零信任可落地性思考

零信任可落地性思考演讲人：田园

单位名称

腾讯科技零信任加速发展成为安全部门领导者关注的安全新兴技术之一零信任架构一直在快速发展和成熟，不同版本的定义给予不同的维度进行描述，在《零信任网络：在不可信网络中构建安全系统》一书中，埃文·吉尔曼（Evan

Gilman）和道格·巴斯（Doug

Barth）将零信任的定义建立在如下五个基本假设之上：网络无时无刻不处在危险的环境中。网络中至始至终存在外部或内部威胁。网络的位置不足以决定网络的可信程度。所有的设备、用户和网络流量都应当经过认证和授权。安全策略必须是动态的，并基于尽可能多的数据计算出来零信任主要架构：NIST零信任和零信任架构的定义持续诊断和缓解（CDM）系统行业合规系统威胁情报源网络与系统行为日志数据访问策略企业公钥基础设施（PKI）身份管理系统安全信息与事件管理（SIEM）系统控制平面策略引擎（PE）策略管理器（PA）策略决策点（PDP）主体企业资源不可信 策略执行点（PEP）可信零信任提供了一系列概念和思想，在假设网络环境已经被攻陷的前提下，其在执行下信息系统和服务中的访问请求时，降低其决策准确度的不确定性。零信任架构则是一种企业网络安全规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。因此，零信任企业是零信任架构规划的产物，是对企业网络基础设施（物理的和虚拟的）及运营策略的改造。零信任主要架构：Google的BeyondCorpBeyondCorp建立的目标：让每位谷歌员工都可以在不借助VPN的情况下通过不受信任的网络顺利开展工作。这意味着需要摈弃对企业特权网络(企业内网)的依赖并开创一种全新的安全访问模式。在这种全新的无特权内网访问模式下,

访问只依赖于设备和用户身份凭证，而与用户所处的网络位置无关。BeyondCorp是中国做零信任网络安全的机构最为熟悉的边界安全模型，也是零信任在中国真正的起源。2011年Google开启代号为BeyondCorp的项目，在公司内部部署实施零信任。2014年开始发表了一系列有关BeyondCorp落地的文章。2016年腾讯在企业内部开始零信任网络安全的实践和落地，并逐渐扩展到整个集团2019年Gartner发表“Market

GuideforZeroTrustNetworkAccess”2010年Forrester的首席分析师

JohnKindervag

提出

零信任（ZeroTrust）的概念2013年云安全联盟CSA提出SDP软件定义边界概念，成为零信任的第一个技术解决方案2019年腾讯零信任安全或ITU-T国际标准立项，推动全球零信任标准化应用2020年8月11日，美国NIST正式发布“零信任架构”标准（NIST

SP800-207）1994年Jericho

Forum探讨无边界化的网络安全架构与方案2020年腾讯联合零信任产业标准工作组发布《零信任实战白皮书》零信任概念的演进和实践01. 零信任安全的发展和概念腾讯零信任安全实践内网零信任落地思考目 录CONTENTS腾讯零信任建设背景及面临的挑战终端设备接入：总数10w+/天深圳北京成都上海广州各地办事处桌面设备Windows6w+，MacOS

8K+移动设备iphone

1w+，安卓

4k+海外分公司*存在特殊安全需求，如并购、投资公司，临时合作公司职场，支付业务部门，信息安全部门等。企业规模大终端基数大业务类型多操作系统多样职场分部多办公位置不确定协作厂商多互联网应用多接入意愿建设思路从四个方面进行开展：“接入改造、场景覆盖深化、接入意愿优化、运营精细化”

