互聯(lián)網(wǎng)江湖,“偷襲”和“背叛”無(wú)處不在。

2018年6月,特斯拉指控前員工Martin Tripp侵入特斯拉制造操作系統,將幾個(gè)G的機密數據傳輸給外部機構,以此蓄意破壞生產(chǎn)。

今年4月以來(lái),互聯(lián)網(wǎng)安全領(lǐng)域風(fēng)波驟起。大型燃油運輸管道運營(yíng)商科洛尼爾內網(wǎng)遭黑客攻擊;日本東芝公司法國分公司740G機密信息和個(gè)人資料被職業(yè)勒索組織竊取……

當“背叛”、“偷襲”愈演愈烈,網(wǎng)絡(luò )安全的新邊界在哪里?

在騰訊,有一群“安全俠”正力圖打破傳統安全的窠臼,提出“以零信任構建信任”,在無(wú)邊界的網(wǎng)絡(luò )新世界重構安全。

騰訊安全的六位零信任“安全俠”

探路

故事要從一場(chǎng)培訓講起。今年春節前夕,騰訊開(kāi)展了一場(chǎng)特殊的“人才認證培訓”。10名騰訊“安全俠”圍坐在電腦前,投身于數百個(gè)學(xué)時(shí)的專(zhuān)業(yè)培訓中,學(xué)習技術(shù)方案、案例實(shí)踐、合規治理等全套零信任體系,并不時(shí)在群里切磋思路,碰撞火花。

作為此次認證的組織者,騰訊安全戰略專(zhuān)家Steven已籌備了一年多。

8年前,還在咨詢(xún)公司從事客戶(hù)側安全風(fēng)險咨詢(xún)的Steven,第一次接觸到了“零信任”。

這一概念來(lái)自全球著(zhù)名IT研究機構Forrester。2010年,其分析師John Kindervag敏銳地發(fā)現,傳統的基于邊界的網(wǎng)絡(luò )安全架構,一旦被黑客以“可信任員工”的身份越過(guò),便幾乎形同虛設,他創(chuàng )造出“零信任”理念,以“永不信任,持續校驗”為思想內核。

Steven回憶,“當時(shí)我們在吸取行業(yè)研究機構的經(jīng)驗時(shí),已經(jīng)感覺(jué)到這套理論和實(shí)踐的策略,對于企業(yè)具有非常強的吸引力。”

2017年,Steven加入騰訊,負責騰訊全球合規的體系框架設計。彼時(shí),騰訊在內部自主設計、實(shí)踐落地零信任安全體系已有一年多時(shí)間,但To B端的產(chǎn)品遲遲未能上線(xiàn)。

轉機是從“930變革”開(kāi)始的。2018年,騰訊經(jīng)歷脫胎換骨:架構大調整,扎根消費互聯(lián)網(wǎng),擁抱產(chǎn)業(yè)互聯(lián)網(wǎng),零信任則成為騰訊To B商業(yè)化之后非常核心的一條戰略線(xiàn)。

挑戰隨之而來(lái)。“如果我們現在依然站在傳統企業(yè)IT安全的角度去和這些CEO聊業(yè)務(wù)需求、聊發(fā)展策略,那么90%的回答都會(huì )是聽(tīng)不懂你在講什么,對業(yè)務(wù)有什么幫助”,在接觸零信任多年時(shí)間里,Steven意識到一個(gè)重要事實(shí):要扭轉思維,關(guān)鍵在“人”。“需要一批專(zhuān)家團隊,把零信任理念落實(shí)下來(lái)。”

2020年初突然暴發(fā)的疫情,加速了企業(yè)的數字化轉型,也讓零信任迅速走到臺前。騰訊副總裁丁珂將“零信任”確立為騰訊安全未來(lái)的發(fā)展戰略指導,從那時(shí)起,Steven開(kāi)始作為安全戰略專(zhuān)家,探路“零信任認證”。

