互聯(lián)網(wǎng)江湖，“偷襲”和“背叛”無處不在。

2018年6月，特斯拉指控前員工Martin Tripp侵入特斯拉制造操作系統(tǒng)，將幾個(gè)G的機(jī)密數(shù)據(jù)傳輸給外部機(jī)構(gòu)，以此蓄意破壞生產(chǎn)。

今年4月以來，互聯(lián)網(wǎng)安全領(lǐng)域風(fēng)波驟起。大型燃油運(yùn)輸管道運(yùn)營商科洛尼爾內(nèi)網(wǎng)遭黑客攻擊；日本東芝公司法國分公司740G機(jī)密信息和個(gè)人資料被職業(yè)勒索組織竊取……

當(dāng)“背叛”、“偷襲”愈演愈烈，網(wǎng)絡(luò)安全的新邊界在哪里？

在騰訊，有一群“安全俠”正力圖打破傳統(tǒng)安全的窠臼，提出“以零信任構(gòu)建信任”，在無邊界的網(wǎng)絡(luò)新世界重構(gòu)安全。

[[402308]]

騰訊安全的六位零信任“安全俠”

探路

故事要從一場(chǎng)培訓(xùn)講起。今年春節(jié)前夕，騰訊開展了一場(chǎng)特殊的“人才認(rèn)證培訓(xùn)”。10名騰訊“安全俠”圍坐在電腦前，投身于數(shù)百個(gè)學(xué)時(shí)的專業(yè)培訓(xùn)中，學(xué)習(xí)技術(shù)方案、案例實(shí)踐、合規(guī)治理等全套零信任體系，并不時(shí)在群里切磋思路，碰撞火花。

作為此次認(rèn)證的組織者，騰訊安全戰(zhàn)略專家Steven已籌備了一年多。

8年前，還在咨詢公司從事客戶側(cè)安全風(fēng)險(xiǎn)咨詢的Steven，第一次接觸到了“零信任”。

這一概念來自全球著名IT研究機(jī)構(gòu)Forrester。2010年，其分析師John Kindervag敏銳地發(fā)現(xiàn)，傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)，一旦被黑客以“可信任員工”的身份越過，便幾乎形同虛設(shè)，他創(chuàng)造出“零信任”理念，以“永不信任，持續(xù)校驗(yàn)”為思想內(nèi)核。

Steven回憶，“當(dāng)時(shí)我們?cè)谖⌒袠I(yè)研究機(jī)構(gòu)的經(jīng)驗(yàn)時(shí)，已經(jīng)感覺到這套理論和實(shí)踐的策略，對(duì)于企業(yè)具有非常強(qiáng)的吸引力。”

2017年，Steven加入騰訊，負(fù)責(zé)騰訊全球合規(guī)的體系框架設(shè)計(jì)。彼時(shí)，騰訊在內(nèi)部自主設(shè)計(jì)、實(shí)踐落地零信任安全體系已有一年多時(shí)間，但To B端的產(chǎn)品遲遲未能上線。

轉(zhuǎn)機(jī)是從“930變革”開始的。2018年，騰訊經(jīng)歷脫胎換骨：架構(gòu)大調(diào)整，扎根消費(fèi)互聯(lián)網(wǎng)，擁抱產(chǎn)業(yè)互聯(lián)網(wǎng)，零信任則成為騰訊To B商業(yè)化之后非常核心的一條戰(zhàn)略線。

挑戰(zhàn)隨之而來。“如果我們現(xiàn)在依然站在傳統(tǒng)企業(yè)IT安全的角度去和這些CEO聊業(yè)務(wù)需求、聊發(fā)展策略，那么90%的回答都會(huì)是聽不懂你在講什么，對(duì)業(yè)務(wù)有什么幫助”，在接觸零信任多年時(shí)間里，Steven意識(shí)到一個(gè)重要事實(shí)：要扭轉(zhuǎn)思維，關(guān)鍵在“人”。“需要一批專家團(tuán)隊(duì)，把零信任理念落實(shí)下來。”

2020年初突然暴發(fā)的疫情，加速了企業(yè)的數(shù)字化轉(zhuǎn)型，也讓零信任迅速走到臺(tái)前。騰訊副總裁丁珂將“零信任”確立為騰訊安全未來的發(fā)展戰(zhàn)略指導(dǎo)，從那時(shí)起，Steven開始作為安全戰(zhàn)略專家，探路“零信任認(rèn)證”。