接入改造身份统一建设，支撑场景关联分析办公安全端&通道一体化微隔离，内部东西向访问可视byod安全抓手建设api网关安全改造场景覆盖深化威胁情报对接，soc协同分析与处置UEBA，以正常的行为建立基线，识别风险场景运营精细化打通安全能力实现半自动化安全运营提高用户及安全运营体验接入意愿提升安全隐藏于效能工具背后，以办公为抓手实现统一protal，提升接入意愿细化系统上线安全流程架构场景运营整体建设思路建设目标&蓝图腾讯无边界办公建设历程将原先的内部开发网络和内部办公网络合二为一，并根据零信任原则进行架构变革接入终端必须安装iOA

agent，agent自带端点安全杀毒补丁、安全管控、合规检查、系统加固等能力使用内部IAM系统的MFA、扫码、硬件token、短信对接认证iOA与内部OA等业务系统进行整合实现SSOiOA与内部SOC联动阻断，借助SOC的分析能力并做自动化的访问阻断降低企业风险全球接入点加速覆盖，全面覆盖海内外全体员工腾讯在建设iOA（腾讯零信任）过程中，获得了全体员工及总办高层的支持；

iOA建设初期，首先获得企业IT建设部经理的支持，在自己部门选择员工作为首批体验用户，并取得好评认可；员工体验到iOA的便捷性，例如sso、无边界办公等功能，自发形成口碑传播，越来越多的员工愿意使用iOA；随着国内员工的全面覆盖，iOA继续改善海外职场访问问题，除获海外员工支持外，进一步获得了公司高层领导的好评口碑传播共识从数字化长期发展视角在企业内达成价值共识获得高层对于零信任落地的支持规划明确零信任架构落地的最终目标与分步落地路径，明确需求预期，控制不确定性风险切入需要选择一个收益最清晰且落地风险可控的零信任（VPN替换/新建）切入场景复盘量化阶段性投入产出比，向上阐述可衡量的阶段性收益，为后续零信任覆盖范围扩张和价值延伸做准备梳理梳理全网需要被保护的资产与重要数据梳理全网用户对于资产和数据的访问关系扩张基于梳理的结果，逐步覆盖各种业务与各类用户的访问管理（提升零信任覆盖的广度）运营结合腾讯的运营经验，对全新的办公网基线与访问控制隔离方式进行有效运营适应结合腾讯iOA提供的“权限治理”等自适应安全能力，结合企业的实际情况不断优化办公网安全运营的方式融合与现有安全能力进行整合，建立统一办公安全平台，提升安全有效性，减少低ROI的安全投入（提升零信任应用的深度）替换VPN实现无边界办公自适应办公安全实践经验 安全能力 成熟产品腾讯零信任办公逐步完成办公场景的零信任架构迁移，构建更安全、高效和稳定的数字化办公环境零信任阶段性落地脉络OA与研发两网合并，减少IT设备投入成本，简化运维、提升安全性COVID-19疫情期间覆盖所有工种，远程办公，极大降低公司在疫情期间生产工作停滞的风险和经济损失。抗疫期间对外大量抗疫支撑的产品持续在迭代，比如对外持续发布免费的腾讯会议版本（eg.联合国疫情期间使用）、防疫码(eg.

