騰訊 iOA 零信任安全技術實踐
責編:gltian |2020-10-13 15:02:02摘要:
騰訊零信任安全管理系統 iOA,基于終端安全、身份安全、應用安全、鏈路安全等核心能力,對終端訪問過程進行持續的權限控制和安全保護,實現終端在任意網絡環境中安全、穩定、高效的訪問企業資源及數據,助力企業降低內網辦公、遠程辦公、云上辦公、跨境辦公等不同業務場景風險。
關鍵詞:
零信任;無邊界;遠程辦公;跨境辦公;持續保護;iOA
0 引言
騰訊零信任安全管理系統iOA(以下簡稱“騰訊 iOA”),是騰訊自主設計和研發的零信任無邊界的訪問系統。可控制對企業公有云、私有云以及本地資源的訪問權限,基于終端安全、身份安全、應用安全、鏈路安全等核心能力, 對終端訪問過程進行持續的權限控制和安全保護,確保對企業資源的可信訪問,助力企業降低內網辦公、遠程辦公、云上辦公等不同業務場景風險,打造員工無論位于何處 (Anywhere)、何時 (Anytime)、使用何設備 (Any device) 都可安全地訪問授權資源,以處理任何業務 (Any work)的新型“4A 辦公”方式。
1產品設計背景
聯網時代,遠程協同辦公逐漸發展成為社會的新常態。新的辦公模式之下,隨之帶來的也是安全及局限問題的各類挑戰:企業規模大:設備數量多,類型多樣化(Mac、Windows、臺式機、筆記本、移動設備等)。業務類型多:涉及金融、社交、游戲、云服務等業務,使用的辦公工具不同,業務對應的辦公安全敏感程度亦不同。職場分部多:有遍布各地的辦事處,有通過專線連接集團企業網絡的職場,包括特殊外包職場、投后公司、切分公司等。協作廠商多:供應商協作系統辦公、協作研發運維。高級威脅:面臨行業的專業黑客組織入侵及敏感數據泄密等風險。員工體驗:面臨職場年輕化對辦公領域接入、訪問等體驗性要求。天災或者其他應急場景:臺風、疫情、過年突發業務高峰等遠程辦公訴求,涉及內部系統使用、研發、運維等要求。業務特殊性:跨境收發郵件、登入辦公系統, 非辦公場所研發、運維。為解決以上問題,騰訊從 2015 年開始自主設計、研發并在內部部署騰訊 iOA。面對大量用戶、海量業務、多分支職場、經常面臨高級威脅攻擊、遠程辦公、跨境辦公等復雜環境,實現員工位于何處、使用任何設備都可以安全訪問企業資源與數據 。
2?整體方案
圖 1 騰訊 iOA 整體方案架構
騰訊 iOA 整體方案如圖 1 所示,通過在公司建立 iOA 零信任網絡,實現以下安全能力:
(1)用戶身份可信身份認證提供多種認證方式,包括手機端軟 Token\?硬件 Token\?掃碼認證等,可對接企業內部統一的身份認證系統。
(2)應用進程可信指定終端的可信應用進程白名單。應用識別特征包括發行商、簽名、HASH、簽名使用的根證書等特征。只有滿足安全要求的應用進程, 可以發起對企業內部資源的訪問,減少未知惡意代碼入侵風險。一般來說,一個企業的辦公應用的數量是有限的,如果一家企業對安全有較高需求,并且有潛在 APT、供應鏈攻擊風險, 采用此方式比較簡單且有效果。支持進程安全檢測。提供病毒進程檢測、未知灰進程二次檢測;發現系統無法判別進程, 可通過第三方威脅情報接口、沙箱檢測等方式, 由安全運營人員分析決策是否加白名單放行。
(3)設備安全可信保障操作系統環境可信。支持病毒查殺、漏洞修復、安全加固、合規檢測、數據保護、EDR 等多方位的終端管控能力。由于企業部門或者集團子公司業務需求不同,安全保護的訴求亦不同。可按照企業不同業務的安全等級, 對終端分配不同的安全策略。保障硬件設備可信。對非企業提供的私人硬件設備資產,可統一采用安全基線檢查,僅滿足安全合規檢查的設備可接入。當發生緊急遠程業務需求時,員工需要臨時使用“新設備” 來完成工作時,對新接入設備采用安全基線合規、身份合法注冊的方式實現設備可信。騰訊 iOA 安全技術由老牌殺毒引擎研發等團隊支撐。支持 41 次 vb100,服務 6 億市場用戶, 擁有國際一流的騰訊安全聯合實驗室技術支持, 獲得全球七大權威機構評測大滿貫,百余次最高評級。
(4)鏈路保護與加速優化保護鏈路設計采用按需建立連接的方式, 不采用傳統的安全隧道模式,滿足類似瀏覽器訪問網頁或者一些本地應用有并發連接的訪問場景。釋放業務系統的訪問并發能力,在零信任方案下通過分離登錄和鏈路建立上下文,采用根據訪問授權票據上下文減少重新登錄,很好地提升訪問連接穩定性和用戶體驗。模擬不同網絡環境下訪問內網 Web 門戶系統,零信任和 VPN 方案在登錄和 Web 頁面加載完成時耗的測試情況如下:在企業內部,提供平行擴容的網關、鏈路加密等能力,避免攻擊者通過內部淪陷節點進行流量分析,企業在做完傳統的終端設備網絡準入后,依然要做身份校驗和權限控制來訪問具體的業務系統。通過網關隔離了用戶和業務系統的直接連接。在互聯網端,提供鏈路加密與全球接入點部署加速,滿足弱網絡(如小運營商,丟包率高)、跨境(跨洋線路,延遲大)接入網絡延遲等問題, 解決頻繁斷線重連,提升遠程辦公體驗。如圖 2 所示。
