摘要：

騰訊零信任安全管理系統(tǒng) iOA，基于終端安全、身份安全、應(yīng)用安全、鏈路安全等核心能力，對(duì)終端訪問(wèn)過(guò)程進(jìn)行持續(xù)的權(quán)限控制和安全保護(hù)，實(shí)現(xiàn)終端在任意網(wǎng)絡(luò)環(huán)境中安全、穩(wěn)定、高效的訪問(wèn)企業(yè)資源及數(shù)據(jù)，助力企業(yè)降低內(nèi)網(wǎng)辦公、遠(yuǎn)程辦公、云上辦公、跨境辦公等不同業(yè)務(wù)場(chǎng)景風(fēng)險(xiǎn)。

關(guān)鍵詞：

零信任；無(wú)邊界；遠(yuǎn)程辦公；跨境辦公；持續(xù)保護(hù)；iOA 

0 引言

騰訊零信任安全管理系統(tǒng)iOA（以下簡(jiǎn)稱“騰訊 iOA”），是騰訊自主設(shè)計(jì)和研發(fā)的零信任無(wú)邊界的訪問(wèn)系統(tǒng)?？煽刂茖?duì)企業(yè)公有云、私有云以及本地資源的訪問(wèn)權(quán)限，基于終端安全、身份安全、應(yīng)用安全、鏈路安全等核心能力， 對(duì)終端訪問(wèn)過(guò)程進(jìn)行持續(xù)的權(quán)限控制和安全保護(hù)，確保對(duì)企業(yè)資源的可信訪問(wèn)，助力企業(yè)降低內(nèi)網(wǎng)辦公、遠(yuǎn)程辦公、云上辦公等不同業(yè)務(wù)場(chǎng)景風(fēng)險(xiǎn)，打造員工無(wú)論位于何處 (Anywhere)、何時(shí) (Anytime)、使用何設(shè)備 (Any device) 都可安全地訪問(wèn)授權(quán)資源，以處理任何業(yè)務(wù) (Any work)的新型“4A 辦公”方式。

1 產(chǎn)品設(shè)計(jì)背景

聯(lián)網(wǎng)時(shí)代，遠(yuǎn)程協(xié)同辦公逐漸發(fā)展成為社會(huì)的新常態(tài)。新的辦公模式之下，隨之帶來(lái)的也是安全及局限問(wèn)題的各類挑戰(zhàn)：企業(yè)規(guī)模大：設(shè)備數(shù)量多，類型多樣化（Mac、Windows、臺(tái)式機(jī)、筆記本、移動(dòng)設(shè)備等）。業(yè)務(wù)類型多：涉及金融、社交、游戲、云服務(wù)等業(yè)務(wù)，使用的辦公工具不同，業(yè)務(wù)對(duì)應(yīng)的辦公安全敏感程度亦不同。職場(chǎng)分部多：有遍布各地的辦事處，有通過(guò)專線連接集團(tuán)企業(yè)網(wǎng)絡(luò)的職場(chǎng)，包括特殊外包職場(chǎng)、投后公司、切分公司等。協(xié)作廠商多：供應(yīng)商協(xié)作系統(tǒng)辦公、協(xié)作研發(fā)運(yùn)維。高級(jí)威脅：面臨行業(yè)的專業(yè)黑客組織入侵及敏感數(shù)據(jù)泄密等風(fēng)險(xiǎn)。員工體驗(yàn)：面臨職場(chǎng)年輕化對(duì)辦公領(lǐng)域接入、訪問(wèn)等體驗(yàn)性要求。天災(zāi)或者其他應(yīng)急場(chǎng)景：臺(tái)風(fēng)、疫情、過(guò)年突發(fā)業(yè)務(wù)高峰等遠(yuǎn)程辦公訴求，涉及內(nèi)部系統(tǒng)使用、研發(fā)、運(yùn)維等要求。業(yè)務(wù)特殊性：跨境收發(fā)郵件、登入辦公系統(tǒng)， 非辦公場(chǎng)所研發(fā)、運(yùn)維。為解決以上問(wèn)題，騰訊從 2015 年開始自主設(shè)計(jì)、研發(fā)并在內(nèi)部部署騰訊 iOA。面對(duì)大量用戶、海量業(yè)務(wù)、多分支職場(chǎng)、經(jīng)常面臨高級(jí)威脅攻擊、遠(yuǎn)程辦公、跨境辦公等復(fù)雜環(huán)境，實(shí)現(xiàn)員工位于何處、使用任何設(shè)備都可以安全訪問(wèn)企業(yè)資源與數(shù)據(jù) 。

