数字经济逐步迈入发展深水区,产业上云一方面加速各行业数字化转型,另一方面也隐藏着网络“边界”模糊化带来的新安全风险,由此推动了以身份为中心的“零信任”安全架构从概念走向落地。
在2020腾讯全球数字生态大会·CSS互联网安全领袖峰会产业专场上,腾讯安全副总裁方斌从企业远程办公的安全需求切入,重点阐述了腾讯零信任安全管理系统iOA在重构云时代企业安全新生态的破局探索,提出应充分聚合零信任安全框架能力,形成贯穿身份、终端、链路的完整安全闭环,为企业构筑新一代网络安全架构、提升云上办公效率提供有力支撑。
云办公新常态下,“零信任”成安全破局关键
5G、云计算等的普及应用,使移动/远程办公由概念快速走向落地。产业链全球化和新基建的快速推进,更是将云办公模式推上了新一轮发展风口。中商产业研究院数据显示,预计到2025年全球移动智能办公用户将突破9亿。
同时,一场突发的疫情,再次按下了云办公发展的“加速键”。公开数据显示,2020年春节期间,全国共有超3亿人和超1800万家企业进行在线办公。多场景渗透下,可以预见,云办公将成为数字经济时代的新常态。
然而,伴随着传统办公网络边界的逐步瓦解,内部资源与企业数据因暴露面增加和信任策略缺失遭受的安全冲击成倍增长。传统仅部署在边界的静态安全防御与云办公场景安全需求的矛盾日益深化。颠覆传统默认“信任”范式的零信任安全技术迎来爆发式发展。
方斌认为,以“持续验证,永不信任”为特点的零信任安全体系,作为新一代网络安全防护理念,因在安全可信度、动态防护能力、全链路加密、分析能力、访问集中管控、资产管理等方面表现出的突出优势,成为云办公安全破局的关键。
同时,他还提出,零信任安全体系将成为产业互联网时代企业应对网络边界消弭、重构安全生态、确保业务平稳发展的新途径。
“4T”安全保障,腾讯iOA助力打造“4A办公”安全新思路
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。 腾讯一直践行的零信任理念正是如此: 默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
结合二十年来积累的终端安全能力和服务政企客户的实践经验,腾讯自研设计出已经过内部实践验证的零信任安全管理系统-腾讯iOA,旨在开放零信任安全最佳实践能力,助力企业解决兼具效率与安全的办公痛点。
腾讯iOA打破了传统基于区域的授信控制方式,采用基于可信身份(Trusted identity)、可信设备(Trusted device)、可信应用(Trusted application)和可信链路(Trusted link)的“4T原则”授予访问权限。对每一个访问企业资源的会话请求,都进行用户身份验证、设备安全状态、软件应用安全状态检查和授权,全链路加密。同时集成全球网络加速能力,解决跨境跨运营商访问卡顿或者延迟过高的问题。打造员工无论位于何处(Anywhere)、何时(Anytime)使用何设备(Any device)都可安全稳定地访问授权资源以处理任何业务(Any work)的新型“4A办公”方式。
与此同时,腾讯还基于零信任安全框架进行了轻量化探索,支持移动化SDP模式,致力解决传统在移动端办公场景下的灵活性问题。借助腾讯安全SDP“三唯”零信任授权访问模型,企业能够确保移动办公接入用户的唯一身份、唯一SDP访问通道和一次性授权应用,从而有效保障企业内网访问的安全可控。
腾讯内部率先实践,联合生态伙伴重构安全新生态
方斌介绍,腾讯iOA自2016年就已经在公司内部率先展开实践,并经过了腾讯7万员工和10万台服务终端的验证。尤其是在2020年疫情防控攻坚阶段,作为统一工作门户入口,腾讯iOA整合了IT服务和终端安全,为员工提供了等同于职场办公的全量、全尺寸办公安全服务。经过事后的复盘统计,腾讯iOA将员工身份验证效率提升了90%,最大承载流量较以往提升了20倍,很好地平衡了远程办公安全与效率的问题。
结合内部实践经验,腾讯iOA已形成了一套完整的零信任安全解决方案,并通过开放生态能力,腾讯iOA先后协助金融、医疗、政务、教育等多个领域客户实现了远程办公安全防护。
其中,腾讯iOA帮助猿辅导构建基于零信任安全架构的“零散职场”, 有效提升猿辅导移动端工作平台安全运行效率;同时,针对不断增长的员工规模,开启快速扩容响应适配,让猿辅导3.5万名员工身处全国各地都能灵活高效办公,为4亿用户提供更优质的在线课程体验。
从“有界”到“无界”,腾讯作为国内最早探索零信任应用的企业之一,一直致力于联动行业生态合作伙伴,探索零信任安全行业标准,协同重构企业安全防护新生态。腾讯安全曾先后牵头发起了国内及国际首个零信任安全标准的立项与研制工作。今年6月,腾讯安全联合20多家产学研用机构,成立了国内首个“零信任产业标准工作组”,并于8月发布了国内首个基于产业攻防实战的《零信任实战白皮书》。腾讯iOA也在中国网络安全产业联盟(CCIA)举办的“2020年优秀网络安全解决方案和网络安全创新产品评选活动”中,斩获“2020年网络安全创新产品优秀奖”和“最具投资价值奖”双料大奖,并荣登最具投资价值榜单第一位。
方斌认为,在可预见的未来里,零信任安全应用将朝着规范化、规模化的方向纵深发展。腾讯安全将持续输出自身技术能力和最佳实践,联动行业生态伙伴,共同构建以零信任为基础的企业安全新生态,助力企业网络安全体系和产业数字化的转型升级。