將確認的風險告警,推送給騰訊 iOA 進行阻斷。
(7) 垂直業務流量聯動登入,提升使用者體驗
對於 Web 類流量,終端認證結果跟著 Web流量進入閘道器之後,可提供一鍵授權、統一登入能力。
對於 SSH、RDP 等流量, 可以提供 API 與伺服器運維區域運維跳板機間的身份聯動,做統一許可權管理。終端使用 SSH 客戶端工具時, 如果處於零信任網路工作的環境裡面,支援快速登入到跳板機器,進行伺服器訪問。從跳板機器登入之後,對應的運維訪問安全控制便可在跳板機入口操作,比如命令限制、審計、阻斷訪問等。
(8)其他辦公體驗改進
通過騰訊 iOA 終端側的客戶端,為使用者提供快速辦公應用入口,使用者登入後可直接獲取對應企業網路提供的應用資源或者 OA 系統入口資源。並提供常用的終端異常診斷修復、自助網路修復工具等能力,減少企業 IT 管理成本 。
(1) 採用按需建立連線的方式保護鏈路設計,不採用傳統的安全隧道模式。釋放業務系統的訪問併發能力。比如,若應用程式發起的連線是 5 個,對應的加密鏈路即會啟動 5 個,釋放應用自身的併發能力。如圖 3 所示
圖 3 鏈路優化,按需建立連線
(2) 縮小攻擊面。依據細粒度訪問控制的思路,細化控制粒度到程式,對網路訪問發起程式採用應用白名單模式,僅滿足安全要求的程式可以發起內部訪問,減少供應鏈攻擊、未知惡意程式碼執行滲透掃描。如圖 4 所示。
圖 4 對網路訪問發起程式採用應用白名單模式
3.2 應用場景創新
(1) 內外網遠端辦公場景:通過統一的業務安全訪問通道,對網路訪問進行終端、系統、應用、訪問許可權進行可信驗證確認,極大減少企業內部資產被非授權訪問的行為。
(2) 多雲多通道的安全訪問和伺服器運維場景:提供統一的訪問控制策略,實現集中化授權管理,控制不同流量指向不同網路。直接減少跨運營商、跨境的專線建設成本。
(3) 企業網路對外訪問入口的安全防護:對各種入口流量進行安全處理,實現對來源流量的網路策略管理。
(4) 跨境跨運營商辦公加速:構建可信安全的、優質的低延遲網路接入,以及對應的安全辦公體驗。
4
實踐效果
疫情期間,全公司 6 萬員工,10 萬終端使用零信任網路通道。遠端辦公安全網路通道機器從 6 臺快速擴容到 140 臺,增長 23 倍,承載流量從不到 1G 增長至最高 20G,增長將近 20 倍, 完整支援各類辦公場景,包括流程審批、訪問OA、遠端運維開發等。保證遠端、職場工作體驗一致,使用者無感知網路差 。
2019 年起,騰訊主導推進 CCSA、ITU-T 國內及國際零信任標準立項,推動全球零信任標準化應用。2020 年,騰訊聯合 CNCERT、公安三所、移動等 22 家單位,正式成立了產業界首個零信任產業標準工作組,並主導釋出了國內首個基於攻防實戰的零信任白皮書。
5
結語
當前,騰訊 iOA 已在金融、醫療、交通等多個行業領域應用落地。從“有界”到“無界”, 作為安全創新的實踐者 , 騰訊一直以自研技術與解決方案應對複雜多變的安全態勢。未來,騰訊安全將以自身最佳實踐輸出行業使用者,也希望與行業夥伴攜手探索網路安全創新方法 , 共築網路安全防線,共享網路健康生態。
作者簡介
蔡東贇,學士, 騰訊企業 IT 部安全技術專家, 主要研究方向為終端安全防護、APT 檢測、零信任。
選自:《資訊保安與通訊保密》2020年增刊1期(為便於排版,已省去原文參考文獻)
來源:資訊保安與通訊保密雜誌社