在該領(lǐng)域，F(xiàn)orrester無疑是權(quán)威者。從2018開始,Forrester 開始發(fā)布零信任擴(kuò)展生態(tài)系統(tǒng)ZTX研究報(bào)告,探索零信任架構(gòu)在企業(yè)中的應(yīng)用,并通過ZTX認(rèn)證系統(tǒng)性地對(duì)零信任廠商的能力進(jìn)行評(píng)估。

摸底Forrester之后，Steven更加篤定，借助ZTX認(rèn)證，不僅能夠幫助團(tuán)隊(duì)建立對(duì)零信任的共同理解，還能將騰訊安全在零信任領(lǐng)域的技術(shù)產(chǎn)品、解決方案，轉(zhuǎn)化為通用的實(shí)踐性質(zhì)的知識(shí)和框架，反哺整個(gè)行業(yè)和市場(chǎng)的安全人員，實(shí)現(xiàn)中國、甚至全球零信任人才的整體提升。

進(jìn)化

4個(gè)多月前，聽到要做零信任人才認(rèn)證的消息，騰訊安全的老孫興奮不已。他自嘲，在零信任江湖行走多年，他的字典里從沒有“信任”二字。

“零信任=更安全？這還挺反常識(shí)的。”6年前，老孫第一次接觸到零信任，腦中充滿了問號(hào)，“說實(shí)話，當(dāng)時(shí)對(duì)這個(gè)概念是有一些誤會(huì)的，從字面上去理解，既然都不信任了，還搞什么安全？”

和零信任的真正結(jié)緣，是加入騰訊后。

彼時(shí)，老孫已摸清零信任的底層邏輯：“傳統(tǒng)網(wǎng)絡(luò)安全理念就像玩塔防游戲，只需在層層關(guān)卡設(shè)置‘護(hù)盾’。”零信任顛覆了這種做法，“它不僅僅要確保訪問身份、設(shè)備不能有問題，請(qǐng)求也要是從一個(gè)可信的應(yīng)用或者進(jìn)程發(fā)出來的。”

“實(shí)操中會(huì)發(fā)現(xiàn)，任務(wù)挺艱巨的”。老孫負(fù)責(zé)騰訊零信任安全產(chǎn)品的規(guī)劃，幫助客戶為零信任整體解決方案運(yùn)籌帷幄。對(duì)他而言，“930變革”同樣記憶深刻。

“那段時(shí)間，零信任產(chǎn)品市場(chǎng)化的過程中，面臨的最大困擾就是如何去解開內(nèi)部系統(tǒng)之間的耦合，讓方案去適配不同的產(chǎn)品，滿足用戶五花八門的訴求。”

老孫直言，零信任戰(zhàn)略的落地需要從用戶身份驗(yàn)證、終端合規(guī)檢測(cè)等多個(gè)方面來考慮，團(tuán)隊(duì)所面臨最主要的任務(wù)，是如何兼容不同的技術(shù)和系統(tǒng)，同時(shí)發(fā)揮騰訊自有產(chǎn)品的優(yōu)勢(shì)。

在這次培訓(xùn)中，老孫確認(rèn)了實(shí)踐的“參照系”：“采用哪種產(chǎn)品、哪種技術(shù)其實(shí)并不是最重要的，重要的是如何將整個(gè)零信任的理念貫穿和落地到整個(gè)的信息安全管理中去，如何跟各種層次的人打交道，讓他們?nèi)ソ邮芰阈湃蔚睦砟睢?rdquo;這也與Steven早期的想法不謀而合。

在他看來，此次認(rèn)證培訓(xùn)來得格外及時(shí)，“Forrester有一個(gè)比較完整的框架，整個(gè)學(xué)習(xí)的過程使我終于有機(jī)會(huì)去驗(yàn)證已有的哪些想法是對(duì)的，哪些想法可能是存在一些問題的。”

藍(lán)圖

2020年疫情暴發(fā)后，遠(yuǎn)程辦公成為常態(tài)，零信任迎來新的分水嶺。

此時(shí)的Steven正在忙于籌備ZTX認(rèn)證，老孫還在技術(shù)路線與客戶需求間博弈。而另一邊，騰訊iOA的負(fù)責(zé)人Andy已在為零信任辦公產(chǎn)品的未來市場(chǎng)謀劃藍(lán)圖。