在該領(lǐng)域,Forrester無(wú)疑是權威者。從2018開(kāi)始,Forrester開(kāi)始發(fā)布零信任擴展生態(tài)系統ZTX研究報告,探索零信任架構在企業(yè)中的應用,并通過(guò)ZTX認證系統性地對零信任廠(chǎng)商的能力進(jìn)行評估。

摸底Forrester之后,Steven更加篤定,借助ZTX認證,不僅能夠幫助團隊建立對零信任的共同理解,還能將騰訊安全在零信任領(lǐng)域的技術(shù)產(chǎn)品、解決方案,轉化為通用的實(shí)踐性質(zhì)的知識和框架,反哺整個(gè)行業(yè)和市場(chǎng)的安全人員,實(shí)現中國、甚至全球零信任人才的整體提升。

進(jìn)化

4個(gè)多月前,聽(tīng)到要做零信任人才認證的消息,騰訊安全的老孫興奮不已。他自嘲,在零信任江湖行走多年,他的字典里從沒(méi)有“信任”二字。

“零信任=更安全?這還挺反常識的。”6年前,老孫第一次接觸到零信任,腦中充滿(mǎn)了問(wèn)號,“說(shuō)實(shí)話(huà),當時(shí)對這個(gè)概念是有一些誤會(huì )的,從字面上去理解,既然都不信任了,還搞什么安全?”

和零信任的真正結緣,是加入騰訊后。

彼時(shí),老孫已摸清零信任的底層邏輯:“傳統網(wǎng)絡(luò )安全理念就像玩塔防游戲,只需在層層關(guān)卡設置‘護盾’。”零信任顛覆了這種做法,“它不僅僅要確保訪(fǎng)問(wèn)身份、設備不能有問(wèn)題,請求也要是從一個(gè)可信的應用或者進(jìn)程發(fā)出來(lái)的。”

“實(shí)操中會(huì )發(fā)現,任務(wù)挺艱巨的”。老孫負責騰訊零信任安全產(chǎn)品的規劃,幫助客戶(hù)為零信任整體解決方案運籌帷幄。對他而言,“930變革”同樣記憶深刻。

“那段時(shí)間,零信任產(chǎn)品市場(chǎng)化的過(guò)程中,面臨的最大困擾就是如何去解開(kāi)內部系統之間的耦合,讓方案去適配不同的產(chǎn)品,滿(mǎn)足用戶(hù)五花八門(mén)的訴求。”

老孫直言,零信任戰略的落地需要從用戶(hù)身份驗證、終端合規檢測等多個(gè)方面來(lái)考慮,團隊所面臨最主要的任務(wù),是如何兼容不同的技術(shù)和系統,同時(shí)發(fā)揮騰訊自有產(chǎn)品的優(yōu)勢。

在這次培訓中,老孫確認了實(shí)踐的“參照系”:“采用哪種產(chǎn)品、哪種技術(shù)其實(shí)并不是最重要的,重要的是如何將整個(gè)零信任的理念貫穿和落地到整個(gè)的信息安全管理中去,如何跟各種層次的人打交道,讓他們去接受零信任的理念。”這也與Steven早期的想法不謀而合。

在他看來(lái),此次認證培訓來(lái)得格外及時(shí),“Forrester有一個(gè)比較完整的框架,整個(gè)學(xué)習的過(guò)程使我終于有機會(huì )去驗證已有的哪些想法是對的,哪些想法可能是存在一些問(wèn)題的。”

藍圖

2020年疫情暴發(fā)后,遠程辦公成為常態(tài),零信任迎來(lái)新的分水嶺。

此時(shí)的Steven正在忙于籌備ZTX認證,老孫還在技術(shù)路線(xiàn)與客戶(hù)需求間博弈。而另一邊,騰訊iOA的負責人Andy已在為零信任辦公產(chǎn)品的未來(lái)市場(chǎng)謀劃藍圖。

