近日,高灯科技的深圳办公室进行了腾讯零信任安全管理系统(腾讯iOA)的扩容部署。此次扩容后,腾讯iOA部署终端正式突破了100万,成为了国内首个突破百万终端的零信任产品,意味着产品的成熟度和商业交付能力得到了行业的广泛认可。
高灯科技是一家以发票数字化为基础,面向企业和监管提供财税合规及交易合规管理平台的财税科技公司,对网络接入安全性与数据安全性有着极高的要求。早在2020年初,高灯科技就测试并上线了腾讯iOA,如今使用iOA已两年有余。
高灯科技副总裁兼安全负责人莫晓盛表示,“采用了腾讯iOA之后,高灯实现了终端安全一体化,增强了合规基线的检测和数据安全的管控能力,实现了身份、设备、应用、链路的可信管理,基本覆盖了我们全部办公场景。在增强安全管理能力的同时,相较于传统的管理方式,在成本上,不管是人力还是物力都是有明显降低的。”
100万落地终端:
高灯科技的零信任实践
作为国内最早布局零信任的大型厂商之一,腾讯从2015年就开始自主设计、研发零信任架构,基于身份可信、应用可信、设备可信、链路可信的4T原则,打造出腾讯iOA。让员工实现无论位于何处(Anywhere)、何时(Anytime)使用何设备(Any device)都可安全稳定地访问授权资源以处理任何业务(Any work)的新型“4A办公”方式。
在2020年疫情期间,基于腾讯iOA,腾讯在2天内就快速扩容部署8大业务通道,稳定高效地支撑了全网10万终端的全类型办公。目前,腾讯iOA已经广泛应用于泛互、金融、政府、教育、保险、地产、物流、医疗、工业、能源等十大行业、数百家企业,产品的商业成熟度和交付能力已经得到了验证和认可。
“我们公司也是在2020年初跟腾讯安全零信任团队了解iOA的,突如其来的疫情,让整个公司的远程办公需求猛增,当时每位员工的PC终端上要装多个安全产品,产品之间缺乏联动、管理效率低,并且传统VPN产品也经常爆出高危漏洞。”莫晓盛回忆道。
(腾讯iOA零信任第1000000台部署终端)
除了外部因素,莫晓盛强调,内部需求才是高灯科技部署腾讯iOA的直接原因。随着高灯科技业务的不断发展,面对多个分公司和员工的快速增长,传统的“基于边界的安全模型”就力不从心了。
作为财税科技公司,高灯科技对网络接入与数据安全性有着极高的要求。因此,它把腾讯iOA的部署过程分为了两个阶段,第一阶段主要聚焦于网络和终端安全领域,第二阶段主要聚焦数据安全。
(高灯科技副总裁兼安全负责人 莫晓盛)
首先,高灯科技通过腾讯iOA的终端安全一体化功能,实现了各模块之间的智能联动,形成安全运营闭环。同时,通过零信任网络隐身技术隐藏资产暴露面,切断黑客攻击链;借助硬件资产检测,杜绝硬盘替换造成的数据泄密,凭借屏幕/打印水印技术做到数据安全追溯。在第一阶段重点解决了终端、网络及部分数据安全性问题基础上。
第二阶段的部署中,高灯科技则更关注于数据安全闭环建设,通过终端防泄密,做到数据分类分级,防止邮件及数据外发。区分角色身份与场景建设VDI或终端沙箱方案,进一步保障数据安全性。
高灯科技信息安全专家王凯是腾讯iOA的深度用户,在他看来,iOA带来的不仅仅是一个功能,而是囊括了防病毒、终端管控、零信任接入、DLP等多套系统的综合平台,在资源占用上比传统多系统部署模式要低很多,整体的能效比高很多。
王凯回忆道,“我们部署了iOA后,2020年去做税务部门审核的时候,当时税务部门的老师震惊地说‘头一回见到互联网企业能把一个综合管理平台做到这么便捷’,这正是iOA给我们带来一个积极向上的促进作用。”
莫晓盛表示:
我们其实不是为了安全去做安全,安全是业务的一个属性,伴随着业务一起成长,公司营收的持续性必须要通过安全来作为保障。
零信任步入落地期:
如何帮助企业有效部署?
随着远程办公、远程运维、第三方协作等办公新场景的出现,以及业务上云、边缘设备接入、DevOps场景、微服务API安全防护等业务应用新场景的深化,零信任的热度持续攀升。据Marketsand Markets的数据,全球零信任安全市场规模在2026年将达到516亿美元。
对于零信任的落地,腾讯零信任产品总经理杨育斌表示,不同行业有不同的需求和应用场景,场景的复杂度不同、相应部署的方案和时间也会不同。
“比如我们在3月推出的‘远程办公护航计划’,为中小企业在疫情期间免费提供零信任接入访问,基本上就是以小时级、以天级就可以完成这个接入部署,是放在云端的。”杨育斌解释称,“而像政府、金融企业或者大型企业有数据合规审计、数据合规安全策略的要求,整个解决方案就需要从头到尾进行全面的设计和分期建设,落地过程会持续几个月甚至一年。”
(腾讯iOA零信任核心能力架构图)
目前,腾讯iOA已推出SaaS版、一体化版、管控版零信任产品矩阵,面向大、中、小型客户都有相应的交付方案,企业可以根据自身业务场景和需求选择产品。“与此同时,我们在给客户沟通的过程中发现,他们除了关注接入安全之外,还会思考更多一层,比如远程接入的数据安全问题、高级威胁勒索等问题,我们也会不断根据客户需求升级产品功能。”
实际上,由于业内厂商都基于自身技术研发和实践经验各自为战,导致缺乏共通的话语体系,零信任推广之路还面临很大阻力。面对市场秩序的混乱和技术标准的欠缺,腾讯多年来一直致力于标准的建设,希望通过标准手段构建生态,推动产业技术发展以及企业开展零信任实践。
据了解,2021年7月腾讯牵头起草中国第一部《零信任系统技术规范》,填补了国内零信任领域的技术标准空白,同时也入选了中国电子工业标准化技术协会团体标准。2021年11月牵头的全球首个零信任国际标准——《服务访问过程持续保护指南》,由ITU-T国际标准正式通过发布,推动了全球零信任标准化应用。
目前,腾讯零信任标准工作组制定的接口标准,已实现了同18个行业安全厂商的对接,接口标准化促进了企业安全办公体系的融合,也进一步优化了办公体验。
杨育斌称:
未来更重要的是建立零信任标准,促进行业和生态的健康发展。推动标准化,推动行业共识,零信任才能真正实现百花齐放。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。