2 整體方案 

圖 1 騰訊 iOA 整體方案架構(gòu)

騰訊 iOA 整體方案如圖 1 所示，通過(guò)在公司建立 iOA 零信任網(wǎng)絡(luò)，實(shí)現(xiàn)以下安全能力：

（1）用戶身份可信身份認(rèn)證提供多種認(rèn)證方式，包括手機(jī)端軟 Token\ 硬件 Token\ 掃碼認(rèn)證等，可對(duì)接企業(yè)內(nèi)部統(tǒng)一的身份認(rèn)證系統(tǒng)。

（2）應(yīng)用進(jìn)程可信指定終端的可信應(yīng)用進(jìn)程白名單。應(yīng)用識(shí)別特征包括發(fā)行商、簽名、HASH、簽名使用的根證書等特征。只有滿足安全要求的應(yīng)用進(jìn)程， 可以發(fā)起對(duì)企業(yè)內(nèi)部資源的訪問(wèn)，減少未知惡意代碼入侵風(fēng)險(xiǎn)。一般來(lái)說(shuō)，一個(gè)企業(yè)的辦公應(yīng)用的數(shù)量是有限的，如果一家企業(yè)對(duì)安全有較高需求，并且有潛在 APT、供應(yīng)鏈攻擊風(fēng)險(xiǎn)， 采用此方式比較簡(jiǎn)單且有效果。支持進(jìn)程安全檢測(cè)。提供病毒進(jìn)程檢測(cè)、未知灰進(jìn)程二次檢測(cè)；發(fā)現(xiàn)系統(tǒng)無(wú)法判別進(jìn)程， 可通過(guò)第三方威脅情報(bào)接口、沙箱檢測(cè)等方式， 由安全運(yùn)營(yíng)人員分析決策是否加白名單放行。

（3）設(shè)備安全可信保障操作系統(tǒng)環(huán)境可信。支持病毒查殺、漏洞修復(fù)、安全加固、合規(guī)檢測(cè)、數(shù)據(jù)保護(hù)、EDR 等多方位的終端管控能力。由于企業(yè)部門或者集團(tuán)子公司業(yè)務(wù)需求不同，安全保護(hù)的訴求亦不同?？砂凑掌髽I(yè)不同業(yè)務(wù)的安全等級(jí)， 對(duì)終端分配不同的安全策略。保障硬件設(shè)備可信。對(duì)非企業(yè)提供的私人硬件設(shè)備資產(chǎn)，可統(tǒng)一采用安全基線檢查，僅滿足安全合規(guī)檢查的設(shè)備可接入。當(dāng)發(fā)生緊急遠(yuǎn)程業(yè)務(wù)需求時(shí)，員工需要臨時(shí)使用“新設(shè)備” 來(lái)完成工作時(shí)，對(duì)新接入設(shè)備采用安全基線合規(guī)、身份合法注冊(cè)的方式實(shí)現(xiàn)設(shè)備可信。騰訊 iOA 安全技術(shù)由老牌殺毒引擎研發(fā)等團(tuán)隊(duì)支撐。支持 41 次 vb100，服務(wù) 6 億市場(chǎng)用戶， 擁有國(guó)際一流的騰訊安全聯(lián)合實(shí)驗(yàn)室技術(shù)支持， 獲得全球七大權(quán)威機(jī)構(gòu)評(píng)測(cè)大滿貫，百余次最高評(píng)級(jí)。

