不久前,腾讯安全发布「企业级零信任能力图谱」,受到业内人士的广泛关注。图谱从客户视角出发,结合相关零信任标准和国内外零信任最佳实践,针对企业用户如何构建零信任体系,提供具体的能力清单和指导框架,汇聚成通用性的零信任安全能力谱图,旨在帮助企业进行安全能力转型和升级。
此次,作为零信任能力图谱的延续,腾讯安全正式发布《零信任解决方案白皮书》,将核心能力聚合成解决方案、落地到关键组件,通过典型场景应用结合腾讯最佳实践,帮助企业构建新一代零信任安全网络架构提供帮助。
腾讯基于ZTA架构模型,参考谷歌ByondCorp最佳实践,结合自身十多年来的网络安全管理实践,形成了“腾讯零信任”的解决方案,于2016年在公司内部实践。方案打破传统基于网络区域的特权访问方式,基于可信用户、可信设备和可信应用的访问三要素验证,对访问主体授予最小访问权限,并对全链路访问加密和监控保护。目前已经过6万多员工的实践验证。新冠病毒疫情期间,很好解决了员工远程办公便捷性、稳定性和安全性问题。
以下是《腾讯零信任解决方案白皮书》全文:
目前,绝大多数企业都还是采用传统的网络分区和隔离的安全模型,用边界防护设备划分出企业内网和外网,并以此构建企业安全体系。在传统的安全体系下,内网用户默认享有较高的网络权限,而外网用户如异地办公员工、分支机构接入企业内网都需要通过VPN。不可否认传统的网络安全架构在过去发挥了积极的作用,但是在高级网络攻击肆虐,内部恶意事件频发的今天,传统的网络安全架构需要迭代升级。
同时,随着云计算、大数据、物联网、移动互联网等技术的兴起,加快了很多企业的战略转型升级,企业的业务架构和网络环境随之发生了重大的变化。然而,传统基于边界防护的网络安全架构很难适应新环境,对于一些高级持续性威胁攻击无法有效防御,内网安全事故也频频发生。因此,传统安全架构已不能满足企业的数字化转型需求。
一种基于“零信任框架模型”的网络安全架构由此诞生。最初的零信任框架模型是由著名研究机构Forrester的首席分析师John Kindervag在2010年提出的,并在Google的BeyondCorp项目中得到了应用。Google是业界第一个将零信任架构模型落地实践的公司,ByondCorp项目对外部公共网络和本地网络的设备在默认情况下都不会授予任何特权,用户无论在哪里,无论什么时间,只有使用通过受控设备、通过身份认证,且符合“访问控制引擎”中的策略要求,通过专用访问代理才能访问特定的公司内部资源。
零信任的核心思想可以概括为:网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要基于持续的验证和授权建立动态访问信任,其本质是以身份为中心进行访问控制。
腾讯基于ZTA架构模型,参考谷歌ByondCorp最佳实践,结合自身十多年来的网络安全管理实践,形成了”腾讯零信任“的解决方案,于2016年在公司内部实践,该项目打破传统基于网络区域的特权访问方式,基于可信用户、可信设备和可信应用的可信身份三要素验证,对访问主体授予最小访问权限,并对全链路访问加密和监控。目前已经过6万多员工的实践验证。新冠病毒疫情期间,很好解决了员工远程办公便捷性、稳定性和安全性问题。
