2020年大年初一傍晚,腾讯企业IT部接到一个紧急需求,需要在节后支持腾讯全部员工的远程办公,而且不只是邮件处理等基础办公内容,是要支持全量全尺寸工作。
“全尺寸工作”意味着在满足信息互通、收发邮件、远程会议等基本办公功能的基础上,还要实现远程无差别地访问企业OA和内部系统,以及要让全部的研发人员在家里能像在公司一样进行开发、运维工作。
从接到紧急需求到公司正式复工上班,留给腾讯企业IT部的时间只有8天,而要实现腾讯全体员工的全尺寸远程工作,背后不仅意味着巨大的扩容压力,还有海量的研发环境匹配问题,更为重要的是,大量非标设备带来的平台安全问题。
对任何公司来说,安全性都是业务开展的底线。而腾讯此次要解决的是7万多名员工全尺寸远程办公的安全问题,其难度可想而知。
事实上,如果这个需求早两年提出,腾讯企业IT团队可能还无法保证能做好安全能力的保障工作,但是,有了过去四年在零信任安全体系上的实践,服务7万多名腾讯员工远程办公就只是考验腾讯零信任能力的一次大“练兵”。
7万腾讯人的实践
所谓“零信任”,其实是著名研究机构Forrester的首席分析师John Kindervag在2010年提出的一种安全概念,它的核心思想是默认情况下不信任企业网络内外的任何人、设备和系统,需要基于身份认证和授权重新构建访问控制的信任基础。
简单来说,零信任的策略就是“持续验证、永不信任”。业界第一个将零信任安全模型进行落地实践的公司是Google,早在2011年,Google就开始实施BeyondCorp项目,目的就是让Google员工可以在不借助VPN的情况下通过网络开展工作。
而在国内,腾讯属于最早进行零信任安全实践的科技公司。
据腾讯企业IT安全中心负责人蔡晨介绍,从2016年开始,腾讯在内部实践了远程办公的零信任解决方案——腾讯iOA,“当时我们就发现,员工对零信任的接受程度很高,因为我们同时提供了两个选择,一个是传统的VPN方案,另外一个就是零信任方案,最后有70%的员工主动选择零信任方案”。
在得到初步的验证后,腾讯企业IT团队也开始不断推进零信任方案在腾讯内部的应用。直到2018年底,腾讯把企业内部网络和远程办公网络全部采用零信任方案进行了重构,这也为2020年初保证7万多员工远程办公的安全奠定了基础。
经历过疫情的考验之后,腾讯在保证员工体验的基础上,也开始逐步地去丰富和完善零信任安全的管控和响应环节。
比如在安全管控上,腾讯对于资源的访问加入了常用地址、设备以及应用类型等条件的约束;而在响应手段上,腾讯从最开始只有直接放行和直接拒绝两种,现在也加入了像短信通知、企业微信通知,以及在访问一些关键资源时严格进行多因素身份认证等。
腾讯安全总经理王宇表示,腾讯在进行零信任安全体系的建设时,也是分步骤的,只有把每个阶段的基础夯实了,才会循序渐进地进行下一步升级。同时,在整个系统的升级过程中,安全和体验的平衡也是腾讯十分注重的。
而这种循序渐进的经验,腾讯也已输出给行业客户。王宇称,对于企业来说,零信任安全体系的打造也并非一蹴而就,企业发展阶段以及实际业务需求的不同,零信任安全体系的构建方式也会有所不同。
“腾讯在这方面,是从一片空白发展到现在游刃有余,不同的阶段全部经历过,所以对于企业的各个阶段需求,腾讯都能提供比较丰富的实践经验,让他们知道建设过程中可能遇到的问题”,王宇说。
目前,通过自身业务丰富的实践,腾讯在零信任安全方面已经构建起五大核心能力,分别是身份可信识别能力、持续信任评估能力、应用访问控制能力、网络访问控制能力和安全可视化能力。
身份可信识别能力是零信任的基础能力,借助这一能力,腾讯可以让可信的用户在可信的受控设备上使用可信的应用,从而实现对受保护资源进行可信的访问。
