摘要：

騰訊零信任安全管理系統(tǒng) iOA，基于終端安全、身份安全、應用安全、鏈路安全等核心能力，對終端訪問過程進行持續(xù)的權限控制和安全保護，實現(xiàn)終端在任意網(wǎng)絡環(huán)境中安全、穩(wěn)定、高效的訪問企業(yè)資源及數(shù)據(jù)，助力企業(yè)降低內(nèi)網(wǎng)辦公、遠程辦公、云上辦公、跨境辦公等不同業(yè)務場景風險。

關鍵詞：

零信任；無邊界；遠程辦公；跨境辦公；持續(xù)保護；iOA 

0 引言

騰訊零信任安全管理系統(tǒng)iOA（以下簡稱“騰訊 iOA”），是騰訊自主設計和研發(fā)的零信任無邊界的訪問系統(tǒng)?？煽刂茖ζ髽I(yè)公有云、私有云以及本地資源的訪問權限，基于終端安全、身份安全、應用安全、鏈路安全等核心能力， 對終端訪問過程進行持續(xù)的權限控制和安全保護，確保對企業(yè)資源的可信訪問，助力企業(yè)降低內(nèi)網(wǎng)辦公、遠程辦公、云上辦公等不同業(yè)務場景風險，打造員工無論位于何處 (Anywhere)、何時 (Anytime)、使用何設備 (Any device) 都可安全地訪問授權資源，以處理任何業(yè)務 (Any work)的新型“4A 辦公”方式。

1 產(chǎn)品設計背景

聯(lián)網(wǎng)時代，遠程協(xié)同辦公逐漸發(fā)展成為社會的新常態(tài)。新的辦公模式之下，隨之帶來的也是安全及局限問題的各類挑戰(zhàn)：企業(yè)規(guī)模大：設備數(shù)量多，類型多樣化（Mac、Windows、臺式機、筆記本、移動設備等）。業(yè)務類型多：涉及金融、社交、游戲、云服務等業(yè)務，使用的辦公工具不同，業(yè)務對應的辦公安全敏感程度亦不同。職場分部多：有遍布各地的辦事處，有通過專線連接集團企業(yè)網(wǎng)絡的職場，包括特殊外包職場、投后公司、切分公司等。協(xié)作廠商多：供應商協(xié)作系統(tǒng)辦公、協(xié)作研發(fā)運維。高級威脅：面臨行業(yè)的專業(yè)黑客組織入侵及敏感數(shù)據(jù)泄密等風險。員工體驗：面臨職場年輕化對辦公領域接入、訪問等體驗性要求。天災或者其他應急場景：臺風、疫情、過年突發(fā)業(yè)務高峰等遠程辦公訴求，涉及內(nèi)部系統(tǒng)使用、研發(fā)、運維等要求。業(yè)務特殊性：跨境收發(fā)郵件、登入辦公系統(tǒng)， 非辦公場所研發(fā)、運維。為解決以上問題，騰訊從 2015 年開始自主設計、研發(fā)并在內(nèi)部部署騰訊 iOA。面對大量用戶、海量業(yè)務、多分支職場、經(jīng)常面臨高級威脅攻擊、遠程辦公、跨境辦公等復雜環(huán)境，實現(xiàn)員工位于何處、使用任何設備都可以安全訪問企業(yè)資源與數(shù)據(jù) 。

2 整體方案 

圖 1 騰訊 iOA 整體方案架構

騰訊 iOA 整體方案如圖 1 所示，通過在公司建立 iOA 零信任網(wǎng)絡，實現(xiàn)以下安全能力：

（1）用戶身份可信身份認證提供多種認證方式，包括手機端軟 Token\ 硬件 Token\ 掃碼認證等，可對接企業(yè)內(nèi)部統(tǒng)一的身份認證系統(tǒng)。

（2）應用進程可信指定終端的可信應用進程白名單。應用識別特征包括發(fā)行商、簽名、HASH、簽名使用的根證書等特征。只有滿足安全要求的應用進程， 可以發(fā)起對企業(yè)內(nèi)部資源的訪問，減少未知惡意代碼入侵風險。一般來說，一個企業(yè)的辦公應用的數(shù)量是有限的，如果一家企業(yè)對安全有較高需求，并且有潛在 APT、供應鏈攻擊風險， 采用此方式比較簡單且有效果。支持進程安全檢測。提供病毒進程檢測、未知灰進程二次檢測；發(fā)現(xiàn)系統(tǒng)無法判別進程， 可通過第三方威脅情報接口、沙箱檢測等方式， 由安全運營人員分析決策是否加白名單放行。

