CSS干货直击:腾讯无边界访问控制体系建设
騰訊內(nèi)網(wǎng)安全管理建設(shè)歷經(jīng)十多年的研發(fā)積累,現(xiàn)將自身最佳實踐經(jīng)驗結(jié)合“零信任”安全理念,帶來產(chǎn)業(yè)升級下安全升維的新思路和新方法。在近日舉行的“2019互聯(lián)網(wǎng)安全領(lǐng)袖峰會”大中型政企通用安全專場上, 騰訊企業(yè)IT部安全運營中心總監(jiān)蔡晨分享了騰訊版本的零信任安全業(yè)務(wù)實踐——重構(gòu)新一代企業(yè)網(wǎng)絡(luò):騰訊無邊界訪問控制體系,以下是分享全文:
我們知道無論騰訊也好,互聯(lián)網(wǎng)公司也好,非互聯(lián)網(wǎng)公司也好,之前企業(yè)網(wǎng)絡(luò)架構(gòu)通常是重邊界的架構(gòu),會把各種安全防御措施、網(wǎng)絡(luò)隔離措施、安全設(shè)備堆在邊界上,這樣做通常有兩種結(jié)果:一是如果遇到比較嚴(yán)重APT攻擊,一旦突破邊界,內(nèi)部沒有足夠的安全檢測機(jī)制和有效防御機(jī)制;二是如果內(nèi)部業(yè)務(wù)比較復(fù)雜,整個IT在內(nèi)部管理策略和管理成本是非常高的。基于此安全和效率的問題,我們看到了零信任網(wǎng)絡(luò)架構(gòu)的價值。
2016年,騰訊在內(nèi)網(wǎng)啟動了基礎(chǔ)網(wǎng)絡(luò)環(huán)境改造的工作,騰訊無邊界控制體系究竟是怎么落地的,帶來了哪些好處,我們具體來看一下:
騰訊無邊界訪問控制方案,具體包括三個在端上的應(yīng)用場景,終端安全管理、無縫介入網(wǎng)絡(luò)場景、多維度云上、云下應(yīng)用資源和訪問資源控制場景,具體實施可參考在騰訊的應(yīng)用規(guī)模以及多個行業(yè)實施的案例。
在騰訊落地的無邊界訪問控制體系里,“無邊界”和“零信任”的要求是要做到設(shè)備可信、用戶可信、應(yīng)用可信,終端能夠在任意網(wǎng)絡(luò)中安全、穩(wěn)定、高效訪問企業(yè)資源和數(shù)據(jù)。這主要的技術(shù)挑戰(zhàn)和問題是如何做到設(shè)備的可信,如何做到用戶可信,如何做到應(yīng)用可信,怎么保障通路任意網(wǎng)絡(luò)環(huán)境中是安全和穩(wěn)定高效訪問到企業(yè)中去,這是騰訊無邊界訪問控制的核心概念和理念。
隨著企業(yè)上云,包括原有的云下業(yè)務(wù)和云上業(yè)務(wù)都在往云端遷移,傳統(tǒng)重邊界的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)除了安全性未達(dá)到全面保障,在效率和用戶體驗上都欠佳。而零信任安全架構(gòu)在安全用戶體驗和效率上能有極大的提升,可以稱得上是新一代的企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)。
在近幾年內(nèi),我們利用可信終端和可信用戶的控制體系處理了3個比較典型的事件。
首先,在2017年“永恒之藍(lán)”病毒爆發(fā),各行各業(yè)都受到了嚴(yán)重的沖擊,在爆發(fā)期間騰訊10萬臺終端只有1臺從外面環(huán)境中感染,且整個事件在5分鐘內(nèi)發(fā)現(xiàn)和阻隔處理完成,15分鐘內(nèi)把相應(yīng)端口或者風(fēng)險隔離策略下發(fā)到全網(wǎng),沒有對公司造成任何實際危害。
