MicrosoftInternetExplorer402DocumentNotSpecified7.8 磅Normal0
摘要:
腾讯零信任安全管理系统 iOA,基于终端安全、身份安全、应用安全、链路安全等核心能力,对终端访问过程进行持续权限控制和安全保护,在任何网络环境何网络环境中安全、稳定、高效地访问企业资源和数据,帮助企业降低内部网络办公、远程办公、云办公、跨境办公等不同业务场景的风险。
关键词:
零信任;无边界;远程办公;跨境办公;持续保护;iOA
0引言
腾讯零信任安全管理系统iOA(以下简称“腾讯 iOA”),它是腾讯独立设计和开发的零信任、无边界的访问系统。根据终端安全、身份安全、应用安全、链路安全等核心能力,可以控制企业公共云、私有云和本地资源的访问权限,对终端访问过程进行持续的权限控制和安全保护,确保企业资源的可信访问,帮助企业降低内网办公、远程办公、云办公等不同业务场景的风险,无论员工在哪里建立 (Anywhere)、何时 (Anytime)、使用何种设备 (Any device) 可以安全访问授权资源处理任何业务 (Any work)的新型“4A 办公”方式。
1产品设计背景
在互联网时代,远程协作办公逐渐发展成为社会的新常态。在新的办公模式下,也带来了各种安全和局限性的挑战:企业规模大:设备数量多,类型多样化(Mac、Windows、台式机、笔记本电脑、移动设备等。).业务类型多:涉及金融、社交、游戏、云服务等业务,使用的办公工具不同,业务对应的办公安全敏感度也不同。职场分支机构多:有遍布世界各地的办事处,有通过专线连接集团企业网络的职场,包括特殊外包职场、投资后公司、分支机构等。合作厂商多:供应商合作系统办公、合作研发、运维。高级威胁:面临行业内专业黑客组织入侵、敏感数据泄露等风险。员工体验:面对职场青年对办公接入、访问等经验性要求。自然灾害或其他应急场景:台风、疫情、新年突发业务高峰等远程办公需求,涉及内部系统使用、R&D、运维等要求。业务特殊性:跨境收发邮件,登录办公系统,非办公场所R&D、运维。为了解决上述问题,腾讯从 2015 自主设计、研发、部署腾讯 iOA。面对大量用户、大型业务、多分支工作场所、高级威胁攻击、远程办公、跨境办公等复杂环境,员工可以安全访问企业资源和数据 。
2整体方案
图 1 腾讯 iOA 整体方案架构
腾讯 iOA 如图 所示1 所示,通过在公司建立 iOA 实现以下安全能力:
(1)用户身份可信身份认证提供多种认证方式,包括手机软 Token\硬件 Token\扫码认证等,可与企业内部统一的身份认证体系对接。
(2)应用进程可信指定终端的可信应用进程白名单。应用识别特征包括发行商、签名、HASH、签名使用的根证书和其他特征。只有满足安全要求的应用程序才能访问企业内部资源,降低未知恶意代码入侵的风险。一般来说,如果企业对安全有较高的需求和潜在的 APT、供应链攻击风险相对简单有效。支持过程安全检测。提供病毒过程检测和未知灰过程二次检测;如果发现系统无法区分过程,安全操作人员可以通过第三方威胁情报接口和沙箱检测来分析和决定是否添加白名单。
(3)设备安全可靠,操作系统环境可靠。支持病毒检查、漏洞修复、安全加固、合规检测、数据保护EDR 等多方位的终端管控能力。由于企业部门或者集团子公司业务需求不同,安全保护的诉求亦不同。可按照企业不同业务的安全等级,对终端分配不同的安全策略。保障硬件设备可信。对非企业提供的私人硬件设备资产,可统一采用安全基线检查,仅满足安全合规检查的设备可接入。当发生紧急远程业务需求时,员工需要临时使用“新设备” 在完成工作时,新接入设备应通过合规的安全基线和合法的身份注册来实现可信度。iOA 安全技术由老牌杀毒引擎研发等团队支持。41 次 vb100,服务 6 拥有国际一流的腾讯安全联合实验室技术支持的1亿市场用户获得了世界七大权威机构的大满贯评价和100多个最高评级。
(4)链路保护和加速优化保护链路设计采用按需建立连接的方式,不采用传统的安全隧道模式,以满足类似浏览器访问网页或一些本地应用程序并发连接的访问场景。释放业务系统的访问并发能力,在零信任计划下通过分离登录和链接建立上下文,减少访问授权账单的重新登录,提高访问连接的稳定性和用户体验。模拟不同网络环境下访问内部网络 Web 零信任和门户系统虚拟专用网络登录和 计划Web 页面加载完成时间消耗测试如下:在企业内部,提供平行扩展网关、链路加密等能力,避免攻击者通过内部沦陷节点进行流量分析,企业在完成传统终端设备网络准入后,仍需进行身份验证和权限控制,访问具体的业务系统。用户和业务系统的直接连接通过网关隔离。在互联网端,提供链路加密和全球接入点部署加速,以满足弱网络(如小运营商、高包装率)、跨境(跨境线路、大延迟)接入网络延迟等问题,解决频繁断重连,提高远程办公体验。如图所示2 所示。
