摘要:
腾讯零信任安全管理系统 iOA,基于终端安全、身份安全、应用安全、链路安全等核心能力,对终端访问过程进行持续的权限控制和安全保护,实现终端在任意网络环境中安全、稳定、高效的访问企业资源及数据,助力企业降低内网办公、远程办公、云上办公、跨境办公等不同业务场景风险。
关键词:
零信任;无边界;远程办公;跨境办公;持续保护;iOA
0 引言
腾讯零信任安全管理系统iOA(以下简称“腾讯 iOA”),是腾讯自主设计和研发的零信任无边界的访问系统。可控制对企业公有云、私有云以及本地资源的访问权限,基于终端安全、身份安全、应用安全、链路安全等核心能力, 对终端访问过程进行持续的权限控制和安全保护,确保对企业资源的可信访问,助力企业降低内网办公、远程办公、云上办公等不同业务场景风险,打造员工无论位于何处 (Anywhere)、何时 (Anytime)、使用何设备 (Any device) 都可安全地访问授权资源,以处理任何业务 (Any work)的新型“4A 办公”方式。
1产品设计背景
联网时代,远程协同办公逐渐发展成为社会的新常态。新的办公模式之下,随之带来的也是安全及局限问题的各类挑战:企业规模大:设备数量多,类型多样化(Mac、Windows、台式机、笔记本、移动设备等)。业务类型多:涉及金融、社交、游戏、云服务等业务,使用的办公工具不同,业务对应的办公安全敏感程度亦不同。职场分部多:有遍布各地的办事处,有通过专线连接集团企业网络的职场,包括特殊外包职场、投后公司、切分公司等。协作厂商多:供应商协作系统办公、协作研发运维。高级威胁:面临行业的专业黑客组织入侵及敏感数据泄密等风险。员工体验:面临职场年轻化对办公领域接入、访问等体验性要求。天灾或者其他应急场景:台风、疫情、过年突发业务高峰等远程办公诉求,涉及内部系统使用、研发、运维等要求。业务特殊性:跨境收发邮件、登入办公系统, 非办公场所研发、运维。为解决以上问题,腾讯从 2015 年开始自主设计、研发并在内部部署腾讯 iOA。面对大量用户、海量业务、多分支职场、经常面临高级威胁攻击、远程办公、跨境办公等复杂环境,实现员工位于何处、使用任何设备都可以安全访问企业资源与数据 。
2 整体方案
图 1 腾讯 iOA 整体方案架构
腾讯 iOA 整体方案如图 1 所示,通过在公司建立 iOA 零信任网络,实现以下安全能力:
(1)用户身份可信身份认证提供多种认证方式,包括手机端软 Token\ 硬件 Token\ 扫码认证等,可对接企业内部统一的身份认证系统。
(2)应用进程可信指定终端的可信应用进程白名单。应用识别特征包括发行商、签名、HASH、签名使用的根证书等特征。只有满足安全要求的应用进程, 可以发起对企业内部资源的访问,减少未知恶意代码入侵风险。一般来说,一个企业的办公应用的数量是有限的,如果一家企业对安全有较高需求,并且有潜在 APT、供应链攻击风险, 采用此方式比较简单且有效果。支持进程安全检测。提供病毒进程检测、未知灰进程二次检测;发现系统无法判别进程, 可通过第三方威胁情报接口、沙箱检测等方式, 由安全运营人员分析决策是否加白名单放行。
(3)设备安全可信保障操作系统环境可信。支持病毒查杀、漏洞修复、安全加固、合规检测、数据保护、EDR 等多方位的终端管控能力。由于企业部门或者集团子公司业务需求不同,安全保护的诉求亦不同。可按照企业不同业务的安全等级, 对终端分配不同的安全策略。保障硬件设备可信。对非企业提供的私人硬件设备资产,可统一采用安全基线检查,仅满足安全合规检查的设备可接入。当发生紧急远程业务需求时,员工需要临时使用“新设备” 来完成工作时,对新接入设备采用安全基线合规、身份合法注册的方式实现设备可信。腾讯 iOA 安全技术由老牌杀毒引擎研发等团队支撑。支持 41 次 vb100,服务 6 亿市场用户, 拥有国际一流的腾讯安全联合实验室技术支持, 获得全球七大权威机构评测大满贯,百余次最高评级。
(4)链路保护与加速优化保护链路设计采用按需建立连接的方式, 不采用传统的安全隧道模式,满足类似浏览器访问网页或者一些本地应用有并发连接的访问场景。释放业务系统的访问并发能力,在零信任方案下通过分离登录和链路建立上下文,采用根据访问授权票据上下文减少重新登录,很好地提升访问连接稳定性和用户体验。模拟不同网络环境下访问内网 Web 门户系统,零信任和 VPN 方案在登录和 Web 页面加载完成时耗的测试情况如下:在企业内部,提供平行扩容的网关、链路加密等能力,避免攻击者通过内部沦陷节点进行流量分析,企业在做完传统的终端设备网络准入后,依然要做身份校验和权限控制来访问具体的业务系统。通过网关隔离了用户和业务系统的直接连接。在互联网端,提供链路加密与全球接入点部署加速,满足弱网络(如小运营商,丢包率高)、跨境(跨洋线路,延迟大)接入网络延迟等问题, 解决频繁断线重连,提升远程办公体验。如图 2 所示。
