田园零信任可落地性思考

零信任可落地性思考 演讲人：田园单位名称腾讯科技 目 录 CONTENTS 01.零信任安全的发展和概念 02.腾讯零信任安全实践 03.内网零信任落地思考 零信任加速发展成为安全部门领导者关注的安全新兴技术之一 零信任架构一直在快速发展和成熟，不同版本的定义给予不同的维度进行描述，在 《零信任网络：在不可信网络中构建安全系统》一书中，埃文·吉尔曼（EvanGilman）和道格·巴斯（DougBarth）将零信任的定义建立在如下五个基本假设之上： 网络无时无刻不处在危险的环境中。 网络中至始至终存在外部或内部威胁。 网络的位置不足以决定网络的可信程度。 所有的设备、用户和网络流量都应当经过认证和授权。 安全策略必须是动态的，并基于尽可能多的数据计算出来 持续诊断和缓解 （CDM）系统 数据访问策略 行业合规系统 企业公钥基础设施 （PKI） 威胁情报源 身份管理系统 网络与系统行为日志 安全信息与事件管理（SIEM）系统 控制平面 策略引擎 （PE） 策略管理器 （PA） 策略决策点 （PDP） 主体 不可信 策略执行点 （PEP） 可信 企业资源 零信任提供了一系列概念和思想，在假设网络环境已经被攻陷的前提下，其在执行下信息系统和服务中的访问请求时，降低其决策准确度的不确定性。零信任架构则是一种企业网络安全规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。因此，零信任企业是零信任架构规划的产物，是对企业网络基础设施（物理的和虚拟的）及运营策略的改造。 零信任主要架构：NIST零信任和零信任架构的定义 零信任主要架构：Google的BeyondCorp BeyondCorp建立的目标：让每位谷歌员工都可以在不借助VPN的情况下通过不受信任的网络顺利开展工作。这意味着需要摈弃对企业特权网络(企业内网)的依赖并开创一种全新的安全访问模式。在这种全新的无特权内网访问模式下,访问只依赖于设备和用户身份凭证，而与用户所处的网络位置无关。BeyondCorp是中国做零信任网络安全的机构最为熟悉的边界安全模型，也是零信任在中国真正的起源。 零信任概念的演进和实践 2010年 Forrester的首席分析师JohnKindervag提出零信任（ZeroTrust）的概念 2013年 云安全联盟CSA提出SDP软件定义边界概念，成为零信任的第一个技术解决方案 2019年 腾讯零信任安全或ITU-T国际 标准立项，推动全球零信任标准化应用 2020年 腾讯联合零信任产业标 准工作组发布《零信任实战白皮书》 1994年 JerichoForum探讨无边界化的网络安全架构与方案 2011年 Google开启代号为BeyondCorp的项目， 在公司内部部署实施零信任。2014年开始发表了一系列有关BeyondCorp落地的文章。 2016年 腾讯在企业内部开始零信任网络安全的实践和落地，并逐渐扩展到整个集团 2019年 Gartner发表“MarketGuideforZeroTrustNetworkAccess” 2020年 8月11日，美国NIST正式发布“零信任架构”标准 （NISTSP800-207） 目 录 CONTENTS 01.零信任安全的发展和概念 02.腾讯零信任安全实践 03.内网零信任落地思考 终端设备接入：总数10w+/天 北京 成都 上海 广州 深圳 •桌面设备 Windows6w+，MacOS8K+ •移动设备 iphone1w+，安卓4k+ 海外分公司 各地办事处 *存在特殊安全需求，如并购、投资公司，临时合作公司职场，支付业务部门，信息安全部门等。 