Andy專(zhuān)注于安全領(lǐng)域已經(jīng)近10年,見(jiàn)證了零信任產(chǎn)品在騰訊的起步與轉折。2008年加入騰訊后,他主要從事終端安全領(lǐng)域的產(chǎn)品研發(fā),也就是現在為公眾所熟知的電腦管家。后轉型TO B安全,研究企業(yè)終端安全產(chǎn)品“御點(diǎn)”。當時(shí),公司內部辦公產(chǎn)品仍采用傳統的VPN方案。

知名咨詢(xún)公司Gartner曾經(jīng)預測,“2023年全球將有60%以上的VPN被零信任取代。”

騰訊的嗅覺(jué)尤其敏銳。早在2016年,騰訊就開(kāi)始推動(dòng)內部辦公安全落地零信任解決方案,替換VPN方案,提升公司的安全基線(xiàn)。幾無(wú)差別的內外網(wǎng)辦公體驗,讓很多騰訊員工明顯感受到了無(wú)邊界辦公帶來(lái)的便利。

Andy介紹,零信任方案市場(chǎng)化的過(guò)程中,為帶給員工更好的使用體驗,同時(shí)方便企業(yè)的安全管理,騰訊將辦公安全的兩個(gè)產(chǎn)品——御點(diǎn)和內網(wǎng)iOA進(jìn)行深度整合,形成了如今的“iOA零信任安全管理系統”。

在iOA產(chǎn)品設計之處,騰訊安全的團隊內部達成一個(gè)共識——希望它更多地承載一些“人”的特質(zhì),讓員工感覺(jué)到方便,對自身工作是有幫助的。“我們希望更多地將它定位成辦公助手,而不是一個(gè)管理軟件,希望它切實(shí)對員工的工作效能和業(yè)績(jì)有較好的幫助,同時(shí)也對企業(yè)安全有較好的管理支撐。” Andy說(shuō)。

疫情初始,僅用5天,騰訊便完成了從傳統模式向零信任安全體系的切換,7萬(wàn)員工、10萬(wàn)終端可以同時(shí)遠程處理各種復雜的工作。

如今騰訊iOA產(chǎn)品已經(jīng)進(jìn)入泛互、物流、地產(chǎn)、教育、制造、政府、銀行等多個(gè)行業(yè)。在A(yíng)ndy看來(lái),iOA不僅僅是一款產(chǎn)品,而是一整套以身份為中心的安全理念,它可以為不同安全建設期的客戶(hù)提供逐層深入的解決方案,小到終端安全,大到資產(chǎn)梳理、訪(fǎng)問(wèn)權限管理。

在實(shí)戰中摸爬滾打多年,Andy仍時(shí)刻繃緊神經(jīng)。挑戰來(lái)源于多個(gè)方面,產(chǎn)品涉及安全范圍較廣,客戶(hù)需求的抽象,對交付速度的要求,以及項目的風(fēng)險管理等。在他看來(lái),這次的ZTX認證是一次很好的充電機會(huì ),能夠幫助他去體系化學(xué)習、借鑒。

當前,國內的零信任生態(tài)圈被切的很碎。雖有數十家企業(yè)嘗試為企業(yè)提供零信任解決方案,但Andy認為,“大多數的企業(yè)是封閉起來(lái)‘抄書(shū)’”,他早早地提出了構想:希望iOA未來(lái)能夠逐漸開(kāi)放,基于騰訊的自身實(shí)踐經(jīng)驗,逐漸變成一個(gè)平臺服務(wù)于客戶(hù),通過(guò)聯(lián)合客戶(hù)自身的安全運營(yíng)和合作伙伴,共建零信任生態(tài)。

“安全說(shuō)到底是數據的安全,數據說(shuō)到底都是業(yè)務(wù)的。我們希望逐漸開(kāi)放部分能力和接口,讓企業(yè)深度參與到策略設定和安全運營(yíng)中來(lái),讓每個(gè)企業(yè)能夠組建符合自身特點(diǎn)的零信任體系。”