（4）鏈路保護(hù)與加速優(yōu)化保護(hù)鏈路設(shè)計(jì)采用按需建立連接的方式， 不采用傳統(tǒng)的安全隧道模式，滿足類似瀏覽器訪問(wèn)網(wǎng)頁(yè)或者一些本地應(yīng)用有并發(fā)連接的訪問(wèn)場(chǎng)景。釋放業(yè)務(wù)系統(tǒng)的訪問(wèn)并發(fā)能力，在零信任方案下通過(guò)分離登錄和鏈路建立上下文，采用根據(jù)訪問(wèn)授權(quán)票據(jù)上下文減少重新登錄，很好地提升訪問(wèn)連接穩(wěn)定性和用戶體驗(yàn)。模擬不同網(wǎng)絡(luò)環(huán)境下訪問(wèn)內(nèi)網(wǎng) Web 門戶系統(tǒng)，零信任和虛擬專用網(wǎng)絡(luò)方案在登錄和 Web 頁(yè)面加載完成時(shí)耗的測(cè)試情況如下：在企業(yè)內(nèi)部，提供平行擴(kuò)容的網(wǎng)關(guān)、鏈路加密等能力，避免攻擊者通過(guò)內(nèi)部淪陷節(jié)點(diǎn)進(jìn)行流量分析，企業(yè)在做完傳統(tǒng)的終端設(shè)備網(wǎng)絡(luò)準(zhǔn)入后，依然要做身份校驗(yàn)和權(quán)限控制來(lái)訪問(wèn)具體的業(yè)務(wù)系統(tǒng)。通過(guò)網(wǎng)關(guān)隔離了用戶和業(yè)務(wù)系統(tǒng)的直接連接。在互聯(lián)網(wǎng)端，提供鏈路加密與全球接入點(diǎn)部署加速，滿足弱網(wǎng)絡(luò)（如小運(yùn)營(yíng)商，丟包率高）、跨境（跨洋線路，延遲大）接入網(wǎng)絡(luò)延遲等問(wèn)題， 解決頻繁斷線重連，提升遠(yuǎn)程辦公體驗(yàn)。如圖 2 所示。

圖 2  虛擬專用網(wǎng)絡(luò)與零信任網(wǎng)絡(luò)在弱網(wǎng)絡(luò)下登錄及訪問(wèn)資源情況

（5）持續(xù)訪問(wèn)控制基于訪問(wèn)關(guān)鍵對(duì)象的組合策略進(jìn)行訪問(wèn)控制。支持針對(duì)不同的人員（角色 \ 部門等）- 應(yīng)用白名單清單- 可訪問(wèn)的業(yè)務(wù)系統(tǒng)的組合關(guān)系， 下發(fā)不同的訪問(wèn)策略。訪問(wèn)控制策略細(xì)粒度到終端應(yīng)用進(jìn)程級(jí)別，大大增加攻擊難度。當(dāng)企業(yè)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，影響到訪問(wèn)過(guò)程涉及到的關(guān)鍵對(duì)象時(shí)，自身安全檢測(cè)可以發(fā)起針對(duì)人、設(shè)備、訪問(wèn)權(quán)限的禁止阻斷。