腾讯零信任建设背景及面临的挑战 企业规模大 操作系统多样 职场分部多 协作厂商多 互联网应用多 终端基数大 业务类型多 办公位置不确定 整体建设思路 建设思路从四个方面进行开展： “接入改造、场景覆盖深化、接入意愿优化、运营精细化” 运营运营精细化 •打通安全能力 •实现半自动化安全运营 •提高用户及安全运营体验 接入意愿提升 •安全隐藏于效能工具背后，以办公为抓手实 现 •统一protal，提升接入意愿 •细化系统上线安全流程 接入意愿 场景场景覆盖深化 •威胁情报对接，soc协同分析与处置 •UEBA，以正常的行为建立基线，识别风险场景 架构接入改造 •身份统一建设，支撑场景关联分析 •办公安全端&通道一体化 •微隔离，内部东西向访问可视 •byod安全抓手建设 •api网关安全改造 建设目标&蓝图 腾讯无边界办公建设历程 将原先的内部开发网络和内部办公网络合二为一，并根据零信任原则进行架构变革 接入终端必须安装iOAagent，agent自带端点安全杀毒补丁、安全管控、合规检查、系统加固等能力 使用内部IAM系统的MFA、扫码、硬件token、短信对接认证 iOA与内部OA等业务系统进行整合实现SSO iOA与内部SOC联动阻断，借助SOC的分析能力并做自动化的访问阻断降低企业风险 全球接入点加速覆盖，全面覆盖海内外全体员工 腾讯在建设iOA（腾讯零信任）过程中，获得了全体员工及总办高层的支持； iOA建设初期，首先获得企业IT建设部经理的支持，在自己部门选择员工作为首批体验用户，并取得好评认可； 员工体验到iOA的便捷性，例如sso、无边界办公等功能，自发形成口碑传播，越来越多的员工愿意使用iOA； 随着国内员工的全面覆盖，iOA继续改善海外职场访问问题，除获海外员工支持外，进一步获得了公司高层领导的好评口碑传播 实践经验 安全能力 成熟产品 逐步完成办公场景的零信任架构迁移，构建更安全、高效和稳定的数字化办公环境 共识 从数字化长期发展视角在企业内达成价值共识获得高层对于零信任落地的支持 规划 明确零信任架构落地的最终目标与分步落地路径，明确需求预期，控制不确定性风险 切入 需要选择一个收益最清晰且落地风险可控的零信任（VPN替换/新建）切入场景 梳理 复盘 腾讯零信任办公 替换VPN 零信任阶段性落地脉络 扩张 实现无边界办公 基于梳理的结果，逐步覆盖各种业务与各类用户的访问管理 （提升零信任覆盖的广度） 梳理全网需要被保护的资产与重要数据梳理全网用户对于资产和数据的访问关系 量化阶段性投入产出比，向上阐述可衡量的阶段性收益，为后续零信任覆盖范围扩张和价值延伸做准备 结合腾讯的运营经验，对全新的办公网基线与访问控制隔离方式进行有效运营 适应 运营 结合腾讯iOA提供的“权限治理”等自适应安全能力，结合企业的实际情况不断优化办公网安全运营的方式 融合 自适应办公安全 与现有安全能力进行整合，建立统一办公安全平台，提升安全有效性，减少低ROI的安全投入 （提升零信任应用的深度） 零信任在腾讯的核心价值 OA与研发两网合并，减少IT设备投入成本，简化运维、提升安全性 COVID-19疫情期间覆盖所有工种，远程办公，极大降低公司在疫情期间生产工作停滞的风险和经济损失。抗疫期间对外大量抗疫支撑的产品持续在迭代，比如对外持续发布免费的腾讯会议版本（eg.联合国疫情期间使用）、防疫码(eg.全国)等产品 COVID-19疫情期间，增加140台网关服务器，疫情期间从1G流量上升至平均20G，高峰期并发75w连接、35G流量 2020年疫情期间，iOA支持了全员远程办公，每天有接近5.9万名员工远程接入公司网络进行全类型工作 职场内每天有11.1万台设备使用零信任 iOA办公，覆盖率99.99%； 远程办公，每天有2.4万台设备使用零信任iOA接入腾讯内网协同工作； 27家子公司，每天有7,100台设备使用零信任iOA接入腾讯内网协同工作； 27个外包ODC职场，每天有1.3万台设备使用零信任iOA接入腾讯内网协同工作。 目 录 CONTENTS 01.零信任安全的发展和概念 02.腾讯零信任安全实践 03.