北京時間10月10日至10月11日，由騰訊安全發(fā)起，騰訊安全科恩實(shí)驗(yàn)室與騰訊安全平臺部聯(lián)合主辦，騰訊安全學(xué)院協(xié)辦的2018騰訊安全國際技術(shù)峰會（TenSec2018）在深圳成功舉辦。

作為企業(yè)安全團(tuán)隊(duì)的代表，騰訊企業(yè)IT部安全運(yùn)營中心總監(jiān)蔡晨受邀出席，分享”從有界到無界 騰訊新一代企業(yè)安全防御之道”。云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)在掀起數(shù)字化轉(zhuǎn)型浪潮的同時，也改變了傳統(tǒng)的網(wǎng)絡(luò)邊界，帶來了全新的威脅風(fēng)險。騰訊是如何快速響應(yīng)市場趨勢變化，完成零信任安全實(shí)踐，成為中國第一家無邊界企業(yè)的？

以下是蔡晨在峰會現(xiàn)場的演講全文。

網(wǎng)絡(luò)邊界防護(hù)存在的挑戰(zhàn)

大家早上好！非常高興受邀有機(jī)會跟大家分享騰訊企業(yè)IT在云的背景下怎么做無邊界的網(wǎng)絡(luò)安全。

其實(shí)早在2014年，我們就已經(jīng)開始探索企業(yè)傳統(tǒng)安全模式會有什么樣的發(fā)展趨勢，什么樣的新企業(yè)安全網(wǎng)絡(luò)邊界或網(wǎng)絡(luò)模式更適應(yīng)未來云上的方式？當(dāng)時谷歌提出了無邊界理念，我們也參考這個理念做了一些實(shí)踐和嘗試。

我們先來看看企業(yè)內(nèi)網(wǎng)傳統(tǒng)邊界防御模式下的安全問題，一起來探討下為什么會帶來這些問題。

騰訊目前有六大BG（事業(yè)群），每個BG基本都在幾千甚至上萬人的規(guī)模。每個BG里有形形色色的業(yè)務(wù):Web類、客戶端類、手機(jī)類、AI類等等，這些業(yè)務(wù)非常復(fù)雜，要求IT在支持這些業(yè)務(wù)上劃分很多的安全邊界。

因?yàn)檫@些業(yè)務(wù)的安全等級差異比較大，對安全性的要求或?qū)π畔⒌谋Ｗo(hù)要求差異也比較大。在企業(yè)內(nèi)部，有從桌面到隔離完再到運(yùn)營區(qū)，有很多的安全區(qū)域存在，傳統(tǒng)方式以安全邊界或安全防火墻、主機(jī)防火墻為隔離邊界，導(dǎo)致在網(wǎng)絡(luò)控制，安全策略管理上的問題難以管理。

員工在工作的時候，希望通過一臺PC或筆記本、一臺手機(jī)，在一個網(wǎng)絡(luò)里既可以日常辦公，又可以上網(wǎng)查信息，還能開發(fā)、測試和運(yùn)維。員工的理想模式是這樣的，但實(shí)際在復(fù)雜的業(yè)務(wù)模式下，那么多的安全邊界限制對員工而言效率通常不會太高，這個是效率與安全方面的巨大挑戰(zhàn)。

公司內(nèi)部的終端有windows、Mac OS、Linux、IOS，開發(fā)模式又有AI、大數(shù)據(jù)訓(xùn)練、分布式編譯等等，這些分布非常復(fù)雜。區(qū)域劃分越多，管理效率越低，顆粒度越細(xì)，安全方面仍然存在問題和風(fēng)險。

現(xiàn)在APT非常普遍，這兩年攻擊手段發(fā)展也非常迅速，其實(shí)黑客有很多APT攻擊以員工做突破點(diǎn)，比如常規(guī)郵件、投毒、社工、USB等等設(shè)備，主機(jī)淪陷在APT這塊是經(jīng)常的突破口。盡管內(nèi)網(wǎng)劃分了很多邊界，但一旦被入侵打破安全邊界后，黑客可能就會輕易摸到應(yīng)用服務(wù)器。

剛才講的三點(diǎn)，其實(shí)是說我們應(yīng)該去思考新的企業(yè)模式，如何能讓效率變得更好，讓安全性變得更強(qiáng)。經(jīng)過探索，騰訊在2017年和2018年實(shí)踐了新一代的企業(yè)網(wǎng)。

騰訊新一代企業(yè)網(wǎng)

騰訊新一代企業(yè)網(wǎng)，一方面在安全上要足以應(yīng)對APT的攻擊，更易于管理；另一方面，盡管我們的場景和工作模式復(fù)雜，但對用戶的界面要足夠簡單，不需要他們記憶，更加便于工作，兼具安全和效率。

這套方法的核心思想是把傳統(tǒng)的安全防火墻和邊界拆掉，而無邊界安全的理念是保證終端足夠安全，其實(shí)是把安全顆粒度下發(fā)到了終端，要保證網(wǎng)絡(luò)通道是足夠安全，所以需要可信的設(shè)備、可信的人、可信的應(yīng)用才能穿越通道。在應(yīng)用這一側(cè)，也只接收可信的設(shè)備、終端和應(yīng)用程序發(fā)送過來的流量，這就是大概的邏輯。

如果我們能夠做到這幾點(diǎn)，其實(shí)傳統(tǒng)的網(wǎng)絡(luò)隔離問題和網(wǎng)絡(luò)邊界劃分都不再是問題。這樣的模式不但能夠在企業(yè)內(nèi)部簡化網(wǎng)絡(luò)，而且能適應(yīng)于未來大規(guī)模的業(yè)務(wù)上云，以及把開發(fā)測試環(huán)境上云，甚至把企業(yè)很多內(nèi)網(wǎng)資源放到云上。

?