Andy專注于安全領(lǐng)域已經(jīng)近10年，見證了零信任產(chǎn)品在騰訊的起步與轉(zhuǎn)折。2008年加入騰訊后，他主要從事終端安全領(lǐng)域的產(chǎn)品研發(fā)，也就是現(xiàn)在為公眾所熟知的電腦管家。后轉(zhuǎn)型TO B安全，研究企業(yè)終端安全產(chǎn)品“御點(diǎn)”。當(dāng)時(shí)，公司內(nèi)部辦公產(chǎn)品仍采用傳統(tǒng)的VPN方案。

知名咨詢公司Gartner曾經(jīng)預(yù)測(cè)，“2023年全球?qū)⒂?0%以上的VPN被零信任取代。”

騰訊的嗅覺尤其敏銳。早在2016年，騰訊就開始推動(dòng)內(nèi)部辦公安全落地零信任解決方案，替換VPN方案，提升公司的安全基線。幾無差別的內(nèi)外網(wǎng)辦公體驗(yàn)，讓很多騰訊員工明顯感受到了無邊界辦公帶來的便利。

Andy介紹，零信任方案市場(chǎng)化的過程中，為帶給員工更好的使用體驗(yàn)，同時(shí)方便企業(yè)的安全管理，騰訊將辦公安全的兩個(gè)產(chǎn)品——御點(diǎn)和內(nèi)網(wǎng)iOA進(jìn)行深度整合，形成了如今的“iOA零信任安全管理系統(tǒng)”。

在iOA產(chǎn)品設(shè)計(jì)之處，騰訊安全的團(tuán)隊(duì)內(nèi)部達(dá)成一個(gè)共識(shí)——希望它更多地承載一些“人”的特質(zhì)，讓員工感覺到方便，對(duì)自身工作是有幫助的。“我們希望更多地將它定位成辦公助手，而不是一個(gè)管理軟件，希望它切實(shí)對(duì)員工的工作效能和業(yè)績有較好的幫助，同時(shí)也對(duì)企業(yè)安全有較好的管理支撐。” Andy說。

疫情初始，僅用5天，騰訊便完成了從傳統(tǒng)模式向零信任安全體系的切換，7萬員工、10萬終端可以同時(shí)遠(yuǎn)程處理各種復(fù)雜的工作。

如今騰訊iOA產(chǎn)品已經(jīng)進(jìn)入泛互、物流、地產(chǎn)、教育、制造、政府、銀行等多個(gè)行業(yè)。在Andy看來，iOA不僅僅是一款產(chǎn)品，而是一整套以身份為中心的安全理念，它可以為不同安全建設(shè)期的客戶提供逐層深入的解決方案，小到終端安全，大到資產(chǎn)梳理、訪問權(quán)限管理。

在實(shí)戰(zhàn)中摸爬滾打多年，Andy仍時(shí)刻繃緊神經(jīng)。挑戰(zhàn)來源于多個(gè)方面，產(chǎn)品涉及安全范圍較廣，客戶需求的抽象，對(duì)交付速度的要求，以及項(xiàng)目的風(fēng)險(xiǎn)管理等。在他看來，這次的ZTX認(rèn)證是一次很好的充電機(jī)會(huì)，能夠幫助他去體系化學(xué)習(xí)、借鑒。

當(dāng)前，國內(nèi)的零信任生態(tài)圈被切的很碎。雖有數(shù)十家企業(yè)嘗試為企業(yè)提供零信任解決方案，但Andy認(rèn)為，“大多數(shù)的企業(yè)是封閉起來‘抄書’”，他早早地提出了構(gòu)想：希望iOA未來能夠逐漸開放，基于騰訊的自身實(shí)踐經(jīng)驗(yàn)，逐漸變成一個(gè)平臺(tái)服務(wù)于客戶，通過聯(lián)合客戶自身的安全運(yùn)營和合作伙伴，共建零信任生態(tài)。

“安全說到底是數(shù)據(jù)的安全，數(shù)據(jù)說到底都是業(yè)務(wù)的。我們希望逐漸開放部分能力和接口，讓企業(yè)深度參與到策略設(shè)定和安全運(yùn)營中來，讓每個(gè)企業(yè)能夠組建符合自身特點(diǎn)的零信任體系。”