内网零信任落地思考 困难：出现新的“不可能三角”，管理效率，用户体验与访问安全三者之间仍然难以平衡 •白名单用户：所有员工需要自行申请访问权限，影响员工办公体验与效率（与企业生产力相冲突） •白名单角色/组：全网用户和资产数量及种类太多，权限梳理复杂度过高（授权效率非常低下） •闲置权限拉入黑名单：企业缺乏了解全网权限使用情况的工具与平台（不可用） 负面影响：基于身份定义的新边界随着时间推移最终将会被逐渐瓦解，零信任内网实践的价值将会大打折扣 挑战二：最小化权限如何运营？ 企业需要新的内网安全边界 但重塑内网边界后企业将会面临的挑战 内网零信任建设-愿景与阻力 办公区域 研发区域 访客区域 权限不跟随身份，用户体验差 业务关联性低，ACL管理维护难 访问边界易腐化，安全风险难收敛 缺乏访问主体可见性，非法访问难遏制 IP 防火墙 数据中心 不受空间限制，用户体验佳 业务定义边界，紧贴业务实现敏捷运维 最小化授权，最小化收敛风险蔓延 实时校验访问主体，非法访问实时阻断 身份 零信任网关 DMZ 困难：防火墙上沉淀了大量支撑业务正常运作与基础安全基线的ACL策略，新的“零信任安全边界”想要实现平滑替换非常困难 负面影响：以严格的访问策略替换防火墙可能会影响大面积用户的正常办公，反之则可能为企业带来安全风险 挑战一：如何平滑替换防火墙 基于防火墙ACL定义的边界难以满足新时代更敏捷的数字化业务支撑需求和更有效的事前安全风险控制需求 内网零信任建设-权限治理 权限梳理：采集全网用户的访问行为，统计全网用户的业务访问需要，对访问用户的特征信息进行聚类分析，以此实现全网资源权限梳理 智能授权推荐：基于统计与分析结果，结合腾讯多年权限运营经验所沉淀的模型智能生成授权建议，帮助管理员高效完成精细化授权 权限收敛：支持以收敛全网ACL为目的，收敛用户可以访问的资源范围，实现全网网络连通性通道的收敛，大大降低无边界网络中终端失陷后的威胁横向扩散风险；同时也支持以敏感资源最小化授权为目的，回收长期未使用特定敏感资源过度开放的用户权限，降低核心信息泄漏或系统被入侵的风险 核心价值 1、实现“零摩擦”的内网零信任落地 通过端点数据采集，无需进行网络架构改造即可启用对全网权限进行梳理，实现“网路架构零侵入”的权限梳理 基于访问行为统计，自动生成满足办公与业务需要的最小化访问权限 策略，以此实现零摩擦访问策略替换，兼顾业务与安全 2、打破访问权限运营的“不可能三角” 数据驱动运营，IT管理员再也不必为多变的业务需求与难以梳理的组织关系而烦恼，运维效率与业务支撑两不误 基于业务需要的最小化授权，在不影响业务的基础之上最大化收敛对内暴露面，降低威胁扩散的风险 内网零信任建设-异常用户行为分析 异常行为检测框架 风险场景的应用实践 CARTA •攻击手段层出不穷，基于威胁的防御规则不得不持续运营更新，时效性差 •“围追堵截”式的安全建设思路在APT面前显得脆弱不堪，安全运营人员不得不处理大量的安全告警，定位安全事件并及时止损，在攻防不对等的现状下安全运营人员持续陷入忙于奔命的救火状态 学习演进 基于异常行为分析的自适应访问安全 •基于从用户、设备、应用、环境和行为等维度的持续异常发现，对访问主体进行持续的信任评估（不止于防黑，在办公访问过程中建立持续判白的逻辑） •结合不同的主体类型与异常场景，自适应调整安全策略。在尽可能不影响用户正常的业务访问体验的情况下，进行动态的安全管理 让安全更好地服务数字化生产力释放 •可信的用户可以随时随地使用任意一台安全的设备访问数字化系统，让数字化服务不再受物理空间的束缚 •纵向的身份打通，屏蔽不同基础设施需要用户被迫面对的不一致体验，用户只需要保管唯一的用户凭据即可证明身份 •安全从此不再是侵扰用户与业务的掣肘，让安全建设溶于业务与办公效能支撑，结束安全与生产力的对抗关系 解放被过时安全体系束缚的低ROI投入 •通过零信任