第一點(diǎn)，拆大墻，建小墻，將顆粒度下沉到設(shè)備。

以前我們是把終端設(shè)備劃分為不同安全等級的網(wǎng)絡(luò)，現(xiàn)在這個網(wǎng)絡(luò)基本都被抹平，所有安全的策略、管理和加固都下沉到設(shè)備。好處是以前員工在不同角色和機(jī)器中有權(quán)限劃分，現(xiàn)在機(jī)器一樣，網(wǎng)絡(luò)權(quán)限一樣，在家里甚至都不需要VPN了。

因?yàn)閂PN的遠(yuǎn)端設(shè)備是不可信設(shè)備，需要啟用認(rèn)證身份、安全加密通道，把所有的流量通過VPN返回到企業(yè)內(nèi)部。如果我們保證終端和通道安全，這套體系就完全替代傳統(tǒng)VPN。員工在公司職場內(nèi)和職場外都是一樣的訪問和體驗(yàn)?zāi)Ｊ健?/span>

第二點(diǎn)，剛才講了用戶可信、設(shè)備可信、應(yīng)用可信。怎么做終端設(shè)備的可信？

其實(shí)就有兩個關(guān)鍵因素：

第一，這個人是不是我們的員工，如何驗(yàn)證他？

第二，設(shè)備是否受保護(hù)，狀態(tài)是否足夠干凈和健康。

首先說人的因素，在終端設(shè)備上我們強(qiáng)調(diào)雙因子認(rèn)證，有Token認(rèn)證身份，確保是我們的員工。包括還有類似微信、QQ彈窗認(rèn)證的多因子確認(rèn)身份的輔助手段。一旦身份認(rèn)證成功，會把身份從客戶端傳到辦公系統(tǒng)應(yīng)用認(rèn)證的后臺。一旦員工完成一次的身份認(rèn)證，所有的有效性身份在內(nèi)網(wǎng)、OA登錄、以及跳板機(jī)登錄場景或數(shù)據(jù)讀取場景中，整個過程是滲透式的安全身份傳遞。

如何保證終端一定安全，是可信的終端？以前很多殺毒軟件或者是安全檢測的規(guī)則其實(shí)都只做到文件級，大部分檢查文件特征值，會檢查PE的頭和MD5，安實(shí)際我們與APT不斷對抗的過程中發(fā)現(xiàn)，文件級安全檢測對高級APT樣本及職業(yè)黑客團(tuán)隊(duì)來說做的還不夠。我們發(fā)現(xiàn)的樣本中，很多利用的是高級隱藏技術(shù)，包括純內(nèi)存駐留方式，還有通過DNS或高級別隱藏式網(wǎng)絡(luò)通道的上載方式。

所以要求終端可信這部分除了常規(guī)操作系統(tǒng)外，還要對內(nèi)存進(jìn)行加固，對進(jìn)程進(jìn)行深度檢測，檢測級別需要下沉到API。因?yàn)橐坏﹥?nèi)存常駐留，對文件級的監(jiān)控和檢測不是特別有效。包括網(wǎng)絡(luò)層，也要下沉到協(xié)議級別，去看加密流量負(fù)載的情況。在這個地方我們做了大量工作，讓客戶端的數(shù)據(jù)看安全數(shù)據(jù)更深，對APT類的檢測和防御更加有效，包括端上要足夠安全。

?

大量數(shù)據(jù)如果都留在客戶端處理，其實(shí)性能消耗非常大，員工體驗(yàn)也不是特別好，機(jī)器占用的CPU和內(nèi)存都比較高。我們采用的做法是把大量要分析的數(shù)據(jù)全部拋到云上的系統(tǒng)，客戶端只做兩個傳統(tǒng)的基本事情：一個是接收云端下發(fā)的指令進(jìn)行策略執(zhí)行，一個是把需要上拋的數(shù)據(jù)進(jìn)行上報，形成輕客戶端和云上“胖?jǐn)?shù)據(jù)”的模式，所有的數(shù)據(jù)都在云上的系統(tǒng)檢測，效果會比較好，效率高，CPU占用率低，事件報警和分析的速度也會非常快，安全人員在有問題的時候可以及時快速介入。

?