騰訊零信任安全管理系統 iOA

傳承

95后小楠是此次參與ZTX認證中最年輕的專(zhuān)家人才。對她來(lái)說(shuō),零信任的啟蒙是從騰訊開(kāi)始的。

“入職之前,我對零信任其實(shí)并不了解,只是覺(jué)得做安全是個(gè)很酷的事情。”大學(xué)時(shí)期,小楠選擇了網(wǎng)絡(luò )安全專(zhuān)業(yè),學(xué)習“攻防”。四年前,一次騰訊實(shí)習經(jīng)歷,讓小楠第一次接觸到“零信任”這個(gè)詞。時(shí)值騰訊內部零信任架構的全面落地,作為“改革”的親歷者,那個(gè)時(shí)候的小楠“確確實(shí)實(shí)感受到了遠程辦公的順暢”。

2019年,畢業(yè)于香港大學(xué)計算機系的小楠經(jīng)校招入職騰訊,擔任iOA產(chǎn)品經(jīng)理。

疫情暴發(fā)后,零信任市場(chǎng)規模迎來(lái)爆發(fā)式增長(cháng),2020年,騰訊端點(diǎn)覆蓋數已經(jīng)超過(guò)100萬(wàn)。和客戶(hù)溝通方案是小楠平時(shí)最主要的工作,疫情期間,不斷找上門(mén)的需求使她忙了起來(lái)。

溝通需求,這件讓幾位前輩都頭疼的事,在小楠這里,難,卻也不難。她發(fā)現,很多客戶(hù)只是通過(guò)一些行業(yè)報告了解到零信任,盡管體系化的輸出需要一定過(guò)程,好在,騰訊本身就是零信任的實(shí)踐者,所以還是有很多實(shí)操的經(jīng)驗可以分享。

兩年過(guò)去,在與客戶(hù)不斷地切磋打磨中,小楠實(shí)踐著(zhù)自己對“零信任”的一套認知體系。“零信任是要讓任何設備,不管在內網(wǎng)還是在外網(wǎng),都保持一個(gè)沒(méi)有驗證就不信任的狀態(tài),這在當下,是辦公安全理念一次比較大的升級。”

今年年初,小楠加入到ZTX認證中,她非常享受這個(gè)學(xué)習過(guò)程,腦海中也常閃過(guò)春節里和大家一起相互督促、交流方案的片段。

一個(gè)細節是,有一門(mén)課程是將企業(yè)分割成領(lǐng)導層、執行層、普通層等多個(gè)層次,來(lái)講授如何將零信任落地,這讓小楠覺(jué)得非常“解渴”,她形容,這與整個(gè)騰訊在落地零信任的過(guò)程很相似,每一層阻礙相應的解決方法也很符合實(shí)際,“具有很強的實(shí)操性”。

在這場(chǎng)全球級別的認證中,小楠沒(méi)有太在意“專(zhuān)家”身份的注腳,而是把它當作一次認知的擴充,“接觸到Forrester的課程以后,可以看到其他的一些企業(yè),包括歐美市場(chǎng)對零信任的前沿解讀。”

“其實(shí)像我2019年才畢業(yè),在零信任這方面不算是老師。”于小楠而言,認證之后,在這個(gè)領(lǐng)域深耕下去的動(dòng)力更足了。

“像Forrester的專(zhuān)家也好,或者是這次一起拿到證書(shū)的專(zhuān)家也好,我想成為像他們一樣的人。”

Forrester為騰訊零信任團隊成員頒發(fā)ZTX專(zhuān)家認證

這群“安全俠”數年的耕耘迎來(lái)了新的里程碑。5月14日, Forrester為騰訊安全團隊的10名安全技術(shù)人才頒授了零信任領(lǐng)域權威的ZTX專(zhuān)家認證。這是這家全球著(zhù)名IT研究機構首次為企業(yè)授牌,也是國內最大規模的一次ZTX認證。不過(guò),小楠知道,零信任的萬(wàn)里長(cháng)征才剛剛開(kāi)始。