这些场景,已经覆盖了腾讯7万员工的工作日常,尤其是在远程办公常态化以后,确保了腾讯员工无论使用何种办公终端,以及无论是对办公应用的访问还是对生产业务的维护,体验都和在公司一样。
从员工使用角度为例,对于普通的办公需求而言,过去需要通过不断更新的动态口令来完成身份验证,从而进行邮件处理、会议沟通、工作审批等,操作复杂且使用成本高,而现在,通过零信任登陆内网环境后,可以直接处理工作,不再需要多层级且复杂的操作。
对开发人员来说,腾讯iOA更是一个福音。为了保障企业内部开发环境的安全性,很多公司会将开发网和办公网分隔开来,员工很难在外网环境处理紧急的开发需求,但对腾讯的开发团队而言,即便是在出差的过程中,遇到紧急的需求,Win跳板机、Xcode、CoDesign等开发工具都可以随时使用。
“绝情”的零信任解码数字化时代安全
近两年,随着数字化时代的加速到来,网络安全行业也迎来前所未有的挑战。尤其是去年疫情的暴发,让线下与线上的边界被打破,远程办公成为社会常态,进一步扩大了网络安全威胁可覆盖的场景。
有统计数据显示,与2019年相比,2020年的网络犯罪数量增长了300%,有80%的公司反映受到的网络攻击增加,其中针对远程办公的用户,网络攻击量增加了85%。
腾讯安全近日披露的数据亦显示,2020年,腾讯受到的外部网络攻击数量达到了2019年的5.8倍。但是,面对剧增的网络攻击,腾讯的业务都在平稳有序的进行,这背后,依托的正是零信任安全提供的保障能力。
目前,绝大多数企业采用的还是传统的网络分区和隔离的安全模型,用边界防护设备划分出企业内网和外网,并以此构建企业安全体系。
传统的安全模型可以称作是“边界防御”,企业和安全防御体系之间的关键就像城堡和城墙,以城墙为界,凡是想进入城堡的人都需要通过城墙的检查,过去,这种传统的网络安全架构为保障企业安全发挥了积极的作用,但是当下,随着移动办公的普及,原先在企业内部办公的员工逐步走到“城墙外”,比如企业员工现在办公的场地可能是机场、网吧等任何地方,这意味着黑客也可以通过多种手段从这些外部环境渗透到企业内部的设备。
因此,通过在边界“筑墙”的安全防御体系,现在已经变得越来越无力,在边界逐渐模糊的安全时代,也迫切需要新的保护方法。而通过腾讯的实践案例可以看出,零信任安全就是一种可以适应数字化时代的安全防御体系。
事实上,零信任安全近两年也已经得到行业的认可。2019年,在工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,零信任安全首次被列入网络安全需要突破的关键技术。
而在2020年底发布的《产业互联网安全十大趋势(2021)》中,“零信任架构迈入落地应用推广期”被列为未来十大趋势之一。该报告指出,伴随着网络防护从传统边界安全理念向零信任理念演进,零信任将成为数字安全时代的主流架构。
但是,对于企业来说,零信任仍是一个比较新颖的理念,尤其这还是一个要颠覆原有安全框架的理念,所以企业在接触零信任解决方案时,更希望看到具体的案例。
这个时候,腾讯自身业务的实践,便成为了最典型的案例,而这,也是腾讯在输出零信任解决方案时,最具说服力的竞争优势。
近日,腾讯还对外发布了全新升级的零信任安全解决方案,具体分为KA版、SaaS版和轻量版三种类型。
王宇表示,腾讯零信任安全解决方案不仅仅是一款产品,而是一整套以身份为中心的安全理念。通过模块化思路,可以依据企业状态进行自动适配,无论是本地化、私有云、公有云都可以部署,IaaS、PaaS、SaaS都可以交付,真正做到了根据企业的需要“量体裁衣”。
本文首发于微信公众号:21世纪经济报道。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
(原标题:七万名员工都在远程办公,腾讯是如何实现的?)