在零信任标准制定方面,腾讯基于在零信任的技术积累和实践经验,在业界率先发起零信任技术标准的研制工作。在国内,2019年7月,腾讯联合CNCERT、奇虎科技、数据通信科学技术研究所、中国移动通信集团设计院、奇安信、天融信、上海观安、恒安嘉新、深信服、北京微智信业、西安邮电大学等产学研机构,发起《零信任安全技术参考框架》行业标准立项,推进国内的零信任标准研制工作。在国外,2019年9月,在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上,由腾讯、CNCERT、中国移动主导的“服务访问过程持续保护参考框架”国际标准成功立项。该框架提供有关持续身份安全和访问控制管理的标准化指导,成为国际标准组织中首个零信任安全相关的技术标准,表明中国力量在国际网络安全领域逐步在增强技术领导力和话语权,对推动零信任安全技术在全球范围规模商用的进程,加快零信任技术和服务快速发展与普及具有重要深远的意义。2020年3月,“服务访问过程持续保护参考框架”国际标准草案正式提交ITU-T,也在SG17安全研究组全体会议中得到普遍认可并获通过,后续将联动国内外相关机构持续推动。
产业互联网时代正面临前所未有的安全挑战。市场亟需新一代安全技术标准的指导准则和参考框架,腾讯将与各方合作伙伴一起,携手推动零信任安全技术标准建设和技术应用落地,为用户新一代网络安全体系构建、为全球网络安全的健康发展做出贡献。
(腾讯安全零信任能力图谱)
腾讯安全零信任能力图谱包含五大能力:可信识别能力是零信任的基础能力,包括用户可信识别、受控设备可信识别和受控应用可信识别。通过可信的用户在可信的受控设备上使用可信的应用,对受保护资源进行可信的访问。在此能力基础上,依托持续信任评估能力,对访问主体的整个访问过程进行监控分析,对用户、受控设备和应用的可信度进行持续的信任评估,根据评估结果通过无边界应用访问控制能力和无边界网络访问控制能力进行动态的权限控制,并通过安全可视化能力将访问流量、路径和效果等直观呈现,为企业安全运营提供有力的决策支撑。
零信任架构体系下,基于数字身份,实现用户的可信识别,完成身份认证和单点登录。实现受控设备可信识别,完成受控设备的合规和安全管理。实现应用的可信识别,实现应用和进程的黑白名单管理。最终形成一整套零信任可信识别能力,保证合法的用户基于合法的受控制终端通过合法的应用和进程,发起对客体合法的访问。
零信任架构下基于身份而非网络位置来构建访问控制体系,即无边界的访问控制。将控制平面和数据平面解耦,通过控制平面接收来自动态信任评估的用户信任评估和设备风险评估结果,设置访问控制策略并下发到数据平面策略执行点执行访问控制策略。
通过零信任架构中的无边界访问控制能力构建核心业务资产保护屏障。将核心业务资产暴露面隐藏,保证核心资产对未经认证的访问主体不可见。只有访问权限和访问信任等级符合要求的访问主体才被允许对业务资产进行访问。通过对访问主体的逐层访问控制,不仅满足动态授权最小化原则,同时可以抵御攻击链各阶段攻击威胁。
在零信任架构下,持续信任评估能力是可信识别能力和访问控制能力的重要输入。通过对访问主体的持续信任评估,实现对访问主体的访问权限动态调整和访问身份认证动态调整。
访问主体信任评估包括对用户访问上下文行为分析的信任评估,对受控设备和访问网关基于环境因素的风险评估,通过信任评估模型和算法,实现基于身份的持续信任评估能力,识别异常访问行为和风险访问环境,并对信任评估结果进行调整,为动态访问控制提供有效输入。
通过可视化技术将访问路径、访问流量、用户异常访问行为直观展示,也可以将在线设备状态、统计情况、策略执行情况、执行路径等可视化呈现,帮助安全运营人员更为直观、更为全面的了解访问主体的安全状态和行为,从而更快速、更精准的找到风险点,触发安全响应,支撑安全决策。
腾讯零信任解决方案,充分利用五大安全能力,构建基于可信用户、可信设备和可信应用的访问主体,并对其访问行为进行持续信任评估和动态授权,以达到无边界的最小权限访问控制。
身份可信作为“零信任”架构的第一关,包括用户可信、设备可信和应用可信。有多种认证方式来确保用户可信:如企业微信扫码、token双因子认证、生物认证等。用户身份可与企业本地身份、域身份以及自定义帐号体系灵活适配。在用户体验上,通过应用系统单点登录(SSO),让应用使用更加便捷。设备可信则通过对设备进行合规管理、病毒查杀、安全加固和设备认证来实现。应用可信通过对应用和进程识别、黑白名单管理、远程分发和应用白名单发起来确保。
