互聯(lián)網(wǎng)江湖,“偷襲”和“背叛”無處不在。

2018年6月,特斯拉指控前員工Martin Tripp侵入特斯拉制造操作系統(tǒng),將幾個G的機(jī)密數(shù)據(jù)傳輸給外部機(jī)構(gòu),以此蓄意破壞生產(chǎn)。

今年4月以來,互聯(lián)網(wǎng)安全領(lǐng)域風(fēng)波驟起。大型燃油運(yùn)輸管道運(yùn)營商科洛尼爾內(nèi)網(wǎng)遭黑客攻擊;日本東芝公司法國分公司740G機(jī)密信息和個人資料被職業(yè)勒索組織竊取……

當(dāng)“背叛”、“偷襲”愈演愈烈,網(wǎng)絡(luò)安全的新邊界在哪里?

在騰訊,有一群“安全俠”正力圖打破傳統(tǒng)安全的窠臼,提出“以零信任構(gòu)建信任”,在無邊界的網(wǎng)絡(luò)新世界重構(gòu)安全。

騰訊安全的六位零信任“安全俠”

探路

故事要從一場培訓(xùn)講起。今年春節(jié)前夕,騰訊開展了一場特殊的“人才認(rèn)證培訓(xùn)”。10名騰訊“安全俠”圍坐在電腦前,投身于數(shù)百個學(xué)時的專業(yè)培訓(xùn)中,學(xué)習(xí)技術(shù)方案、案例實(shí)踐、合規(guī)治理等全套零信任體系,并不時在群里切磋思路,碰撞火花。

作為此次認(rèn)證的組織者,騰訊安全戰(zhàn)略專家Steven已籌備了一年多。

8年前,還在咨詢公司從事客戶側(cè)安全風(fēng)險(xiǎn)咨詢的Steven,第一次接觸到了“零信任”。

這一概念來自全球著名IT研究機(jī)構(gòu)Forrester。2010年,其分析師John Kindervag敏銳地發(fā)現(xiàn),傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu),一旦被黑客以“可信任員工”的身份越過,便幾乎形同虛設(shè),他創(chuàng)造出“零信任”理念,以“永不信任,持續(xù)校驗(yàn)”為思想內(nèi)核。

Steven回憶,“當(dāng)時我們在吸取行業(yè)研究機(jī)構(gòu)的經(jīng)驗(yàn)時,已經(jīng)感覺到這套理論和實(shí)踐的策略,對于企業(yè)具有非常強(qiáng)的吸引力。”

2017年,Steven加入騰訊,負(fù)責(zé)騰訊全球合規(guī)的體系框架設(shè)計(jì)。彼時,騰訊在內(nèi)部自主設(shè)計(jì)、實(shí)踐落地零信任安全體系已有一年多時間,但To B端的產(chǎn)品遲遲未能上線。

轉(zhuǎn)機(jī)是從“930變革”開始的。2018年,騰訊經(jīng)歷脫胎換骨:架構(gòu)大調(diào)整,扎根消費(fèi)互聯(lián)網(wǎng),擁抱產(chǎn)業(yè)互聯(lián)網(wǎng),零信任則成為騰訊To B商業(yè)化之后非常核心的一條戰(zhàn)略線。

挑戰(zhàn)隨之而來。“如果我們現(xiàn)在依然站在傳統(tǒng)企業(yè)IT安全的角度去和這些CEO聊業(yè)務(wù)需求、聊發(fā)展策略,那么90%的回答都會是聽不懂你在講什么,對業(yè)務(wù)有什么幫助”,在接觸零信任多年時間里,Steven意識到一個重要事實(shí):要扭轉(zhuǎn)思維,關(guān)鍵在“人”。“需要一批專家團(tuán)隊(duì),把零信任理念落實(shí)下來。”

2020年初突然暴發(fā)的疫情,加速了企業(yè)的數(shù)字化轉(zhuǎn)型,也讓零信任迅速走到臺前。騰訊副總裁丁珂將“零信任”確立為騰訊安全未來的發(fā)展戰(zhàn)略指導(dǎo),從那時起,Steven開始作為安全戰(zhàn)略專家,探路“零信任認(rèn)證”。

