權威認證背後:一羣騰訊“安全俠”的“信任”江湖
今年4月以來,互聯網安全領域風波驟起。大型燃油運輸管道運營商科洛尼爾內網遭黑客攻擊;日本東芝公司法國分公司740G機密信息和個人資料被職業勒索組織竊取……
在騰訊,有一羣“安全俠”正力圖打破傳統安全的窠臼,提出“以零信任構建信任”,在無邊界的網絡新世界重構安全。
騰訊安全的六位零信任“安全俠”
故事要從一場培訓講起。今年春節前夕,騰訊開展了一場特殊的“人才認證培訓”。10名騰訊“安全俠”圍坐在電腦前,投身於數百個學時的專業培訓中,學習技術方案、案例實踐、合規治理等全套零信任體系,並不時在羣裡切磋思路,碰撞火花。
作爲此次認證的組織者,騰訊安全戰略專家Steven已籌備了一年多。
8年前,還在諮詢公司從事客戶側安全風險諮詢的Steven,第一次接觸到了“零信任”。
這一概念來自全球著名IT研究機構Forrester。2010年,其分析師John Kindervag敏銳地發現,傳統的基於邊界的網絡安全架構,一旦被黑客以“可信任員工”的身份越過,便幾乎形同虛設,他創造出“零信任”理念,以“永不信任,持續校驗”爲思想內核。
Steven回憶,“當時我們在吸取行業研究機構的經驗時,已經感覺到這套理論和實踐的策略,對於企業具有非常強的吸引力。”
2017年,Steven加入騰訊,負責騰訊全球合規的體系框架設計。彼時,騰訊在內部自主設計、實踐落地零信任安全體系已有一年多時間,但To B端的產品遲遲未能上線。
轉機是從“930變革”開始的。2018年,騰訊經歷脫胎換骨:架構大調整,紮根消費互聯網,擁抱產業互聯網,零信任則成爲騰訊To B商業化之後非常核心的一條戰略線。
挑戰隨之而來。“如果我們現在依然站在傳統企業IT安全的角度去和這些CEO聊業務需求、聊發展策略,那麼90%的回答都會是聽不懂你在講什麼,對業務有什麼幫助”,在接觸零信任多年時間裡,Steven意識到一個重要事實:要扭轉思維,關鍵在“人”。“需要一批專家團隊,把零信任理念落實下來。”
2020年初突然暴發的疫情,加速了企業的數字化轉型,也讓零信任迅速走到臺前。騰訊副總裁丁珂將“零信任”確立爲騰訊安全未來的發展戰略指導,從那時起,Steven開始作爲安全戰略專家,探路“零信任認證”。
在該領域,Forrester無疑是權威者。從2018開始,Forrester開始發佈零信任擴展生態系統ZTX研究報告,探索零信任架構在企業中的應用,並通過ZTX認證系統性地對零信任廠商的能力進行評估。
摸底Forrester之後,Steven更加篤定,藉助ZTX認證,不僅能夠幫助團隊建立對零信任的共同理解,還能將騰訊安全在零信任領域的技術產品、解決方案,轉化爲通用的實踐性質的知識和框架,反哺整個行業和市場的安全人員,實現中國、甚至全球零信任人才的整體提升。
進化
4個多月前,聽到要做零信任人才認證的消息,騰訊安全的老孫興奮不已。他自嘲,在零信任江湖行走多年,他的字典裡從沒有“信任”二字。
“零信任=更安全?這還挺反常識的。”6年前,老孫第一次接觸到零信任,腦中充滿了問號,“說實話,當時對這個概念是有一些誤會的,從字面上去理解,既然都不信任了,還搞什麼安全?”
和零信任的真正結緣,是加入騰訊後。
彼時,老孫已摸清零信任的底層邏輯:“傳統網絡安全理念就像玩塔防遊戲,只需在層層關卡設置‘護盾’。”零信任顛覆了這種做法,“它不僅僅要確保訪問身份、設備不能有問題,請求也要是從一個可信的應用或者進程發出來的。”
“實操中會發現,任務挺艱鉅的”。老孫負責騰訊零信任安全產品的規劃,幫助客戶爲零信任整體解決方案運籌帷幄。對他而言,“930變革”同樣記憶深刻。
“那段時間,零信任產品市場化的過程中,面臨的最大困擾就是如何去解開內部系統之間的耦合,讓方案去適配不同的產品,滿足用戶五花八門的訴求。”
老孫直言,零信任戰略的落地需要從用戶身份驗證、終端合規檢測等多個方面來考慮,團隊所面臨最主要的任務,是如何兼容不同的技術和系統,同時發揮騰訊自有產品的優勢。
在這次培訓中,老孫確認了實踐的“參照系”:“採用哪種產品、哪種技術其實並不是最重要的,重要的是如何將整個零信任的理念貫穿和落地到整個的信息安全管理中去,如何跟各種層次的人打交道,讓他們去接受零信任的理念。”這也與Steven早期的想法不謀而合。
在他看來,此次認證培訓來得格外及時,“Forrester有一個比較完整的框架,整個學習的過程使我終於有機會去驗證已有的哪些想法是對的,哪些想法可能是存在一些問題的。”
2020年疫情暴發後,遠程辦公成爲常態,零信任迎來新的分水嶺。
此時的Steven正在忙於籌備ZTX認證,老孫還在技術路線與客戶需求間博弈。而另一邊,騰訊iOA的負責人Andy已在爲零信任辦公產品的未來市場謀劃藍圖。