圖 2 VPN 與零信任網絡在弱網絡下登錄及訪問資源情況
(5)持續訪問控制基于訪問關鍵對象的組合策略進行訪問控制。支持針對不同的人員(角色 \ 部門等)- 應用白名單清單- 可訪問的業務系統的組合關系, 下發不同的訪問策略。訪問控制策略細粒度到終端應用進程級別,大大增加攻擊難度。當企業發現安全風險,影響到訪問過程涉及到的關鍵對象時,自身安全檢測可以發起針對人、設備、訪問權限的禁止阻斷。
(6)?基線變化和企業內部 SOC?做動態的訪問控制基于安全合規基線變化進行動態訪問控制。通過對受控終端收集到的安全基線狀態,根據企業運營需求,做對應的動態響應決策。在發現基線安全狀態存在風險時及時阻斷終端訪問, 以此實現動態訪問控制。支持對接企業內部的 SOC 平臺系統。SOC 集成企業內部所有的安全設備 /?系統的日志和檢測結果,并具備很強的安全分析能力,支持檢測到對用戶身份、終端設備等關鍵對象非常明確的安全風險。騰訊 iOA 可借助調用 SOC 的檢測結果信息,對風險訪問進行及時阻斷。當發生 SOC 平臺難以自動化判斷的風險時,可進一步由安全運營團隊經過人工分析,將確認的風險告警,推送給騰訊 iOA 進行阻斷。
(7)?垂直業務流量聯動登錄,提升用戶體驗對于 Web 類流量,終端認證結果跟著 Web流量進入網關之后,可提供一鍵授權、統一登錄能力。對于 SSH、RDP 等流量, 可以提供 API 與服務器運維區域運維跳板機間的身份聯動,做統一權限管理。終端使用 SSH 客戶端工具時, 如果處于零信任網絡工作的環境里面,支持快速登錄到跳板機器,進行服務器訪問。從跳板機器登錄之后,對應的運維訪問安全控制便可在跳板機入口操作,比如命令限制、審計、阻斷訪問等。
(8)其他辦公體驗改進通過騰訊 iOA 終端側的客戶端,為用戶提供快速辦公應用入口,用戶登錄后可直接獲取對應企業網絡提供的應用資源或者 OA 系統入口資源。并提供常用的終端異常診斷修復、自助網絡修復工具等能力,減少企業 IT 管理成本 。
3技術創新
3.1技術及產品創新
(1)?采用按需建立連接的方式保護鏈路設計,不采用傳統的安全隧道模式。釋放業務系統的訪問并發能力。比如,若應用進程發起的連接是 5 個,對應的加密鏈路即會啟動 5 個,釋放應用自身的并發能力。如圖 3 所示?。
圖 3 鏈路優化,按需建立連接
(2)?縮小攻擊面。依據細粒度訪問控制的思路,細化控制粒度到進程,對網絡訪問發起進程采用應用白名單模式,僅滿足安全要求的進程可以發起內部訪問,減少供應鏈攻擊、未知惡意代碼執行滲透掃描。如圖 4 所示。
圖 4 對網絡訪問發起進程采用應用白名單模式
3.2?應用場景創新
(1)?內外網遠程辦公場景:通過統一的業務安全訪問通道,對網絡訪問進行終端、系統、應用、訪問權限進行可信驗證確認,極大減少企業內部資產被非授權訪問的行為。
(2)?多云多通道的安全訪問和服務器運維場景:提供統一的訪問控制策略,實現集中化授權管理,控制不同流量指向不同網絡。直接減少跨運營商、跨境的專線建設成本。
(3)?企業網絡對外訪問入口的安全防護:對各種入口流量進行安全處理,實現對來源流量的網絡策略管理。(4)?跨境跨運營商辦公加速:構建可信安全的、優質的低延遲網絡接入,以及對應的安全辦公體驗。
4實踐效果
疫情期間,全公司 6 萬員工,10?萬終端使用零信任網絡通道。遠程辦公安全網絡通道機器從 6 臺快速擴容到 140?臺,增長 23 倍,承載流量從不到 1G 增長至最高 20G,增長將近 20?倍, 完整支持各類辦公場景,包括流程審批、訪問OA、遠程運維開發等。保證遠程、職場工作體驗一致,用戶無感知網絡差 。2019 年起,騰訊主導推進 CCSA、ITU-T 國內及國際零信任標準立項,推動全球零信任標準化應用。
2020?年,騰訊聯合 CNCERT、公安三所、移動等 22 家單位,正式成立了產業界首個零信任產業標準工作組,并主導發布了國內首個基于攻防實戰的零信任白皮書。
5結語
當前,騰訊 iOA 已在金融、醫療、交通等多個行業領域應用落地。從“有界”到“無界”, 作為安全創新的實踐者 , 騰訊一直以自研技術與解決方案應對復雜多變的安全態勢。未來,騰訊安全將以自身最佳實踐輸出行業用戶,也希望與行業伙伴攜手探索網絡安全創新方法 , 共筑網絡安全防線,共享網絡健康生態。
作者簡介 >>>
蔡東赟,學士, 騰訊企業 IT 部安全技術專家, 主要研究方向為終端安全防護、APT 檢測、零信任。
來源:信息安全與通信保密雜志社