图 2 VPN 与零信任网络在弱网络下登录及访问资源情况
(5)持续访问控制基于访问关键对象的组合策略进行访问控制。支持针对不同的人员(角色 \ 部门等)- 应用白名单清单- 可访问的业务系统的组合关系, 下发不同的访问策略。访问控制策略细粒度到终端应用进程级别,大大增加攻击难度。当企业发现安全风险,影响到访问过程涉及到的关键对象时,自身安全检测可以发起针对人、设备、访问权限的禁止阻断。
(6) 基线变化和企业内部 SOC 做动态的访问控制基于安全合规基线变化进行动态访问控制。通过对受控终端收集到的安全基线状态,根据企业运营需求,做对应的动态响应决策。在发现基线安全状态存在风险时及时阻断终端访问, 以此实现动态访问控制。支持对接企业内部的 SOC 平台系统。SOC 集成企业内部所有的安全设备 / 系统的日志和检测结果,并具备很强的安全分析能力,支持检测到对用户身份、终端设备等关键对象非常明确的安全风险。腾讯 iOA 可借助调用 SOC 的检测结果信息,对风险访问进行及时阻断。当发生 SOC 平台难以自动化判断的风险时,可进一步由安全运营团队经过人工分析,将确认的风险告警,推送给腾讯 iOA 进行阻断。
(7) 垂直业务流量联动登录,提升用户体验对于 Web 类流量,终端认证结果跟着 Web流量进入网关之后,可提供一键授权、统一登录能力。对于 SSH、RDP 等流量, 可以提供 API 与服务器运维区域运维跳板机间的身份联动,做统一权限管理。终端使用 SSH 客户端工具时, 如果处于零信任网络工作的环境里面,支持快速登录到跳板机器,进行服务器访问。从跳板机器登录之后,对应的运维访问安全控制便可在跳板机入口操作,比如命令限制、审计、阻断访问等。
(8)其他办公体验改进通过腾讯 iOA 终端侧的客户端,为用户提供快速办公应用入口,用户登录后可直接获取对应企业网络提供的应用资源或者 OA 系统入口资源。并提供常用的终端异常诊断修复、自助网络修复工具等能力,减少企业 IT 管理成本 。
3技术创新
3.1技术及产品创新
(1) 采用按需建立连接的方式保护链路设计,不采用传统的安全隧道模式。释放业务系统的访问并发能力。比如,若应用进程发起的连接是 5 个,对应的加密链路即会启动 5 个,释放应用自身的并发能力。如图 3 所示 。
图 3 链路优化,按需建立连接
(2) 缩小攻击面。依据细粒度访问控制的思路,细化控制粒度到进程,对网络访问发起进程采用应用白名单模式,仅满足安全要求的进程可以发起内部访问,减少供应链攻击、未知恶意代码执行渗透扫描。如图 4 所示。
图 4 对网络访问发起进程采用应用白名单模式
3.2 应用场景创新
(1) 内外网远程办公场景:通过统一的业务安全访问通道,对网络访问进行终端、系统、应用、访问权限进行可信验证确认,极大减少企业内部资产被非授权访问的行为。
(2) 多云多通道的安全访问和服务器运维场景:提供统一的访问控制策略,实现集中化授权管理,控制不同流量指向不同网络。直接减少跨运营商、跨境的专线建设成本。
(3) 企业网络对外访问入口的安全防护:对各种入口流量进行安全处理,实现对来源流量的网络策略管理。(4) 跨境跨运营商办公加速:构建可信安全的、优质的低延迟网络接入,以及对应的安全办公体验。
4实践效果
疫情期间,全公司 6 万员工,10 万终端使用零信任网络通道。远程办公安全网络通道机器从 6 台快速扩容到 140 台,增长 23 倍,承载流量从不到 1G 增长至最高 20G,增长将近 20 倍, 完整支持各类办公场景,包括流程审批、访问OA、远程运维开发等。保证远程、职场工作体验一致,用户无感知网络差 。2019 年起,腾讯主导推进 CCSA、ITU-T 国内及国际零信任标准立项,推动全球零信任标准化应用。
2020 年,腾讯联合 CNCERT、公安三所、移动等 22 家单位,正式成立了产业界首个零信任产业标准工作组,并主导发布了国内首个基于攻防实战的零信任白皮书。
5结语
当前,腾讯 iOA 已在金融、医疗、交通等多个行业领域应用落地。从“有界”到“无界”, 作为安全创新的实践者 , 腾讯一直以自研技术与解决方案应对复杂多变的安全态势。未来,腾讯安全将以自身最佳实践输出行业用户,也希望与行业伙伴携手探索网络安全创新方法 , 共筑网络安全防线,共享网络健康生态。
作者简介 >>>
蔡东赟,学士, 腾讯企业 IT 部安全技术专家, 主要研究方向为终端安全防护、APT 检测、零信任。
来源:信息安全与通信保密杂志社