騰訊零信任安全管理系統(tǒng) iOA

傳承

95后小楠是此次參與ZTX認(rèn)證中最年輕的專家人才。對(duì)她來說，零信任的啟蒙是從騰訊開始的。

“入職之前，我對(duì)零信任其實(shí)并不了解，只是覺得做安全是個(gè)很酷的事情。”大學(xué)時(shí)期，小楠選擇了網(wǎng)絡(luò)安全專業(yè)，學(xué)習(xí)“攻防”。四年前，一次騰訊實(shí)習(xí)經(jīng)歷，讓小楠第一次接觸到“零信任”這個(gè)詞。時(shí)值騰訊內(nèi)部零信任架構(gòu)的全面落地，作為“改革”的親歷者，那個(gè)時(shí)候的小楠“確確實(shí)實(shí)感受到了遠(yuǎn)程辦公的順暢”。

2019年，畢業(yè)于香港大學(xué)計(jì)算機(jī)系的小楠經(jīng)校招入職騰訊，擔(dān)任iOA產(chǎn)品經(jīng)理。

疫情暴發(fā)后，零信任市場(chǎng)規(guī)模迎來爆發(fā)式增長，2020年，騰訊端點(diǎn)覆蓋數(shù)已經(jīng)超過100萬。和客戶溝通方案是小楠平時(shí)最主要的工作，疫情期間，不斷找上門的需求使她忙了起來。

溝通需求，這件讓幾位前輩都頭疼的事，在小楠這里，難，卻也不難。她發(fā)現(xiàn)，很多客戶只是通過一些行業(yè)報(bào)告了解到零信任，盡管體系化的輸出需要一定過程，好在，騰訊本身就是零信任的實(shí)踐者，所以還是有很多實(shí)操的經(jīng)驗(yàn)可以分享。

兩年過去，在與客戶不斷地切磋打磨中，小楠實(shí)踐著自己對(duì)“零信任”的一套認(rèn)知體系。“零信任是要讓任何設(shè)備，不管在內(nèi)網(wǎng)還是在外網(wǎng)，都保持一個(gè)沒有驗(yàn)證就不信任的狀態(tài)，這在當(dāng)下，是辦公安全理念一次比較大的升級(jí)。”

今年年初，小楠加入到ZTX認(rèn)證中，她非常享受這個(gè)學(xué)習(xí)過程，腦海中也常閃過春節(jié)里和大家一起相互督促、交流方案的片段。

一個(gè)細(xì)節(jié)是，有一門課程是將企業(yè)分割成領(lǐng)導(dǎo)層、執(zhí)行層、普通層等多個(gè)層次，來講授如何將零信任落地，這讓小楠覺得非常“解渴”，她形容，這與整個(gè)騰訊在落地零信任的過程很相似，每一層阻礙相應(yīng)的解決方法也很符合實(shí)際，“具有很強(qiáng)的實(shí)操性”。

在這場(chǎng)全球級(jí)別的認(rèn)證中，小楠沒有太在意“專家”身份的注腳，而是把它當(dāng)作一次認(rèn)知的擴(kuò)充，“接觸到Forrester的課程以后，可以看到其他的一些企業(yè)，包括歐美市場(chǎng)對(duì)零信任的前沿解讀。”

“其實(shí)像我2019年才畢業(yè)，在零信任這方面不算是老師。”于小楠而言，認(rèn)證之后，在這個(gè)領(lǐng)域深耕下去的動(dòng)力更足了。

“像Forrester的專家也好，或者是這次一起拿到證書的專家也好，我想成為像他們一樣的人。”

[[402309]]

Forrester為騰訊零信任團(tuán)隊(duì)成員頒發(fā)ZTX專家認(rèn)證

這群“安全俠”數(shù)年的耕耘迎來了新的里程碑。5月14日， Forrester為騰訊安全團(tuán)隊(duì)的10名安全技術(shù)人才頒授了零信任領(lǐng)域權(quán)威的ZTX專家認(rèn)證。這是這家全球著名IT研究機(jī)構(gòu)首次為企業(yè)授牌，也是國內(nèi)最大規(guī)模的一次ZTX認(rèn)證。不過，小楠知道，零信任的萬里長征才剛剛開始。