Andy專注於安全領域已經近10年,見證了零信任產品在騰訊的起步與轉折。2008年加入騰訊後,他主要從事終端安全領域的產品研發,也就是現在爲公衆所熟知的電腦管家。後轉型TO B安全,研究企業終端安全產品“御點”。當時,公司內部辦公產品仍採用傳統的VPN方案。
知名諮詢公司Gartner曾經預測,“2023年全球將有60%以上的VPN被零信任取代。”
騰訊的嗅覺尤其敏銳。早在2016年,騰訊就開始推動內部辦公安全落地零信任解決方案,替換VPN方案,提升公司的安全基線。幾無差別的內外網辦公體驗,讓很多騰訊員工明顯感受到了無邊界辦公帶來的便利。
Andy介紹,零信任方案市場化的過程中,爲帶給員工更好的使用體驗,同時方便企業的安全管理,騰訊將辦公安全的兩個產品——御點和內網iOA進行深度整合,形成了如今的“iOA零信任安全管理系統”。
在iOA產品設計之處,騰訊安全的團隊內部達成一個共識——希望它更多地承載一些“人”的特質,讓員工感覺到方便,對自身工作是有幫助的。“我們希望更多地將它定位成辦公助手,而不是一個管理軟件,希望它切實對員工的工作效能和業績有較好的幫助,同時也對企業安全有較好的管理支撐。” Andy說。
疫情初始,僅用5天,騰訊便完成了從傳統模式向零信任安全體系的切換,7萬員工、10萬終端可以同時遠程處理各種複雜的工作。
如今騰訊iOA產品已經進入泛互、物流、地產、教育、製造、政府、銀行等多個行業。在Andy看來,iOA不僅僅是一款產品,而是一整套以身份爲中心的安全理念,它可以爲不同安全建設期的客戶提供逐層深入的解決方案,小到終端安全,大到資產梳理、訪問權限管理。
在實戰中摸爬滾打多年,Andy仍時刻繃緊神經。挑戰來源於多個方面,產品涉及安全範圍較廣,客戶需求的抽象,對交付速度的要求,以及項目的風險管理等。在他看來,這次的ZTX認證是一次很好的充電機會,能夠幫助他去體系化學習、借鑑。
當前,國內的零信任生態圈被切的很碎。雖有數十家企業嘗試爲企業提供零信任解決方案,但Andy認爲,“大多數的企業是封閉起來‘抄書’”,他早早地提出了構想:希望iOA未來能夠逐漸開放,基於騰訊的自身實踐經驗,逐漸變成一個平臺服務於客戶,通過聯合客戶自身的安全運營和合作夥伴,共建零信任生態。
“安全說到底是數據的安全,數據說到底都是業務的。我們希望逐漸開放部分能力和接口,讓企業深度參與到策略設定和安全運營中來,讓每個企業能夠組建符合自身特點的零信任體系。”
騰訊零信任安全管理系統 iOA
傳承
95後小楠是此次參與ZTX認證中最年輕的專家人才。對她來說,零信任的啓蒙是從騰訊開始的。
“入職之前,我對零信任其實並不瞭解,只是覺得做安全是個很酷的事情。”大學時期,小楠選擇了網絡安全專業,學習“攻防”。四年前,一次騰訊實習經歷,讓小楠第一次接觸到“零信任”這個詞。時值騰訊內部零信任架構的全面落地,作爲“改革”的親歷者,那個時候的小楠“確確實實感受到了遠程辦公的順暢”。
2019年,畢業於香港大學計算機系的小楠經校招入職騰訊,擔任iOA產品經理。
疫情暴發後,零信任市場規模迎來爆發式增長,2020年,騰訊端點覆蓋數已經超過100萬。和客戶溝通方案是小楠平時最主要的工作,疫情期間,不斷找上門的需求使她忙了起來。
溝通需求,這件讓幾位前輩都頭疼的事,在小楠這裡,難,卻也不難。她發現,很多客戶只是通過一些行業報告瞭解到零信任,儘管體系化的輸出需要一定過程,好在,騰訊本身就是零信任的實踐者,所以還是有很多實操的經驗可以分享。
兩年過去,在與客戶不斷地切磋打磨中,小楠實踐着自己對“零信任”的一套認知體系。“零信任是要讓任何設備,不管在內網還是在外網,都保持一個沒有驗證就不信任的狀態,這在當下,是辦公安全理念一次比較大的升級。”
今年年初,小楠加入到ZTX認證中,她非常享受這個學習過程,腦海中也常閃過春節裡和大家一起相互督促、交流方案的片段。
一個細節是,有一門課程是將企業分割成領導層、執行層、普通層等多個層次,來講授如何將零信任落地,這讓小楠覺得非常“解渴”,她形容,這與整個騰訊在落地零信任的過程很相似,每一層阻礙相應的解決方法也很符合實際,“具有很強的實操性”。
在這場全球級別的認證中,小楠沒有太在意“專家”身份的註腳,而是把它當作一次認知的擴充,“接觸到Forrester的課程以後,可以看到其他的一些企業,包括歐美市場對零信任的前沿解讀。”
“其實像我2019年才畢業,在零信任這方面不算是老師。”於小楠而言,認證之後,在這個領域深耕下去的動力更足了。
“像Forrester的專家也好,或者是這次一起拿到證書的專家也好,我想成爲像他們一樣的人。”
Forrester爲騰訊零信任團隊成員頒發ZTX專家認證
這羣“安全俠”數年的耕耘迎來了新的里程碑。5月14日, Forrester爲騰訊安全團隊的10名安全技術人才頒授了零信任領域權威的ZTX專家認證。這是這家全球著名IT研究機構首次爲企業授牌,也是國內最大規模的一次ZTX認證。不過,小楠知道,零信任的萬里長征纔剛剛開始。