无边界动态访问控制是零信任架构的战略指挥核心,访问主体的访问鉴权依赖动态信任评估结果,且信任评估是持续的,伴随整个访问过程。一旦访问过程发生行为异常或环境异常,动态自动调整访问权限,保证业务访问的最小权限。访问控制策略可通过受控终端代理和访问网关双向执行。受控终端访问控制策略直接控制终端发起的应用进程,访问网关根据访问控制策略对访问流量进行二次校验,确保人-应用-访问目标合法,确保访问主体行为合法。
为了保证访问链路安全,采用独有的访问链路加密/解密网关,可针对设备指定WEB或应用程序流量层层加密,对不稳定网络做网络传输协议优化。同时,通过链路加速解决访问速度的问题。并且支持访问控制管理、单链接请求授权,及时阻断违规访问与网络风险。
通过零信任解决方案,为用户打造基于可信身份的无边界动态访问控制闭环,为企业构建全方位、一站式的零信任安全体系,为企业业务安全和业务上云提供安全保障。
腾讯零信任解决方案提供零信任架构中无边界可信访问的核心能力,为企业构建基于零信任的新一代安全架构。
关键组件包括:终端访问代理、可信识别、动态信任评估引擎、访问控制引擎和访问网关。
(关键组件结构图)
终端访问代理是部署于受控设备的发起安全访问的终端代理,负责访问主体可信身份验证的请求发起,验证身份可信,即可与访问网关建立加密的访问连接,同时也是访问控制的策略执行点。
终端访问代理部署于受控设备,访问主体发起访问时,需要校验主体身份状态是否可信、身份访问的目标资源是否有权限。同时检查发起访问的应用是否是可信应用,通过可信识别校验的访问主体授权建立对应的加密连接,并将相应的网络连接数据发送到访问网关。访问主体发起访问时建立人身份-应用-目标业务系统的组合策略控制,为了保障低风险访问,进行流量过滤,大大减少访问网关的访问流量压力。
零信任架构体系下的可信识别包括用户可信识别、受控设备可信识别和受控应用可信识别。通过可信识别模块对用户进行多因子身份认证(MFA)并验证该用户名下受控设备和受控应用的安全性和可信度,认证通过之后,自动评估访问主体的初始信任等级并根据等级进行授权。
用户可信识别提供用户全生命周期的身份管理和多因素身份认证能力。针对用户/用户组制定网络访问权限策略。在设备接入前,对用户进行业务权限的授权,非授权的业务资源完全不可见,做到最小特权的需求。在设备接入后,持续验证所有用户的身份,提供包括企业微信扫码、LDAP认证、域身份、Token 双因子认证在内的多种身份验证方式。通过身份可信识别能力实现合法的用户使用合法的终端,使用合法的应用对被保护资产进行合法的访问。
受控设备可信识别支持病毒查杀、漏洞修复、安全加固、合规检测、数据保护、EDR等全方位的终端管控功能模块。其中,病毒查杀采用了新一代的AI动态杀毒引擎,海量样本可实时发现最威胁;EDR入侵检测基于腾讯多年来成熟的实战经验,通过云端联动最新威胁情报,定时推送预警检测模型及专家策略,秒级发现入侵隐患,为用户及时应对热点安全事件提供决策支持。在设备接入内网之前以及接入运行后,iOA持续检查设备安全状态,更好地透视与管控企业内网环境,限制任何不符合安全要求的设备对企业网络的访问。
受控应用可信识别支持细粒度识别应用和进程,包括名称/版本/程名/MD5/Hash/签名。支持远程下发进程黑名单,阻止恶意进程在终端中运行。对访问发起方采用白名单模式,发现恶意程序即拦截访问,无法建立连接和接入,同时针对企业指定软件,支持远程强制卸载或分发。
