腾讯企业IT部蔡晨：从有界到无界，新一代企业安全防御之道

腾讯技术工程官方号

发布于 2018-10-17 18:24:10

1.5K0

发布于 2018-10-17 18:24:10

北京时间10月10日至10月11日，由腾讯安全发起，腾讯安全科恩实验室与腾讯安全平台部联合主办，腾讯安全学院协办的2018腾讯安全国际技术峰会（TenSec2018）在深圳成功举办。

作为企业安全团队的代表，腾讯企业IT部安全运营中心总监蔡晨受邀出席，分享”从有界到无界腾讯新一代企业安全防御之道”。云计算、大数据、人工智能等新技术在掀起数字化转型浪潮的同时，也改变了传统的网络边界，带来了全新的威胁风险。腾讯是如何快速响应市场趋势变化，完成零信任安全实践，成为中国第一家无边界企业的？

以下是蔡晨在峰会现场的演讲全文。

网络边界防护存在的挑战

大家早上好！非常高兴受邀有机会跟大家分享腾讯企业IT在云的背景下怎么做无边界的网络安全。

其实早在2014年，我们就已经开始探索企业传统安全模式会有什么样的发展趋势，什么样的新企业安全网络边界或网络模式更适应未来云上的方式？当时谷歌提出了无边界理念，我们也参考这个理念做了一些实践和尝试。

我们先来看看企业内网传统边界防御模式下的安全问题，一起来探讨下为什么会带来这些问题。

腾讯目前有六大BG（事业群），每个BG基本都在几千甚至上万人的规模。每个BG里有形形色色的业务:Web类、客户端类、手机类、AI类等等，这些业务非常复杂，要求IT在支持这些业务上划分很多的安全边界。

因为这些业务的安全等级差异比较大，对安全性的要求或对信息的保护要求差异也比较大。在企业内部，有从桌面到隔离完再到运营区，有很多的安全区域存在，传统方式以安全边界或安全防火墙、主机防火墙为隔离边界，导致在网络控制，安全策略管理上的问题难以管理。

员工在工作的时候，希望通过一台PC或笔记本、一台手机，在一个网络里既可以日常办公，又可以上网查信息，还能开发、测试和运维。员工的理想模式是这样的，但实际在复杂的业务模式下，那么多的安全边界限制对员工而言效率通常不会太高，这个是效率与安全方面的巨大挑战。

公司内部的终端有windows、Mac OS、Linux、IOS，开发模式又有AI、大数据训练、分布式编译等等，这些分布非常复杂。区域划分越多，管理效率越低，颗粒度越细，安全方面仍然存在问题和风险。

现在APT非常普遍，这两年攻击手段发展也非常迅速，其实黑客有很多APT攻击以员工做突破点，比如常规邮件、投毒、社工、USB等等设备，主机沦陷在APT这块是经常的突破口。尽管内网划分了很多边界，但一旦被入侵打破安全边界后，黑客可能就会轻易摸到应用服务器。

刚才讲的三点，其实是说我们应该去思考新的企业模式，如何能让效率变得更好，让安全性变得更强。经过探索，腾讯在2017年和2018年实践了新一代的企业网。

腾讯新一代企业网

腾讯新一代企业网，一方面在安全上要足以应对APT的攻击，更易于管理；另一方面，尽管我们的场景和工作模式复杂，但对用户的界面要足够简单，不需要他们记忆，更加便于工作，兼具安全和效率。

这套方法的核心思想是把传统的安全防火墙和边界拆掉，而无边界安全的理念是保证终端足够安全，其实是把安全颗粒度下发到了终端，要保证网络通道是足够安全，所以需要可信的设备、可信的人、可信的应用才能穿越通道。在应用这一侧，也只接收可信的设备、终端和应用程序发送过来的流量，这就是大概的逻辑。

如果我们能够做到这几点，其实传统的网络隔离问题和网络边界划分都不再是问题。这样的模式不但能够在企业内部简化网络，而且能适应于未来大规模的业务上云，以及把开发测试环境上云，甚至把企业很多内网资源放到云上。

第一点，拆大墙，建小墙，将颗粒度下沉到设备。

以前我们是把终端设备划分为不同安全等级的网络，现在这个网络基本都被抹平，所有安全的策略、管理和加固都下沉到设备。好处是以前员工在不同角色和机器中有权限划分，现在机器一样，网络权限一样，在家里甚至都不需要V**了。