除了有可信的人、可信的終端之外，端上可信還有一點(diǎn)。我們知道傳統(tǒng)企業(yè)內(nèi)網(wǎng)的網(wǎng)絡(luò)層基本是通的，意味著敏感資源、服務(wù)器資源的所有流量都可以觸達(dá)。那么對黑客而言有如下幾種方式利用：

? 第一，自己偽造進(jìn)程，這個進(jìn)程可以直接訪問到應(yīng)用資源。

? 第二，注入到系統(tǒng)進(jìn)程里，利用偽裝系統(tǒng)的模塊和API，訪問應(yīng)用資源。

? 第三，注入正常進(jìn)程及常用軟件和工具進(jìn)程中。

這時候?qū)ξ覀兌缘囊稽c(diǎn)就是，如何讓我們信任的應(yīng)用通過通道？剛才我講的幾種黑客的方式，需要安全團(tuán)隊(duì)對抗的應(yīng)用是無窮無盡的。舉個例子，一個人辦公機(jī)上的進(jìn)程是上千量級，如果要做一萬臺機(jī)器，會發(fā)現(xiàn)一萬個人有一萬個哈姆雷特，這里面的進(jìn)程都是十幾萬的量級。

這個應(yīng)用進(jìn)程的數(shù)量非常大，包括版本不同進(jìn)程的MD5就不同。這個時候安全人員需要分析和對抗的量很大，在這種無邊界項(xiàng)目中探索的是，有沒有可能把企業(yè)內(nèi)部的應(yīng)用進(jìn)行簡化和梳理，其實(shí)只需要把正常工作的進(jìn)程和進(jìn)程流量變得可信，這部分的進(jìn)程和流量能穿越我們的安全通道。所以這時候就把與那些無窮無盡的進(jìn)程對抗和檢測的事，變成了十幾個甚至二十個進(jìn)程保護(hù)的問題。

所以我們把如何讓進(jìn)程變得可信進(jìn)行了梳理，在進(jìn)程的流量里加入可信標(biāo)簽，去加入相應(yīng)的票據(jù)，然后拿到票據(jù)和安全可信標(biāo)簽的流量，才能通過我們的安全網(wǎng)關(guān)。

第三點(diǎn)，安全網(wǎng)關(guān)問題。

剛才講到可信設(shè)備、可信人，不只是在企業(yè)內(nèi)部，有可能在全球任何一個角落進(jìn)行工作。通過這個安全網(wǎng)關(guān)，他會問這是不是騰訊員工的機(jī)器？這臺機(jī)器是否安全可信？機(jī)器上的應(yīng)用進(jìn)程是否已授權(quán)？應(yīng)用進(jìn)程每一個包是否含有合法標(biāo)簽、合法票據(jù)？如果這些條件都符合，智能網(wǎng)關(guān)會把流量拋向業(yè)務(wù)服務(wù)器及內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器資源，從而達(dá)到無邊界效果。

?

?

通過這種方式，在智能網(wǎng)關(guān)和后臺上，不需要讓每一個應(yīng)用都改變，比如應(yīng)用是否足夠健壯、應(yīng)用流量是否加密、是否對應(yīng)用進(jìn)行合法身份的健全。如果我們在企業(yè)內(nèi)部這個工作是難以推動的，應(yīng)用改造的成本也非常大。通過智能網(wǎng)關(guān)及終端安全iOA的協(xié)同配合，可以解決統(tǒng)一企業(yè)內(nèi)部的可信端和可信流量，進(jìn)行安全數(shù)據(jù)傳遞和安全訪問。

一些實(shí)踐建議

在騰訊而言，無邊界網(wǎng)絡(luò)基本就是用一張企業(yè)網(wǎng)簡化了原來很多張網(wǎng)的復(fù)雜的網(wǎng)絡(luò)劃分，也簡化了網(wǎng)絡(luò)界面，把傳統(tǒng)的防火墻和網(wǎng)絡(luò)邊界拆掉，把安全邊界下沉到主機(jī)上，讓主機(jī)變得可信；主機(jī)終端盡可能讓監(jiān)控更深，在云端完成分析工作，進(jìn)行云管云控；這樣效率和安全上都有很大的提升，員工如今在一張網(wǎng)上就可以做所有的工作。

剛剛的理念，跟谷歌的無邊界概念比較像，但實(shí)際差異比較大，他們是以安全網(wǎng)關(guān)為核心的，而我們在此基礎(chǔ)上，更加強(qiáng)了在終端上可信通道和可信應(yīng)用的概念。

在實(shí)際操作過程中，有一些比較底層的數(shù)據(jù)需要打通。比如網(wǎng)絡(luò)數(shù)據(jù)、主機(jī)數(shù)據(jù)，只有IT部門把這些數(shù)據(jù)全部融合到企業(yè)的基礎(chǔ)信息庫里，剛才講到的端識別、人識別包括應(yīng)用識別才有可能實(shí)現(xiàn)。如果沒有基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)數(shù)據(jù)，其實(shí)在實(shí)現(xiàn)無邊界網(wǎng)絡(luò)的時候，會碰到各種各樣的問題。

這是谷歌2014年的論文，我們在此基礎(chǔ)上做了騰訊版本的探索與實(shí)踐。

這是我今天分享的內(nèi)容，謝謝大家。

總結(jié)

以上是生活随笔為你收集整理的腾讯企业IT部蔡晨：从有界到无界，新一代企业安全防御之道的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。