（3）設備安全可信保障操作系統(tǒng)環(huán)境可信。支持病毒查殺、漏洞修復、安全加固、合規(guī)檢測、數(shù)據(jù)保護、EDR 等多方位的終端管控能力。由于企業(yè)部門或者集團子公司業(yè)務需求不同，安全保護的訴求亦不同?？砂凑掌髽I(yè)不同業(yè)務的安全等級， 對終端分配不同的安全策略。保障硬件設備可信。對非企業(yè)提供的私人硬件設備資產(chǎn)，可統(tǒng)一采用安全基線檢查，僅滿足安全合規(guī)檢查的設備可接入。當發(fā)生緊急遠程業(yè)務需求時，員工需要臨時使用“新設備” 來完成工作時，對新接入設備采用安全基線合規(guī)、身份合法注冊的方式實現(xiàn)設備可信。騰訊 iOA 安全技術由老牌殺毒引擎研發(fā)等團隊支撐。支持 41 次 vb100，服務 6 億市場用戶， 擁有國際一流的騰訊安全聯(lián)合實驗室技術支持， 獲得全球七大權威機構評測大滿貫，百余次最高評級。

（4）鏈路保護與加速優(yōu)化保護鏈路設計采用按需建立連接的方式， 不采用傳統(tǒng)的安全隧道模式，滿足類似瀏覽器訪問網(wǎng)頁或者一些本地應用有并發(fā)連接的訪問場景。釋放業(yè)務系統(tǒng)的訪問并發(fā)能力，在零信任方案下通過分離登錄和鏈路建立上下文，采用根據(jù)訪問授權票據(jù)上下文減少重新登錄，很好地提升訪問連接穩(wěn)定性和用戶體驗。模擬不同網(wǎng)絡環(huán)境下訪問內(nèi)網(wǎng) Web 門戶系統(tǒng)，零信任和虛擬專用網(wǎng)絡方案在登錄和 Web 頁面加載完成時耗的測試情況如下：在企業(yè)內(nèi)部，提供平行擴容的網(wǎng)關、鏈路加密等能力，避免攻擊者通過內(nèi)部淪陷節(jié)點進行流量分析，企業(yè)在做完傳統(tǒng)的終端設備網(wǎng)絡準入后，依然要做身份校驗和權限控制來訪問具體的業(yè)務系統(tǒng)。通過網(wǎng)關隔離了用戶和業(yè)務系統(tǒng)的直接連接。在互聯(lián)網(wǎng)端，提供鏈路加密與全球接入點部署加速，滿足弱網(wǎng)絡（如小運營商，丟包率高）、跨境（跨洋線路，延遲大）接入網(wǎng)絡延遲等問題， 解決頻繁斷線重連，提升遠程辦公體驗。如圖 2 所示。

圖 2  虛擬專用網(wǎng)絡與零信任網(wǎng)絡在弱網(wǎng)絡下登錄及訪問資源情況

（5）持續(xù)訪問控制基于訪問關鍵對象的組合策略進行訪問控制。支持針對不同的人員（角色 \ 部門等）- 應用白名單清單- 可訪問的業(yè)務系統(tǒng)的組合關系， 下發(fā)不同的訪問策略。訪問控制策略細粒度到終端應用進程級別，大大增加攻擊難度。當企業(yè)發(fā)現(xiàn)安全風險，影響到訪問過程涉及到的關鍵對象時，自身安全檢測可以發(fā)起針對人、設備、訪問權限的禁止阻斷。

（6） 基線變化和企業(yè)內(nèi)部 SOC 做動態(tài)的訪問控制基于安全合規(guī)基線變化進行動態(tài)訪問控制。通過對受控終端收集到的安全基線狀態(tài)，根據(jù)企業(yè)運營需求，做對應的動態(tài)響應決策。在發(fā)現(xiàn)基線安全狀態(tài)存在風險時及時阻斷終端訪問， 以此實現(xiàn)動態(tài)訪問控制。支持對接企業(yè)內(nèi)部的 SOC 平臺系統(tǒng)。SOC 集成企業(yè)內(nèi)部所有的安全設備 / 系統(tǒng)的日志和檢測結果，并具備很強的安全分析能力，支持檢測到對用戶身份、終端設備等關鍵對象非常明確的安全風險。騰訊 iOA 可借助調(diào)用 SOC 的檢測結果信息，對風險訪問進行及時阻斷。當發(fā)生 SOC 平臺難以自動化判斷的風險時，可進一步由安全運營團隊經(jīng)過人工分析，將確認的風險告警，推送給騰訊 iOA 進行阻斷。