全国)等产品COVID-19疫情期间，增加140台网关服务器，疫情期间从1G流量上升至平均20G，高峰期并发75w连接、35G流量2020年疫情期间，iOA支持了全员远程办公，每天有接近5.9万名员工远程接入公司网络进行全类型工作职场内每天有11.1万台设备使用零信任iOA办公，覆盖率99.99%；远程办公，每天有2.4万台设备使用零信任iOA接入腾讯内网协同工作；27家子公司，每天有7,100台设备使用零信任iOA接入腾讯内网协同工作；27个外包ODC职场，每天有1.3万台设备使用零信任iOA接入腾讯内网协同工作。零信任在腾讯的核心价值01. 零信任安全的发展和概念腾讯零信任安全实践内网零信任落地思考目 录CONTENTS研发区域办公区域访客区域数据中心DMZ基于防火墙ACL定义的边界难以满足新时代更敏捷的数字化业务支撑需求和更有效的事前安全风险控制需求权限不跟随身份，用户体验差业务关联性低，ACL管理维护难访问边界易腐化，安全风险难收敛缺乏访问主体可见性，非法访问难遏制IP防火墙不受空间限制，用户体验佳业务定义边界，紧贴业务实现敏捷运维最小化授权，最小化收敛风险蔓延实时校验访问主体，非法访问实时阻断身份零信任网关困难：防火墙上沉淀了大量支撑业务正常运作与基础安全基线的ACL策略，新的“零信任安全边界”想要实现平滑替换非常困难负面影响：以严格的访问策略替换防火墙可能会影响大面积用户的正常办公，反之则可能为企业带来安全风险挑战一：如何平滑替换防火墙挑战二：最小化权限如何运营？困难：出现新的“不可能三角”，管理效率，用户体验与访问安全三者之间仍然难以平衡白名单用户：所有员工需要自行申请访问权限，影响员工办公体验与效率（与企业生产力相冲突）白名单角色/组：全网用户和资产数量及种类太多，权限梳理复杂度过高（授权效率非常低下）闲置权限拉入黑名单：企业缺乏了解全网权限使用情况的工具与平台（不可用）负面影响：基于身份定义的新边界随着时间推移最终将会被逐渐瓦解，零信任内网实践的价值将会大打折扣但重塑内网边界后企业将会面临的挑战企业需要新的内网安全边界内网零信任建设-愿景与阻力核心价值1、实现“零摩擦”的内网零信任落地通过端点数据采集，无需进行网络架构改造即可启用对全网权限进行梳理，实现“网路架构零侵入”的权限梳理基于访问行为统计，自动生成满足办公与业务需要的最小化访问权限策略，以此实现零摩擦访问策略替换，兼顾业务与安全2、打破访问权限运营的“不可能三角”数据驱动运营，IT管理员再也不必为多变的业务需求与难以梳理的组织关系而烦恼，运维效率与业务支撑两不误基于业务需要的最小化授权，在不影响业务的基础之上最大化收敛对内暴露面，降低威胁扩散的风险权限梳理：采集全网用户的访问行为，统计全网用户的业务访问需要，对访问用户的特征信息进行聚类分析，以此实现全网资源权限梳理智能授权推荐：基于统计与分析结果，结合腾讯多年权限运营经验所沉淀的模型智能生成授权建议，帮助管理员高效完成精细化授权权限收敛：支持以收敛全网ACL为目的，收敛用户可以访问的资源范围，实现全网网络连通性通道的收敛，大大降低无边界网络中终端失陷后的威胁横向扩散风险；同时也支持以敏感资源最小化授权为目的，回收长期未使用特定敏感资源过度开放的用户权限，降低核心信息泄漏或系统被入侵的风险内网零信任建设-权限治理风险场景的应用实践异常行为检测框架基于异常行为分析的自适应访问安全基于从用户、设备、应用、环境和行为等维度的持续异常发现，对访问主体进行持续的信任评估（不止于防黑，在办公访问过程中建立持续判白的逻辑）结合不同的主体类型与异常场景，自适应调整安全策略。在尽可能不影响用户正常的业务访问体验的情况下，进行动态的安全管理CARTA学习演进内网零信任建设-异常用户行为分析当前的安全建设与运营现状未来安全建设与运营的全新面貌多个场景身份不统一终端安全能力碎片化对BYOD设备难管控难限制办公安全建设碎片化数据中心东西向访问管理粗放ACL维护难，办公网管理粗放跨域数据传输和调用缺乏管控过时的分区分域访问管理安全运营与终端安全缺乏协同攻防不对等，安全运营忙于奔命但仍然应对困难零信任安全体系安全运营存在明显短板价值收益安全建设与用户体验无法得到兼顾（安全与生产力存在冲突）边界安全有效性的维系需要巨大的维护成本投入（分区分域投入产出比极低）难以应对常态化与组织化的攻防对抗（严峻安全态势下的巨大运营压力）统一系统、网络与应用身份一体化客户端，一体化管理让安全隐藏在效能工具背后办公与安全一体化东西向访问动态可视可控基于身份定义的全新办公边界对跨域的数据访问进行精细管控动态的最小化访问授权安全运营与终端安全有机结合在风险扩散必经的环节建立行为基线，从容应对无穷尽的威胁安全运营结合的访问管理安全建设与运营对于用户近乎是无感的存在（让安全融于数字化建设）边界安全的有效性不再需要巨大的成本投入维系（更高ROI的边界安全投入）补齐安全运营短板打造更敏捷的运营体系（缓解攻防