因为V**的远端设备是不可信设备，需要启用认证身份、安全加密通道，把所有的流量通过V**返回到企业内部。如果我们保证终端和通道安全，这套体系就完全替代传统V**。员工在公司职场内和职场外都是一样的访问和体验模式。

第二点，刚才讲了用户可信、设备可信、应用可信。怎么做终端设备的可信？

其实就有两个关键因素：

第一，这个人是不是我们的员工，如何验证他？

第二，设备是否受保护，状态是否足够干净和健康。

首先说人的因素，在终端设备上我们强调双因子认证，有Token认证身份，确保是我们的员工。包括还有类似微信、QQ弹窗认证的多因子确认身份的辅助手段。一旦身份认证成功，会把身份从客户端传到办公系统应用认证的后台。一旦员工完成一次的身份认证，所有的有效性身份在内网、OA登录、以及跳板机登录场景或数据读取场景中，整个过程是渗透式的安全身份传递。

如何保证终端一定安全，是可信的终端？以前很多杀毒软件或者是安全检测的规则其实都只做到文件级，大部分检查文件特征值，会检查PE的头和MD5，安实际我们与APT不断对抗的过程中发现，文件级安全检测对高级APT样本及职业黑客团队来说做的还不够。我们发现的样本中，很多利用的是高级隐藏技术，包括纯内存驻留方式，还有通过DNS或高级别隐藏式网络通道的上载方式。

所以要求终端可信这部分除了常规操作系统外，还要对内存进行加固，对进程进行深度检测，检测级别需要下沉到API。因为一旦内存常驻留，对文件级的监控和检测不是特别有效。包括网络层，也要下沉到协议级别，去看加密流量负载的情况。在这个地方我们做了大量工作，让客户端的数据看安全数据更深，对APT类的检测和防御更加有效，包括端上要足够安全。

大量数据如果都留在客户端处理，其实性能消耗非常大，员工体验也不是特别好，机器占用的CPU和内存都比较高。我们采用的做法是把大量要分析的数据全部抛到云上的系统，客户端只做两个传统的基本事情：一个是接收云端下发的指令进行策略执行，一个是把需要上抛的数据进行上报，形成轻客户端和云上“胖数据”的模式，所有的数据都在云上的系统检测，效果会比较好，效率高，CPU占用率低，事件报警和分析的速度也会非常快，安全人员在有问题的时候可以及时快速介入。

除了有可信的人、可信的终端之外，端上可信还有一点。我们知道传统企业内网的网络层基本是通的，意味着敏感资源、服务器资源的所有流量都可以触达。那么对黑客而言有如下几种方式利用：

第一，自己伪造进程，这个进程可以直接访问到应用资源。

第二，注入到系统进程里，利用伪装系统的模块和API，访问应用资源。

第三，注入正常进程及常用软件和工具进程中。

这时候对我们而言的一点就是，如何让我们信任的应用通过通道？刚才我讲的几种黑客的方式，需要安全团队对抗的应用是无穷无尽的。举个例子，一个人办公机上的进程是上千量级，如果要做一万台机器，会发现一万个人有一万个哈姆雷特，这里面的进程都是十几万的量级。

这个应用进程的数量非常大，包括版本不同进程的MD5就不同。这个时候安全人员需要分析和对抗的量很大，在这种无边界项目中探索的是，有没有可能把企业内部的应用进行简化和梳理，其实只需要把正常工作的进程和进程流量变得可信，这部分的进程和流量能穿越我们的安全通道。所以这时候就把与那些无穷无尽的进程对抗和检测的事，变成了十几个甚至二十个进程保护的问题。

所以我们把如何让进程变得可信进行了梳理，在进程的流量里加入可信标签，去加入相应的票据，然后拿到票据和安全可信标签的流量，才能通过我们的安全网关。

第三点，安全网关问题。

刚才讲到可信设备、可信人，不只是在企业内部，有可能在全球任何一个角落进行工作。通过这个安全网关，他会问这是不是腾讯员工的机器？这台机器是否安全可信？机器上的应用进程是否已授权？应用进程每一个包是否含有合法标签、合法票据？如果这些条件都符合，智能网关会把流量抛向业务服务器及内网业务服务器资源，从而达到无边界效果。

通过这种方式，在智能网关和后台上，不需要让每一个应用都改变，比如应用是否足够健壮、应用流量是否加密、是否对应用进行合法身份的健全。如果我们在企业内部这个工作是难以推动的，应用改造的成本也非常大。通过智能网关及终端安全iOA的协同配合，可以解决统一企业内部的可信端和可信流量，进行安全数据传递和安全访问。