（6） 基線變化和企業(yè)內(nèi)部 SOC 做動(dòng)態(tài)的訪問(wèn)控制基于安全合規(guī)基線變化進(jìn)行動(dòng)態(tài)訪問(wèn)控制。通過(guò)對(duì)受控終端收集到的安全基線狀態(tài)，根據(jù)企業(yè)運(yùn)營(yíng)需求，做對(duì)應(yīng)的動(dòng)態(tài)響應(yīng)決策。在發(fā)現(xiàn)基線安全狀態(tài)存在風(fēng)險(xiǎn)時(shí)及時(shí)阻斷終端訪問(wèn)， 以此實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制。支持對(duì)接企業(yè)內(nèi)部的 SOC 平臺(tái)系統(tǒng)。SOC 集成企業(yè)內(nèi)部所有的安全設(shè)備 / 系統(tǒng)的日志和檢測(cè)結(jié)果，并具備很強(qiáng)的安全分析能力，支持檢測(cè)到對(duì)用戶身份、終端設(shè)備等關(guān)鍵對(duì)象非常明確的安全風(fēng)險(xiǎn)。騰訊 iOA 可借助調(diào)用 SOC 的檢測(cè)結(jié)果信息，對(duì)風(fēng)險(xiǎn)訪問(wèn)進(jìn)行及時(shí)阻斷。當(dāng)發(fā)生 SOC 平臺(tái)難以自動(dòng)化判斷的風(fēng)險(xiǎn)時(shí)，可進(jìn)一步由安全運(yùn)營(yíng)團(tuán)隊(duì)經(jīng)過(guò)人工分析，將確認(rèn)的風(fēng)險(xiǎn)告警，推送給騰訊 iOA 進(jìn)行阻斷。

（7） 垂直業(yè)務(wù)流量聯(lián)動(dòng)登錄，提升用戶體驗(yàn)對(duì)于 Web 類流量，終端認(rèn)證結(jié)果跟著 Web流量進(jìn)入網(wǎng)關(guān)之后，可提供一鍵授權(quán)、統(tǒng)一登錄能力。對(duì)于 SSH、RDP 等流量， 可以提供 API 與服務(wù)器運(yùn)維區(qū)域運(yùn)維跳板機(jī)間的身份聯(lián)動(dòng)，做統(tǒng)一權(quán)限管理。終端使用 SSH 客戶端工具時(shí)， 如果處于零信任網(wǎng)絡(luò)工作的環(huán)境里面，支持快速登錄到跳板機(jī)器，進(jìn)行服務(wù)器訪問(wèn)。從跳板機(jī)器登錄之后，對(duì)應(yīng)的運(yùn)維訪問(wèn)安全控制便可在跳板機(jī)入口操作，比如命令限制、審計(jì)、阻斷訪問(wèn)等。

（8）其他辦公體驗(yàn)改進(jìn)通過(guò)騰訊 iOA 終端側(cè)的客戶端，為用戶提供快速辦公應(yīng)用入口，用戶登錄后可直接獲取對(duì)應(yīng)企業(yè)網(wǎng)絡(luò)提供的應(yīng)用資源或者 OA 系統(tǒng)入口資源。并提供常用的終端異常診斷修復(fù)、自助網(wǎng)絡(luò)修復(fù)工具等能力，減少企業(yè) IT 管理成本 。

3 技術(shù)創(chuàng)新 

3.1　 技術(shù)及產(chǎn)品創(chuàng)新

（1） 采用按需建立連接的方式保護(hù)鏈路設(shè)計(jì)，不采用傳統(tǒng)的安全隧道模式。釋放業(yè)務(wù)系統(tǒng)的訪問(wèn)并發(fā)能力。比如，若應(yīng)用進(jìn)程發(fā)起的連接是 5 個(gè)，對(duì)應(yīng)的加密鏈路即會(huì)啟動(dòng) 5 個(gè)，釋放應(yīng)用自身的并發(fā)能力。如圖 3 所示  

圖 3 鏈路優(yōu)化，按需建立連接

（2） 縮小攻擊面。依據(jù)細(xì)粒度訪問(wèn)控制的思路，細(xì)化控制粒度到進(jìn)程，對(duì)網(wǎng)絡(luò)訪問(wèn)發(fā)起進(jìn)程采用應(yīng)用白名單模式，僅滿足安全要求的進(jìn)程可以發(fā)起內(nèi)部訪問(wèn)，減少供應(yīng)鏈攻擊、未知惡意代碼執(zhí)行滲透掃描。如圖 4 所示。 

