背景：2018年8月21-22日，由中央網信辦、工信部和公安部指導，中國互聯網協會聯合阿里巴巴集團、螞蟻金服和阿里云等主辦的“2018網絡安全生態峰會”在北京成功舉行，海內外安全專家與從業者圍繞“共建安全防線、共治安全環境、共享安全生態”主題暢談網絡安全生態體系建設。

騰訊企業IT部總經理黃李明受邀出席本次峰會，在創新安全論壇發表”從有界到無界 騰訊新一代企業安全防御之道”的精彩議題，分享騰訊作為中國互聯網技術的引領者，是如何快速響應市場趨勢變化，將”零信任”安全完整落地，成為中國第一家無邊界企業的最佳實踐。

本文根據黃李明在峰會現場演講內容整理而成。

網絡邊界防護存在的挑戰

在按區域保護的有界防御模型里，我們會劃分很多網絡區域，包括開發人員，運維人員或者銷售人員，各種不一樣的角色，然后分區域進行保護，每個區域的權限不一樣，區域內是一致的，跨區域就不一樣了。

然后就會有個大問題，當黑客非法闖到某個區域后，他在區域內是暢通無阻的。這是目前按照網絡區域來保護內網安全無法改變的一個挑戰。

上圖是騰訊企業內網的現狀。當我們發現員工不斷的增加，角色也越來越復雜，比如外包、合作伙伴、還有各種Partner，會導致區域越劃分越細，細到區域多的無法管理。而相伴隨的設備也會越來越多，隨著WiFi，移動辦公的普及，筆記本電腦、iPad、手機等各種各樣的移動設備，會把區域更進一步的細分。結果就是隨著公司人員的增加，傳統的按區域來進行劃分的方式已經難以為繼。

除此之外，用戶側也會經常吐槽，為什么呢？

因為一個用戶他要清楚的記得，“我是開發人員，我得去接開發網”，“我是運營人員，我得接運營網“；如果說他在外地出差，可能面臨的挑戰又不一樣；比如他在公司外，還得VPN才能接入辦公網，VPN后的體驗可能跟正常辦公也不太一樣。

所以在體驗和效率上都會帶來非常大的挑戰。更尷尬的一點是，在對抗過程中我們發現，即使你有無數的區域，其實還是沒什么用，面對一些軍工級木馬或者職業黑客的攻擊，依然很難抵抗，因為這種技術方案就決定了用戶在區域內可以先天的暢通無阻。所以當公司里有十幾萬臺設備的時候，一旦有一臺設備淪陷，APT的高級攻擊就沒有辦法防御了。

傳統的網絡，按區域劃分，區域內是暢通無阻的。但隨著業務的發展，管理復雜度也非常高，難以為繼；用戶界面也很復雜；就算做了這么多事情，其實，效果還是不能徹底防御APT攻擊。

總結一下，會發現網絡邊界防護會存在如下的挑戰：

騰訊新一代企業網

下面我們來看一下騰訊企業網的實際案例，當三年前我們在設計騰訊新一代企業網的時候，著眼點就是如下兩個：

第一是效率，員工不需要記住需要接入什么網絡；也不需要關心在公司內還是公司外；不管在哪里，只要一臺設備，接入網絡就可以開始工作。

第二是安全，我們一直面臨APT攻擊的挑戰，我們怎么去防御，同時還易于管理。

為了讓安全檢測的顆粒下沉到每一臺設備和每一個用戶，我們的打法是拆大墻建小墻，這話怎么理解呢？

原來我們是區域管理，現在區域與區域之間的墻我們不需要了，現在按主機管理。

可以這么理解，每一臺主機就是一個小區域，我們的顆粒度下沉到每一臺設備。這樣的好處對于用戶顯而易見，網絡體驗足夠扁平。在公司內或者公司外工作的體驗是一樣的，而且目前我們大部分應用都是免VPN的。除此之外，海外用戶的體驗也是如此。

如果碰到海外用戶，或者是開發用戶，傳統的VPN方式是個長連接，一旦遇到弱網絡，這個體驗是非常糟糕的。

通過騰訊新一代企業網，我們把這個長連接改成了短連接，讓這個體驗更平衡。這就是剛才所說的檢測顆粒度下沉到每一臺設備、每個用戶。實際上我們是把設備、用戶、應用、訪問目標是一一對應的。

如果對騰訊有一定的了解，騰訊的客戶端已經差不多快十年的歷史了。在整個方案中，我們把智能網關部署上去了。在智能網關上完成了設備、用戶的身份及應用的驗證。

一個用戶要訪問某個資源，前提是這個設備通過驗證。

比如，設備是張三的，張三在這個設備上登陸，那么他登錄的應用都是我們知曉的，不能登錄未經驗證的非法應用。他的訪問目標有相應的控制，與應用防火墻類似。

總結一下，騰訊新一代企業網出發點平衡了安全和效率，然后具體做法就是拆大墻建小墻、顆粒度下沉、達成的目標就是用戶的設備、用戶、應用、目標是一一對應的。用戶的體驗也更友好，再也不用擔心在內網外網、國內國外，獲得的使用體驗是一樣的，只要是他自己的設備。

缺點就是家里的設備無法接入公司網絡，必須是公司派發的設備才可以。所以只要在公司完成登記的設備，那么就可以得到優質的辦公體驗。

一些實踐建議

我們在做的過程中，有一些實踐的經驗，跟大家一起分享一下。

第一，當顆粒度下沉到每一臺機器，每臺設備進網的時候，都需要校驗設備的身份和用戶的身份。為了降低用戶的門檻，我們做了很多優化的手段。安全角度來說，雙因子是必不可少的。為了讓用戶更方便的接入網絡，我們提供了多種驗證的手段。