在該領(lǐng)域,Forrester無疑是權(quán)威者。從2018開始,Forrester開始發(fā)布零信任擴(kuò)展生態(tài)系統(tǒng)ZTX研究報(bào)告,探索零信任架構(gòu)在企業(yè)中的應(yīng)用,并通過ZTX認(rèn)證系統(tǒng)性地對零信任廠商的能力進(jìn)行評估。

摸底Forrester之后,Steven更加篤定,借助ZTX認(rèn)證,不僅能夠幫助團(tuán)隊(duì)建立對零信任的共同理解,還能將騰訊安全在零信任領(lǐng)域的技術(shù)產(chǎn)品、解決方案,轉(zhuǎn)化為通用的實(shí)踐性質(zhì)的知識和框架,反哺整個行業(yè)和市場的安全人員,實(shí)現(xiàn)中國、甚至全球零信任人才的整體提升。

進(jìn)化

4個多月前,聽到要做零信任人才認(rèn)證的消息,騰訊安全的老孫興奮不已。他自嘲,在零信任江湖行走多年,他的字典里從沒有“信任”二字。

“零信任=更安全?這還挺反常識的。”6年前,老孫第一次接觸到零信任,腦中充滿了問號,“說實(shí)話,當(dāng)時對這個概念是有一些誤會的,從字面上去理解,既然都不信任了,還搞什么安全?”

和零信任的真正結(jié)緣,是加入騰訊后。

彼時,老孫已摸清零信任的底層邏輯:“傳統(tǒng)網(wǎng)絡(luò)安全理念就像玩塔防游戲,只需在層層關(guān)卡設(shè)置‘護(hù)盾’。”零信任顛覆了這種做法,“它不僅僅要確保訪問身份、設(shè)備不能有問題,請求也要是從一個可信的應(yīng)用或者進(jìn)程發(fā)出來的。”

“實(shí)操中會發(fā)現(xiàn),任務(wù)挺艱巨的”。老孫負(fù)責(zé)騰訊零信任安全產(chǎn)品的規(guī)劃,幫助客戶為零信任整體解決方案運(yùn)籌帷幄。對他而言,“930變革”同樣記憶深刻。

“那段時間,零信任產(chǎn)品市場化的過程中,面臨的最大困擾就是如何去解開內(nèi)部系統(tǒng)之間的耦合,讓方案去適配不同的產(chǎn)品,滿足用戶五花八門的訴求。”

老孫直言,零信任戰(zhàn)略的落地需要從用戶身份驗(yàn)證、終端合規(guī)檢測等多個方面來考慮,團(tuán)隊(duì)所面臨最主要的任務(wù),是如何兼容不同的技術(shù)和系統(tǒng),同時發(fā)揮騰訊自有產(chǎn)品的優(yōu)勢。

在這次培訓(xùn)中,老孫確認(rèn)了實(shí)踐的“參照系”:“采用哪種產(chǎn)品、哪種技術(shù)其實(shí)并不是最重要的,重要的是如何將整個零信任的理念貫穿和落地到整個的信息安全管理中去,如何跟各種層次的人打交道,讓他們?nèi)ソ邮芰阈湃蔚睦砟睢！边@也與Steven早期的想法不謀而合。

在他看來,此次認(rèn)證培訓(xùn)來得格外及時,“Forrester有一個比較完整的框架,整個學(xué)習(xí)的過程使我終于有機(jī)會去驗(yàn)證已有的哪些想法是對的,哪些想法可能是存在一些問題的。”

藍(lán)圖

2020年疫情暴發(fā)后,遠(yuǎn)程辦公成為常態(tài),零信任迎來新的分水嶺。

此時的Steven正在忙于籌備ZTX認(rèn)證,老孫還在技術(shù)路線與客戶需求間博弈。而另一邊,騰訊iOA的負(fù)責(zé)人Andy已在為零信任辦公產(chǎn)品的未來市場謀劃藍(lán)圖。