圖 4 對(duì)網(wǎng)絡(luò)訪問(wèn)發(fā)起進(jìn)程采用應(yīng)用白名單模式

3.2 應(yīng)用場(chǎng)景創(chuàng)新

（1） 內(nèi)外網(wǎng)遠(yuǎn)程辦公場(chǎng)景：通過(guò)統(tǒng)一的業(yè)務(wù)安全訪問(wèn)通道，對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行終端、系統(tǒng)、應(yīng)用、訪問(wèn)權(quán)限進(jìn)行可信驗(yàn)證確認(rèn)，極大減少企業(yè)內(nèi)部資產(chǎn)被非授權(quán)訪問(wèn)的行為。

（2） 多云多通道的安全訪問(wèn)和服務(wù)器運(yùn)維場(chǎng)景：提供統(tǒng)一的訪問(wèn)控制策略，實(shí)現(xiàn)集中化授權(quán)管理，控制不同流量指向不同網(wǎng)絡(luò)。直接減少跨運(yùn)營(yíng)商、跨境的專線建設(shè)成本。

（3） 企業(yè)網(wǎng)絡(luò)對(duì)外訪問(wèn)入口的安全防護(hù)：對(duì)各種入口流量進(jìn)行安全處理，實(shí)現(xiàn)對(duì)來(lái)源流量的網(wǎng)絡(luò)策略管理。（4） 跨境跨運(yùn)營(yíng)商辦公加速：構(gòu)建可信安全的、優(yōu)質(zhì)的低延遲網(wǎng)絡(luò)接入，以及對(duì)應(yīng)的安全辦公體驗(yàn)。

４實(shí)踐效果

疫情期間，全公司 6 萬(wàn)員工，10 萬(wàn)終端使用零信任網(wǎng)絡(luò)通道。遠(yuǎn)程辦公安全網(wǎng)絡(luò)通道機(jī)器從 6 臺(tái)快速擴(kuò)容到 140 臺(tái)，增長(zhǎng) 23 倍，承載流量從不到 1G 增長(zhǎng)至最高 20G，增長(zhǎng)將近 20 倍， 完整支持各類辦公場(chǎng)景，包括流程審批、訪問(wèn)OA、遠(yuǎn)程運(yùn)維開發(fā)等。保證遠(yuǎn)程、職場(chǎng)工作體驗(yàn)一致，用戶無(wú)感知網(wǎng)絡(luò)差 。2019 年起，騰訊主導(dǎo)推進(jìn) CCSA、ITU-T 國(guó)內(nèi)及國(guó)際零信任標(biāo)準(zhǔn)立項(xiàng)，推動(dòng)全球零信任標(biāo)準(zhǔn)化應(yīng)用。

2020 年，騰訊聯(lián)合 CNCERT、公安三所、移動(dòng)等 22 家單位，正式成立了產(chǎn)業(yè)界首個(gè)零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組，并主導(dǎo)發(fā)布了國(guó)內(nèi)首個(gè)基于攻防實(shí)戰(zhàn)的零信任白皮書。 

5 結(jié)語(yǔ)

當(dāng)前，騰訊 iOA 已在金融、醫(yī)療、交通等多個(gè)行業(yè)領(lǐng)域應(yīng)用落地。從“有界”到“無(wú)界”， 作為安全創(chuàng)新的實(shí)踐者 , 騰訊一直以自研技術(shù)與解決方案應(yīng)對(duì)復(fù)雜多變的安全態(tài)勢(shì)。未來(lái)，騰訊安全將以自身最佳實(shí)踐輸出行業(yè)用戶，也希望與行業(yè)伙伴攜手探索網(wǎng)絡(luò)安全創(chuàng)新方法 , 共筑網(wǎng)絡(luò)安全防線，共享網(wǎng)絡(luò)健康生態(tài)。

作者簡(jiǎn)介 >>>

蔡?hào)|赟，學(xué)士， 騰訊企業(yè) IT 部安全技術(shù)專家， 主要研究方向?yàn)榻K端安全防護(hù)、APT 檢測(cè)、零信任。選自《信息安全與通信保密》2020年增刊１期（為便于排版，已省去原文參考文獻(xiàn)）