图 2 虚拟专用网络在弱网络下登录和访问零信任网络的资源
(5)访问控制是基于访问关键对象的组合策略。支持不同的人员(角色 \ 部门等)- 应用白名单清单- 可访问业务系统的组合发布了不同的访问策略。从访问控制策略到终端应用程序水平的细粒度大大提高了攻击难度。当企业发现安全风险并影响访问过程中涉及的关键对象时,可以禁止对人员、设备和访问权限进行自身安全检测。
(6)基线变化和内部 SOC动态访问控制是基于安全合规基线的变化。根据企业的经营需要,对被控终端收集到的安全基线状态做出相应的动态响应决策。当发现基线安全状态存在风险时,及时阻断终端访问,实现动态访问控制。支持企业内部的 SOC 平台系统。SOC 集成企业内的所有安全设备 /该系统的日志和检测结果具有较强的安全分析能力,支持检测用户身份、终端设备等关键对象的安全风险。iOA 可以借助调用 SOC 及时阻断风险访问的检测结果信息。SOC 当平台难以自动判断风险时,安全运营团队可以通过人工分析将确认的风险报警推给腾讯 iOA 进行阻断。
(7)垂直业务流量联动登录,用户体验提升 Web 类流量,终端认证结果跟随 Web流量进入网关后,可提供一键授权和统一登录能力。SSH、RDP 等待流量,可提供 API 与服务器运维区域运维跳板机间的身份联动,统一权限管理。终端使用 SSH 在客户端工具中,如果处于零信任网络工作环境中,支持快速登录到跳板机进行服务器访问。跳板机登录后,可在跳板机入口处操作相应的操作维护访问安全控制,如命令限制、审计、阻断访问等。
(8)通过腾讯 改进其他办公体验iOA 终端侧的客户端为用户提供快速办公应用入口,用户登录后可直接获取相应企业网络提供的应用资源或 OA 系统入口资源。并提供终端异常诊断修复、自助网络修复工具等常用能力,减少企业 IT 管理成本 。
3技术创新
3.1 技术和产品创新
(1)采用用传统的安全隧道模式,采用按需建立连接的方式保护链路设计。释放业务系统的访问并发能力。例如,如果应用程序启动的连接是 5 1、相应的加密链路即将启动 5 释放应用本身的并发能力。3 所示
图 3 链路优化,按需建立连接
(2)缩小攻击面。根据细粒度访问控制的理念,细化粒度控制到过程,采用白名单模式启动网络访问。只有满足安全要求的过程才能启动内部访问,减少供应链攻击和未知恶意代码的渗透扫描。如图所示4 所示。
图 4 应用白名单模式来启动网络访问的过程
3.2应用场景创新
(1)内外网络远程办公场景:通过统一的业务安全访问渠道,可信验证和确认终端、系统、应用和访问权限,大大减少企业内部资产的非授权访问。
(2)多云多通道的安全访问和服务器运维场景:提供统一的访问控制策略,实现集中化授权管理,控制不同流量指向不同网络。直接减少跨运营商、跨境的专线建设成本。
(3)企业网络对外访问入口的安全保护:安全处理各种入口流量,实现源流量的网络战略管理。(4)跨境跨运营商办公加速:构建可靠、安全、高质量的低延迟网络接入,以及相应的安全办公体验。
4实践效果
疫情期间,全公司 6 万员工,10万终端采用零信任网络通道。远程办公安全网络通道机从 6 台湾迅速扩容到 140台,增长 23 倍,承载流量从不到 1G 增长至最高 20G,增长将近 20完全支持各种办公场景,包括流程审批和访问OA、远程运维开发等。确保远程、工作体验一致,用户无感知网络差 。2019 年起,腾讯率先推广 CCSA、ITU-T 国内外零信任标准立项,推动全球零信任标准化应用。
2020年,腾讯联合 CNCERT、公安三所,移动等 22 该单位正式成立了行业内第一个零信任行业标准工作组,并主导了中国第一个基于攻防实战的零信任白皮书。
5结语
当前,腾讯 iOA 已应用于金融、医疗、交通等行业。“有界”到“无界”,作为安全创新的实践者 ,腾讯一直在用自主研发的技术和解决方案来应对复杂多变的安全趋势。未来,腾讯安全将以其最佳实践出口行业用户,并希望与行业合作伙伴合作探索网络安全创新方法 ,共建网络安全防线,共享网络健康生态。
作者简介 >>>
蔡东云,学士, 腾讯企业 IT 部安全技术专家,主要研究方向为终端安全防护、APT 检测,零信任。选择信息安全与通信保密2020年增刊1期(为便于排版,原文参考文献已省略)