那么既然谷歌在BeyondCorp中能解決這個問題,我們是不是可以用這個方案更好地把內(nèi)外網(wǎng)絡(luò)接入體驗做成一致,把網(wǎng)絡(luò)架構(gòu)做成一致,在VPN訪問尤其海外VPN訪問上做到極大提升?我們當(dāng)時進(jìn)行了了替換和嘗試。通過智能網(wǎng)關(guān)與終端聯(lián)動的方式,去取代傳統(tǒng)VPN長SL點對點加密隧道的技術(shù)方式,其中用短鏈接方式,每個數(shù)據(jù)包經(jīng)過自有加密的方案,達(dá)到的效果是非常好的。除了能夠?qū)崿F(xiàn)原來VPN點對點方式之外,還能夠?qū)τ脩羯矸莅踩?#xff0c;設(shè)備安全,應(yīng)用安全,包括目標(biāo)控制等等做到非常細(xì)的顆粒度的管理和控制,取得的效果也非常明顯。
無邊界控制方案比傳統(tǒng)邊界網(wǎng)絡(luò)架構(gòu)更優(yōu)的體現(xiàn)還在于,傳統(tǒng)邊界防御體系利用防火墻控制目標(biāo)源,但這樣的做法在復(fù)雜的網(wǎng)絡(luò)中、尤其是彈性的企業(yè)資源池里對原IP、目的IP的安全是難以維護(hù)的。而通過我們無邊界控制方案能夠做到什么呢?可以根據(jù)用戶身份,不論是銷售人員,還是研發(fā)人員,還是某個業(yè)務(wù)人員,都能夠根據(jù)你機(jī)器的狀態(tài),甚至針對某個進(jìn)程,來判斷你的訪問到底是有風(fēng)險還是無風(fēng)險的。譬如企業(yè)中Xshell的問題,某個運維工具出現(xiàn)了供應(yīng)鏈投毒或供應(yīng)鏈風(fēng)險,抑或者工具存在低版本漏洞,這時候你就可以指定某些固定的、沒有風(fēng)險的或被允許的進(jìn)程才能夠訪問業(yè)務(wù)系統(tǒng)和生產(chǎn)系統(tǒng),來保持業(yè)務(wù)系統(tǒng)和生產(chǎn)系統(tǒng)的安全性。
基于身份控制,可根據(jù)開發(fā)人員和業(yè)務(wù)屬性設(shè)立源和目標(biāo),包括可信應(yīng)用的定制和可信進(jìn)程的管理。
基于目標(biāo)控制,運維系統(tǒng)可以被指定的某幾個進(jìn)程訪問,內(nèi)部的OA站點設(shè)置了某些瀏覽器的某些版本,這是經(jīng)過安全人員的測試,沒有風(fēng)險的,就可以通過無邊界網(wǎng)絡(luò)訪問到業(yè)務(wù)系統(tǒng)中。
基于狀態(tài)控制,如因為互聯(lián)網(wǎng)公司開放度比較高,可能為了方便在機(jī)器上裝不安全的代理軟件,這些代理軟件通過另外一臺機(jī)器可以通過代理軟件進(jìn)行PC透傳,有風(fēng)險有漏洞的進(jìn)程會被無邊界訪問控制系統(tǒng)阻攔掉,無法通過無邊界網(wǎng)絡(luò)訪問生產(chǎn)系統(tǒng)或者核心業(yè)務(wù)系統(tǒng)。?無邊界網(wǎng)絡(luò)訪問控制體系-應(yīng)用規(guī)模
多行業(yè)落地實施
我們已將此業(yè)務(wù)實踐凝結(jié)成為企業(yè)無邊界訪問控制產(chǎn)品方案提供給騰訊云幫助行業(yè)落地,在實施中,既保障了企業(yè)員工使用體驗,又有效提升了安全運營效率,大家的反饋和評價還是很好的。同時,由我方牽頭的“零信任安全技術(shù)-參考框架” CCSA行業(yè)標(biāo)準(zhǔn)也在本月成功立項,代表著騰訊零信任安全技術(shù)已達(dá)到指導(dǎo)性行業(yè)標(biāo)準(zhǔn)水平。
?以上就是今天的分享,感謝大家!?附記:2010年,研究機(jī)構(gòu)Forrester提出“零信任網(wǎng)絡(luò)模型”。2014年,谷歌推出BeyondCorp項目。2016年,騰訊在國內(nèi)率先落地零信任網(wǎng)絡(luò)架構(gòu)。2019年,騰訊“零信任安全技術(shù)-參考框架”獲CCSA行業(yè)標(biāo)準(zhǔn)立項。?
總結(jié)
以上是生活随笔為你收集整理的CSS干货直击:腾讯无边界访问控制体系建设的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 沙龙报名 | 数据库技术探索及行业应用
- 下一篇: 游戏数据埋点二三事