通過APP進行驗證，比如我們有Agent在客戶端，在一天之內就可以免驗證登錄，和大家用QQ快速驗證的方法類似，或者微信的快速登錄驗證體驗是一致的，這樣的體驗后用戶的接受度就會好很多。

第二，我們新一代網絡是要做到設備、人、應用一一對應，所以我們掌握騰訊所有設備完整生命周期的庫，把它記錄起來，人和設備的關系是一一綁定的，如果他變更了，那么系統上，設備和人的關系也就變化了，我們也盡量跟上下游去打通。經常用的IP，我們也會把DHCP所有的變更同步到這個庫里面。意味著一旦出現安全事件的時候，能夠快速定位出：例如歷史上某個IP，在那個時間點，是由哪個用戶哪臺設備接的，可以很快速的串起來。這樣一旦有安全事件突發的時候，就可以快速響應，并且現在我們的網絡設備也登記在內。如果出現安全事件就可以下發命令，關閉某個設備或某個端口，這樣能夠快速響應和處理。

上下游打通還是很重要的。當有這個庫的時候，就可以把想到的各種因子都關聯到里邊去，處理起來會更靈活。

第三，還有一個建議就是因為我們有Agent。其實我們蠻糾結的，因為在十年前，我們也用的是商業產品，但商業解決方案，在騰訊會被吐槽。有兩個最重要的吐槽點：一個是接入網絡很慢。原來用某廠商的動態vlan，每臺設備接入網絡要超過一分鐘以上。很多安全軟件會導致這臺設備的性能下降很快，或者下降很多。但對于互聯網企業講究體驗的現狀來看，反對的聲音會非常明顯。

所以當時我們就做了一個折衷。我們可以假設一個場景，當你管理的設備超過3萬臺，5萬臺。其實你希望保證這3萬臺，5萬臺設備萬無一失，每臺設備都是安全的，其實這就變成了一個不可完成的任務，或者難度系數非常高的事情。所以基于這樣的考量，當設備的數量非常大的時候，發現異常的能力可能會比保護他不被入侵能力的優先級更高。

所以基于這種考慮，我們的安全客戶端，又強又輕又快。強在這里我們就不講了，因為這是所有的安全軟件都有的，這里主要是講怎么輕、怎么快。

傳統客戶端為了保護每臺設備不被入侵，會做很多檢查，運行的每個軟件都必須去Check。我們把發現能力優先級變的更高，其實我們不需要馬上去檢查，只要能夠快速發現其實也能彌補回來。所以基于這種考慮，我們做了取舍。Agent是以采集日志為主，不怎么分析。右下角有個TSOC，所有數據都往云端送，在云端可以跑很重的檢查邏輯或模型。

這樣的好處就是：

第一，我們的發現能力是可以得到保證的，現在效率達到大概15分鐘左右。如果一臺機器有異常，那么15分鐘內，就可以把網絡給斷掉，因為我們把IP和端口等都關聯起來了，主要的好處就在于客戶端，可以變得又輕又快。

第二，比如接入網絡，通過自主開發，現在進入網絡只需要三秒，把動態Vlan的東西自主實現了。而CPU占用很小，就是因為剛才所講的把一些邏輯從事中終挪到了事后。我覺得大家如果是做Agent的話，也會面臨同樣的問題。

還有一個考量，我覺得也可以分享給大家。我不知道大家公司會跑什么樣的應用。公司假如說有一千臺電腦，千臺電腦上的應用總數大家可以想一想可能數以萬計。

騰訊大概有4萬多個應用在跑。騰訊是一個互聯網公司，比較open，比較鼓勵同事們去裝各種軟件，體驗不同的產品。那這個現狀對安全來說的確是一個很大的挑戰。如果公司電腦上什么亂七八糟的應用都有，那這樣安全上就很尷尬，意味著如果去檢查這些應用的安全性，就會陷入到無窮無盡的折騰中去。

那我們怎么考慮這個問題？最初的思考是，我們不需要跟黑客或者對手去做這種正面對抗，純粹是人力的對抗。我們在想有沒有辦法把它引入到我們的主戰場。

那我們的解決方案是，因為有終端agent和智能網關的存在，訪問核心的資源我們只允許若干個程序訪問。比如如下所列出的幾個瀏覽器、郵件客戶端、還有一些開發的工具等。意味著所有的核心資源，并不是所有的工具都能訪問到，我們只允許某幾個應用程序可以訪問到。所以我們在客戶端上的安全就比較容易實施，只需要掛鉤子掛著這幾個應用程序，那么CPU的占用率、有效性等就可以得到很大的保證。因為可以指定軟件、指定版本，這些策略都可以下去，這個大家可以參考一下。

阻斷非白名單的應用對核心資源的訪問，這樣就變成了別人想攻擊你的話，只能在你的戰場上作戰，而不是沒完沒了的去無休止對抗。

還有一個建議：智能網關，就是支持分布式和平行擴容。因為隨著資源越來越分散，辦公場景也不好管理。智能網關還要支持分布式和平行擴展，這樣性能和靈活性都可以得到保證。當然我們這個是自研的，相信應該也會有類似的產品。

這是今天的分享，謝謝大家。

?

在后臺直接回復“iOA”，可獲得本次分享的PPT。

總結

以上是生活随笔為你收集整理的从有界到无界，腾讯新一代企业网引领安全创新的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。