Andy專注于安全領(lǐng)域已經(jīng)近10年,見證了零信任產(chǎn)品在騰訊的起步與轉(zhuǎn)折。2008年加入騰訊后,他主要從事終端安全領(lǐng)域的產(chǎn)品研發(fā),也就是現(xiàn)在為公眾所熟知的電腦管家。后轉(zhuǎn)型TO B安全,研究企業(yè)終端安全產(chǎn)品“御點(diǎn)”。當(dāng)時,公司內(nèi)部辦公產(chǎn)品仍采用傳統(tǒng)的VPN方案。

知名咨詢公司Gartner曾經(jīng)預(yù)測,“2023年全球?qū)⒂?0%以上的VPN被零信任取代。”

騰訊的嗅覺尤其敏銳。早在2016年,騰訊就開始推動內(nèi)部辦公安全落地零信任解決方案,替換VPN方案,提升公司的安全基線。幾無差別的內(nèi)外網(wǎng)辦公體驗(yàn),讓很多騰訊員工明顯感受到了無邊界辦公帶來的便利。

Andy介紹,零信任方案市場化的過程中,為帶給員工更好的使用體驗(yàn),同時方便企業(yè)的安全管理,騰訊將辦公安全的兩個產(chǎn)品——御點(diǎn)和內(nèi)網(wǎng)iOA進(jìn)行深度整合,形成了如今的“iOA零信任安全管理系統(tǒng)”。

在iOA產(chǎn)品設(shè)計(jì)之處,騰訊安全的團(tuán)隊(duì)內(nèi)部達(dá)成一個共識——希望它更多地承載一些“人”的特質(zhì),讓員工感覺到方便,對自身工作是有幫助的。“我們希望更多地將它定位成辦公助手,而不是一個管理軟件,希望它切實(shí)對員工的工作效能和業(yè)績有較好的幫助,同時也對企業(yè)安全有較好的管理支撐。” Andy說。

疫情初始,僅用5天,騰訊便完成了從傳統(tǒng)模式向零信任安全體系的切換,7萬員工、10萬終端可以同時遠(yuǎn)程處理各種復(fù)雜的工作。

如今騰訊iOA產(chǎn)品已經(jīng)進(jìn)入泛互、物流、地產(chǎn)、教育、制造、政府、銀行等多個行業(yè)。在Andy看來,iOA不僅僅是一款產(chǎn)品,而是一整套以身份為中心的安全理念,它可以為不同安全建設(shè)期的客戶提供逐層深入的解決方案,小到終端安全,大到資產(chǎn)梳理、訪問權(quán)限管理。

在實(shí)戰(zhàn)中摸爬滾打多年,Andy仍時刻繃緊神經(jīng)。挑戰(zhàn)來源于多個方面,產(chǎn)品涉及安全范圍較廣,客戶需求的抽象,對交付速度的要求,以及項(xiàng)目的風(fēng)險(xiǎn)管理等。在他看來,這次的ZTX認(rèn)證是一次很好的充電機(jī)會,能夠幫助他去體系化學(xué)習(xí)、借鑒。

當(dāng)前,國內(nèi)的零信任生態(tài)圈被切的很碎。雖有數(shù)十家企業(yè)嘗試為企業(yè)提供零信任解決方案,但Andy認(rèn)為,“大多數(shù)的企業(yè)是封閉起來‘抄書’”,他早早地提出了構(gòu)想:希望iOA未來能夠逐漸開放,基于騰訊的自身實(shí)踐經(jīng)驗(yàn),逐漸變成一個平臺服務(wù)于客戶,通過聯(lián)合客戶自身的安全運(yùn)營和合作伙伴,共建零信任生態(tài)。

“安全說到底是數(shù)據(jù)的安全,數(shù)據(jù)說到底都是業(yè)務(wù)的。我們希望逐漸開放部分能力和接口,讓企業(yè)深度參與到策略設(shè)定和安全運(yùn)營中來,讓每個企業(yè)能夠組建符合自身特點(diǎn)的零信任體系。”