动态信任评估引擎是零信任整体架构的策略指挥中心,为访问主体对核心业务资产的访问鉴权提供信任评估依据,并将信任评估结果下发到访问控制引擎,为访问控制引擎基于动态信任评分授权提供依据。
动态信任评估引擎具有解析、评估、决策三部分能力:
(动态信任评估引擎组件架构)
1)访问解析
访问解析旨在解析访问主体对资源的访问请求,从访问请求中提取出涉及的用户实体、设备实体、数据资源、应用资源等信息,并对访问请求进行字段标准化,转化为信任引擎可以处理的格式。然后将这些实体、资源信息传递给动态信任评估引擎和静态信任评估引擎,进入信任评估。
2)信任评估
信任评估包括访问评估引擎、持续信任评估引擎和静态场景评估引擎。
3)决策算法
决策算法以访问实体评分作为访问鉴权基线值,后续依赖动态信任评估引擎和静态信任评估引擎,持续对访问主体行为进行信任评估,并依据实时信任评分动态调整访问授权范围,以满足最小授权原则。从某种意义上说,决策算法是一种融合规则及评分的复合决策机制(criteria & score-based judging mechanism)。
依据多维决策点综合对访问主体的访问授权进行决策,决策点包括访问行为是否满足访问合规要求、基于上下文行为的信任评分、是否触发安全事件场景,以及综合访问置信度等。通过综合这些决策方式,访问决策引擎给出当前实体访问资源的最终信任结果。
通过访问控制引擎实现零信架构下的无边界访问控制能力,访问控制引擎包含网络访问接入、业务访问鉴权、静态访问控制和动态访问控制四大能力。
访问主体对被访问资源发起访问时,通过身份可信识别模块,对访问请求进行预认证,认证通过之后,访问终端才能够与访问网关建立网络连接,由网关代理可访问的服务。
访问鉴权将根据接收到用户身份、设备状况、信任等级和访问请求等信息,结合访问控制策略为用户每个请求建立加密访问链接。比如,默认运维工程师只能使用特定设备,通过特定客户端访问网络系统某个预设好的功能模块。
所有访问主体的访问基于静态合规类访问条件鉴权,不满足访问控制策略的访问即时触发身份验证、拒绝访问或置信度动态调整等动作。
动态访问控制策略:从动态访问控制引擎中获得动态评估结果,例如访问主体评估分数,安全场景结果等。动态访问控制策略主要基于动态评估结果提供基于上下文的资源访问评分、基于安全场景决策或基于置信度访问决策等能力。
访问网关是无边界网络访问控制能力的策略执行点,访问网关与动态访问控制引擎、可信识别引擎联动,基于访问控制策略对访问主体提供授权范围内的访问服务,而后建立加密连接,对异常访问行为进行阻断并对访问主体动态调整授权范围。访问加密流量携带对应关键策略的信息,在网关进行二次访问控制鉴权校验。访问网关在确保连接合法性后,将加密流量还原为目标业务系统的原始流量进行转发,保障原始业务系统访问体验不变,业务系统无需做开发改造。
访问网关提供应用分层访问代理、API接口代理、流量数据加密、应用单点登录和全流量应用操作记录能力。
除此之外,访问网关的另一个重要的能力是将业务系统网络隐身的能力,访问网关为业务系统提供统一访问入口,只有通过身份可信识别的访问主体才可以与访问网关建立访问通路,并根据访问控制策略对受保护业务资产发起访问,原有主体终端到目标业务系统的物理网络策略无需提供。业务系统避免被暴露在终端所在的任意风险等级的网络,防御攻击效果直接,即使被入侵,也扫描不到企业资产,只能够扫到网关入口,同时访问主体必须符合访问控制策略,才能对业务系统发起访问。
访问网关除了具备以上关键能力外,还具备流量控制、网络加速、Web动态水印、业务系统状态监控等能力。
全球办公网络加速(Global Office Accelerator)通过部署全球1300+节点与智能动态规划最优加速路径,结合访问主体可信识别与访问控制引擎,为企业搭建“无缝接入、链路高效、终端可靠、访问可控”的办公加速网络, 实现用户在全球任意网络环境中高速、稳定、安全地访问企业数据和协同办公。