（7） 垂直業(yè)務流量聯(lián)動登錄，提升用戶體驗對于 Web 類流量，終端認證結果跟著 Web流量進入網(wǎng)關之后，可提供一鍵授權、統(tǒng)一登錄能力。對于 SSH、RDP 等流量， 可以提供 API 與服務器運維區(qū)域運維跳板機間的身份聯(lián)動，做統(tǒng)一權限管理。終端使用 SSH 客戶端工具時， 如果處于零信任網(wǎng)絡工作的環(huán)境里面，支持快速登錄到跳板機器，進行服務器訪問。從跳板機器登錄之后，對應的運維訪問安全控制便可在跳板機入口操作，比如命令限制、審計、阻斷訪問等。

（8）其他辦公體驗改進通過騰訊 iOA 終端側(cè)的客戶端，為用戶提供快速辦公應用入口，用戶登錄后可直接獲取對應企業(yè)網(wǎng)絡提供的應用資源或者 OA 系統(tǒng)入口資源。并提供常用的終端異常診斷修復、自助網(wǎng)絡修復工具等能力，減少企業(yè) IT 管理成本 。

3 技術創(chuàng)新 

3.1　 技術及產(chǎn)品創(chuàng)新

（1） 采用按需建立連接的方式保護鏈路設計，不采用傳統(tǒng)的安全隧道模式。釋放業(yè)務系統(tǒng)的訪問并發(fā)能力。比如，若應用進程發(fā)起的連接是 5 個，對應的加密鏈路即會啟動 5 個，釋放應用自身的并發(fā)能力。如圖 3 所示  

圖 3 鏈路優(yōu)化，按需建立連接

（2） 縮小攻擊面。依據(jù)細粒度訪問控制的思路，細化控制粒度到進程，對網(wǎng)絡訪問發(fā)起進程采用應用白名單模式，僅滿足安全要求的進程可以發(fā)起內(nèi)部訪問，減少供應鏈攻擊、未知惡意代碼執(zhí)行滲透掃描。如圖 4 所示。 

圖 4 對網(wǎng)絡訪問發(fā)起進程采用應用白名單模式

3.2 應用場景創(chuàng)新

（1） 內(nèi)外網(wǎng)遠程辦公場景：通過統(tǒng)一的業(yè)務安全訪問通道，對網(wǎng)絡訪問進行終端、系統(tǒng)、應用、訪問權限進行可信驗證確認，極大減少企業(yè)內(nèi)部資產(chǎn)被非授權訪問的行為。

（2） 多云多通道的安全訪問和服務器運維場景：提供統(tǒng)一的訪問控制策略，實現(xiàn)集中化授權管理，控制不同流量指向不同網(wǎng)絡。直接減少跨運營商、跨境的專線建設成本。

（3） 企業(yè)網(wǎng)絡對外訪問入口的安全防護：對各種入口流量進行安全處理，實現(xiàn)對來源流量的網(wǎng)絡策略管理。（4） 跨境跨運營商辦公加速：構建可信安全的、優(yōu)質(zhì)的低延遲網(wǎng)絡接入，以及對應的安全辦公體驗。

４實踐效果

疫情期間，全公司 6 萬員工，10 萬終端使用零信任網(wǎng)絡通道。遠程辦公安全網(wǎng)絡通道機器從 6 臺快速擴容到 140 臺，增長 23 倍，承載流量從不到 1G 增長至最高 20G，增長將近 20 倍， 完整支持各類辦公場景，包括流程審批、訪問OA、遠程運維開發(fā)等。保證遠程、職場工作體驗一致，用戶無感知網(wǎng)絡差 。2019 年起，騰訊主導推進 CCSA、ITU-T 國內(nèi)及國際零信任標準立項，推動全球零信任標準化應用。

2020 年，騰訊聯(lián)合 CNCERT、公安三所、移動等 22 家單位，正式成立了產(chǎn)業(yè)界首個零信任產(chǎn)業(yè)標準工作組，并主導發(fā)布了國內(nèi)首個基于攻防實戰(zhàn)的零信任白皮書。 

5 結語

當前，騰訊 iOA 已在金融、醫(yī)療、交通等多個行業(yè)領域應用落地。從“有界”到“無界”， 作為安全創(chuàng)新的實踐者 , 騰訊一直以自研技術與解決方案應對復雜多變的安全態(tài)勢。未來，騰訊安全將以自身最佳實踐輸出行業(yè)用戶，也希望與行業(yè)伙伴攜手探索網(wǎng)絡安全創(chuàng)新方法 , 共筑網(wǎng)絡安全防線，共享網(wǎng)絡健康生態(tài)。

作者簡介 >>>

蔡東赟，學士， 騰訊企業(yè) IT 部安全技術專家， 主要研究方向為終端安全防護、APT 檢測、零信任。選自《信息安全與通信保密》2020年增刊１期（為便于排版，已省去原文參考文獻）