騰訊零信任安全管理系統(tǒng) iOA

傳承

95后小楠是此次參與ZTX認(rèn)證中最年輕的專家人才。對她來說,零信任的啟蒙是從騰訊開始的。

“入職之前,我對零信任其實(shí)并不了解,只是覺得做安全是個很酷的事情。”大學(xué)時期,小楠選擇了網(wǎng)絡(luò)安全專業(yè),學(xué)習(xí)“攻防”。四年前,一次騰訊實(shí)習(xí)經(jīng)歷,讓小楠第一次接觸到“零信任”這個詞。時值騰訊內(nèi)部零信任架構(gòu)的全面落地,作為“改革”的親歷者,那個時候的小楠“確確實(shí)實(shí)感受到了遠(yuǎn)程辦公的順暢”。

2019年,畢業(yè)于香港大學(xué)計(jì)算機(jī)系的小楠經(jīng)校招入職騰訊,擔(dān)任iOA產(chǎn)品經(jīng)理。

疫情暴發(fā)后,零信任市場規(guī)模迎來爆發(fā)式增長,2020年,騰訊端點(diǎn)覆蓋數(shù)已經(jīng)超過100萬。和客戶溝通方案是小楠平時最主要的工作,疫情期間,不斷找上門的需求使她忙了起來。

溝通需求,這件讓幾位前輩都頭疼的事,在小楠這里,難,卻也不難。她發(fā)現(xiàn),很多客戶只是通過一些行業(yè)報(bào)告了解到零信任,盡管體系化的輸出需要一定過程,好在,騰訊本身就是零信任的實(shí)踐者,所以還是有很多實(shí)操的經(jīng)驗(yàn)可以分享。

兩年過去,在與客戶不斷地切磋打磨中,小楠實(shí)踐著自己對“零信任”的一套認(rèn)知體系。“零信任是要讓任何設(shè)備,不管在內(nèi)網(wǎng)還是在外網(wǎng),都保持一個沒有驗(yàn)證就不信任的狀態(tài),這在當(dāng)下,是辦公安全理念一次比較大的升級。”

今年年初,小楠加入到ZTX認(rèn)證中,她非常享受這個學(xué)習(xí)過程,腦海中也常閃過春節(jié)里和大家一起相互督促、交流方案的片段。

一個細(xì)節(jié)是,有一門課程是將企業(yè)分割成領(lǐng)導(dǎo)層、執(zhí)行層、普通層等多個層次,來講授如何將零信任落地,這讓小楠覺得非常“解渴”,她形容,這與整個騰訊在落地零信任的過程很相似,每一層阻礙相應(yīng)的解決方法也很符合實(shí)際,“具有很強(qiáng)的實(shí)操性”。

在這場全球級別的認(rèn)證中,小楠沒有太在意“專家”身份的注腳,而是把它當(dāng)作一次認(rèn)知的擴(kuò)充,“接觸到Forrester的課程以后,可以看到其他的一些企業(yè),包括歐美市場對零信任的前沿解讀。”

“其實(shí)像我2019年才畢業(yè),在零信任這方面不算是老師。”于小楠而言,認(rèn)證之后,在這個領(lǐng)域深耕下去的動力更足了。

“像Forrester的專家也好,或者是這次一起拿到證書的專家也好,我想成為像他們一樣的人。”

Forrester為騰訊零信任團(tuán)隊(duì)成員頒發(fā)ZTX專家認(rèn)證

這群“安全俠”數(shù)年的耕耘迎來了新的里程碑。5月14日, Forrester為騰訊安全團(tuán)隊(duì)的10名安全技術(shù)人才頒授了零信任領(lǐng)域權(quán)威的ZTX專家認(rèn)證。這是這家全球著名IT研究機(jī)構(gòu)首次為企業(yè)授牌,也是國內(nèi)最大規(guī)模的一次ZTX認(rèn)證。不過,小楠知道,零信任的萬里長征才剛剛開始。