腾讯全球加速网络在中国境内部署1100余处加速节点,拥有120T+储备带宽,覆盖国内所有省份及自治区域,网络涵盖三大运营商以及20多家主流中小型运营商,同时具备高规格、高安全性的自建机房;在境外区域部署了200余处加速节点,拥有20T+储备带宽,网络范围覆盖50+个国家及地区,与AWS、Azure等国际云建有Peer,并与全球 TOP10 的 CDN 厂商建立良好合作关系,建立跨境链路保证跨境资源加速质量,更有2700+ 合作节点可按需调度。
链路加速服务基于AI智能调度优选节点,智能分离动静态资源,结合腾讯自研最优链路算法及协议层优化技术,一键操作切换,即可实现全站加速。可支持各类主流、新型传输及应用协议网络加速,适用在任意应用场景下的不同协议间的融合传输。
零信任理念主要阐述了以动态访问控制为核心的企业内部安全框架。同时,也提出了不以访问终端设备所在网络位置为安全评判标准的方法。
基于此方法,当零信任体系在企业进行应用时,它可以非常灵活的应对多种安全场景。
业务访问的便捷性和安全性兼顾一直是企业数字化办公的需求。部分企业为了提供更为便捷的业务访问,将业务系统直接发布在互联网,极大的增加了业务安全风险;亦或是企业为了保证业务安全性,生产系统只能本地维护,一旦有故障发生,维护人员只能奔赴现场处理,响应速度大大降低。如何让员工/运维人员不论在何时何地,无论使用何种办公终端,无论对办公应用访问还是对生产业务维护,感知与本地操作一致,同时还能提升访问安全性和稳定性,是企业数字化办公的刚需。
在零信任安全网络架构下,默认网络无边界,访问人员无论在哪里,使用任意终端,对内网办公应用或是业务资源的访问,都不需要使用VPN,同时更为多元的可信认证和更为精细的鉴权访问控制,实现无边界化安全办公和运维。
(无边界办公/运维场景图)
随着企业数字化转型推动,企业业务系统分步上云,这就造成了业务部署分散。业务系统可以部署于内网,也可以部署于公有云,甚至部署于多云环境。对于这种复杂的业务部署场景,如何将这些业务系统统一管理,并保证业务在公有云上的访问安全性是企业亟待解决的问题。
在零信任安全网络架构下,通过零信任访问网关的隧道联通技术,将分散在不同环境的业务系统统一管理,同时,利用网关将业务系统的真实IP、端口隐藏,保障了业务部署于任何环境下的访问安全性,有效防御数据泄露、数据丢失、DDoS攻击、APT攻击等安全威胁。同时,访问策略从以IP为中心转变为以以身份为中心,访问鉴权不随策略的频繁变更而变更。同时,跨过混合云网络间的边界隔离,可以让用户灵活便捷且更为安全的访问处于不同云上的业务系统。
(混合云业务场景图)
企业分支/门店有接入总部、访问总部业务或者跟总部业务之间有数据交换的需求场景,会面临接入点种类数量多,攻击面广;业务类型多,访问协议多样;专线部署成本高,VPN安全性和稳定性不能保证等问题。
零信任解决方案,具有灵活快速适配客户访问端和业务端多样性的特点,同时保障访问链路稳定性和安全性,为客户带来降本增效的价值。
(分支安全接入场景图)
随着企业数字化开放,外部应用对企业业务数据有接口调用需求,然而,在应用数据调用场景下,接口开放混乱,调用过程中缺失身份鉴权和权限验证的安全验证手段。
应用数据安全调用场景适配多样化的接口,将接口统一调用,当业务应用需要调用已注册的服务能力时,需要在签名中包含调用方自身的ID和Token信息,网关进行身份鉴权和权限验证。在应用数据调用过程中,动态信任评估引擎对外部访问应用进行信任评估,并对调用行为进行识别,通过访问控制引擎进行动态访问控制。
(应用数据安全调用场景)
在传统的企业IT架构中,业务系统管理分散,需要花费更高成本进行安全管理和运维,手动的管理方式效率低且易导致信息泄露,并且存在难以审计的问题。如何灵活高效将业务系统集中管控是企业在安全运营过程中的一大诉求。
新一代基于零信任安全的统一身份管控解决方案,通过统一认证、统一身份管理、集中权限管理、集中业务管控、全面审计能力,帮助企业实现安全性与便利性的统一,从而确保企业业务的安全访问。方案将身份的外延扩展到包含人、设备、应用,在基于角色授权框架的基础上,结合上下文感知信息(IP、地理位置、接入网络、时间、设备安全状态等),实现自适应的访问控制。同时,方案结合风控领域的积累(知识图谱、对等组分析等能力),实现对于整体人、设备、访问风险的集中审计和智能评估,让安全可识可视。方案通过业务管控可以将业务系统应用、API应用、微服务等应用集中管理。
(统一身份与业务集中管控场景图)
在无边界的远程办公/运维场景下,用户远程办公/运维会遇到跨运营商访问、偏远地区访问、跨国访问等问题,并且发起访问的主体可以在任意网络,如何保障这些场景下的用户访问体验,是新一代零信任网络需要解决的一个重要问题。
为了保证以上远程访问场景下的用户体验,远程连接采用短连接方式,每个访问连接带有鉴权信息,避免链路断开重新认证,同时我们在方案中引入全球性网络接入的加速能力,通过动态探测智能路由选择最佳路径,弱网络(小运营商、高峰期),依然可以稳定通讯,避免出现数据访问中断的情况,大幅提升远程访问体验和业务可靠性。
(全球链路加速访问场景图)
腾讯IT自主设计与研发,结合自身十多年来的网络安全管理实践,形成了腾讯零信任安全管理系统(iOA),于2016年在公司内部实施,已经过6万多员工的实践验证。2020年新冠疫情期间,支撑了全网员工的全尺寸工作,在满足信息互通、收发邮件、远程会议、流程审批、项目管理等基本办公需求基础上,同时实现远程无差别地访问 OA 站点和内部系统、开发运维、登录跳板机等 。
设计目标上,可控制对企业公有云、私有云以及本地应用的访问权限,通过验证用户的身份、设备的安全状态来确定是否允许用户访问应用,确保对企业应用的可信访问并降低企业数据泄露风险。无论员工位于何处、使用任何设备都可以安全访问企业的应用程序和数据。
设计原则上,延续了 ZTA 架构的理念和 BeyondCorp 的指导原则,并进一步细化为以下三大原则:
设计方案上,核心模块主要有,安全客户端和智能网关:
除安全客户端和智能网关外,还需要多个后台组件配合完成安全检测和访问控制,包括:
技术实现上,全链路加密有别于传统的 VPN,所有业务数据,通过 key 加解密,每一个访问,都是独立的 TCP 访问,每一个访问,都验证用户、设备、应用的状态,即零信任。无需维持一个稳定 TCP 长链接,在不稳定弱网络条件下,即使网络有波动,通过自动重试机制,下一次访问即可成功,从而减少网络抖动带来的影响,保证稳定访问业务。相比传统 VPN,减少 SSL 通道协商,无需经过 IP 分配、配置路由过程,大大减少通道建立的时间。
效率和体验上,为方便员工快速建立和接入工作环境,iOA 针对资源访问,身份验证,设备标准化等高频场景,有针对性的提升员工效率和体验:
传统的边界网络安全架构将逐步退出历史舞台,一种新的网络安全架构应运而生。零信任网络安全架构对网络安全进行了重构,无边界的网络、基于可信的身份、动态的授权和持续的信任评估成为新的理念。在零信任架构下,访问主体身份管控更为全面,不仅仅是人的身份,还有设备和应用、系统身份。访问鉴权更为精准,不再基于角色的静态鉴权,而是基于信任评估的动态鉴权。访问链路的安全性、稳定性和访问速度也被全面考虑,最终形成一整套适用企业数字化转型的新型安全机制。