科技 新浪科技 復盤騰訊遠程辦公安全戰:10萬台終端,誰在守護

復盤騰訊遠程辦公安全戰:10萬台終端,誰在守護

原標題:復盤騰訊遠程辦公安全戰:10萬台終端,誰在守護

ec0b-izeysaz3671499.png

文章經授權轉自公眾號:深響(ID:deep-echo);作者: 鴻鍵

2月9日,騰訊6萬名員工收到一條特殊的消息。

「基於目前疫情形勢,為減少人員流動及聚集,阻斷疫情傳播,確保小夥伴們的健康和安全,公司決定將在家辦公的時間延長一周。」

不止騰訊,在春節過後的日子里,國內許多公司都開啟了員工在家辦公模式。一時間,散布在天南海北的企業員工在卧室、在飄窗、甚至在老家的炕頭,打開電腦,埋頭工作。

社交網路上,各種關於遠程辦公的段子比比皆是,類似視頻開會成了睡衣Party、會議開到一半孩子突然竄出的故事流傳在各個工作群里。遠程辦公時代到來了,似乎除了生活節奏要調整,一切都如平常。

段子齊飛的背後,互聯網公司的安全團隊卻是嚴正以待,一場硬仗早已打響。

春節期間的硬仗

大年初一傍晚,負責騰訊公司信息安全的企業IT部拉起一個緊急項目組,討論的問題是:節后能否支持公司全員遠程辦公。

不久后,結果就確定了下來:不僅要支持全員的遠程基礎辦公,還要支撐全員、全量、全尺寸的辦公。

根據騰訊2019年年報,公司有近7萬名員工,全員、全量遠程辦公對應的是10萬個終端和背後複雜的網路環境。「全尺寸」則意味著,除了信息互通、遠程會議等基本功能,還要讓所有員工遠程無差別地訪問OA站點和內部系統,尤其是讓兩萬多名技術人員能正常使用跳板機、藍鯨、Git等進行運維開發工作,難度可見一斑。

雖然從2016年開始,騰訊安全就已經開始在遠程辦公方面有所布局,但這次完全不是同一個量級。在接下來的遠程辦公中,員工訪問的身份、設備、網路都不可控,且企業服務暴露在公網上,安全風險隨時可能出現。

一項巨大的工程擺在安全團隊面前,但離復工已經沒有多少天了。

團隊要處理的第一個問題是擴容,為了補齊伺服器支撐,相關部門幾乎全員出動,30多個小時完成了200多台伺服器的上架。不過,雖然在已有的私有雲環境下,項目組能迅速實現線上擴容,但仍有部分支撐需要在線下完成。

據騰訊iOA技術負責人蔡東贇回憶,春節期間,為了伺服器的現場上架、調度,有同事專程跑到騰訊深圳總部,也因此經受了些波折。

「當時接到行政的電話,說樓里有疑似發燒的人,嚇得有些同事家都不敢回,最後還好只是普通的肺炎。」

擴容是為了承載暴增的流量,同時進行的另一項重要任務是加強安全策略。

具體而言,加強安全策略可以分為「築堡壘」、「掃隱雷」兩個方面,即在新的安全環境下,曾經在外網不檢測的東西改為全部要接受檢測,安全事件響應水準提升到最高等級。與此同時,為了主動掃除隱患,騰訊方面還啟動了紅藍軍對抗的模式,對產品做直接的線上測試。

bb51-izeysaz3671502.png

基於已有的私有雲基礎,加上自主設計和研發的騰訊iOA零信任終端安全管理系統,內網的安全保障工作在春節期間緊張有序地進行著,轉眼間,復工日到了。

2月10日早上8點,遠程在線的員工數接近3萬。

11點半,同時在線員工數達到5萬。

第一周下來,遠程辦公在線人數接近7萬人,終端數超過10萬台。

在這個過程中,遠程辦公安全網路通道機器從6台擴容到140台,承載流量從不到1G增長至最高20G,與此同時,還要保障辦公、研發、運維人員在快速擴容的過程中保持在零信任網路通道中流暢工作。

一切平穩運行,似乎和平日並無不同。

顯然,緊急加班的安全團隊是遠程辦公能順利進行的最大功臣,但與其說這是場驚險的「遭遇戰」,不如說是長年積累下的安全能力的集中展現,而這又與騰訊本身的發展息息相關。

內部「戰場」的磨礪

「攻防能力、安全能力怎麼來的,主要是因為公司的發展給我們提供了比較好的戰場」,騰訊安全副總裁方斌告訴「深響」。

在「深響」與騰訊安全方面的交流中,「戰場」一詞高頻出現,其原因不難理解:騰訊員工多,且地域分佈廣,加上互聯網公司生產資料數字化的特點,企業本身就是網路安全攻防戰的大舞台。

值得注意的是,騰訊並非從創立之初就自建安全團隊,其安全能力發展可以追溯到2004年。當年,衝擊波、尼姆達等計算機病毒肆虐,騰訊內部的電腦也曾中招,加上「盜號」問題日漸嚴峻,騰訊為此成立了第一個安全部門:安全運維組。

到了2006年,由於「朽木事件」的發生,騰訊進一步加大對內網安全的重視。當時名為「朽木」的黑客通過內網滲透,還給騰訊高管打了電話。雖然沒有造成損失,但這次事件成了騰訊推進內網隔離的契機。

在此背景下,騰訊的安全能力分別在C端和內網兩個方向得到發展:一方面,面向C端的安全產品從最開始的「防盜號」逐漸轉向提供全面的安全防護;另一方面,隨著騰訊的家業越來越大,來自內部的考驗逐漸增多,相關安全能力也得到了實實在在的錘鍊。

0f1f-izeysaz3671606.png

探索「零信任」,就是安全團隊服務內部需求而實現的重大突破之一。

據方斌介紹,由於公司過去幾年增長迅速,騰訊在全球各地都有了辦公場所和相關員工,業務場景也變得豐富多樣,加上投資公司、子公司的發展,騰訊需要有更能匹配新場景的IT設施,因此開始在內部探索實踐「零信任」方案。

所謂的「零信任」,指的是一種以資源保護為核心的網路安全範式,其核心理念恰如其名,即默認所有情況下企業內部和外部的所有人、事、物都不可信,需要以身份為中心進行動態訪問控制,是更貼合遠程辦公模式安全需求的方案。

也就是說,「零信任」方案的出發點是改善公司內部的遠程辦公體驗,同時增強安全能力,這也符合騰訊一貫的「員工體驗優先」原則。

「騰訊在支撐員工辦公這塊投入很大,傳統產品會出現在家經常連不上等各種問題,像運維的SSH會突然閃斷,你得重新連伺服器、跳板機,再執行運維的動作。」蔡東贇告訴「深響」。

從2016年開始,騰訊就在內部實踐起「零信任」方案,這也讓騰訊成為了國內最早探索「零信任」應用的企業之一。經過了幾年的推進,「零信任」應用的優勢不斷顯現,成為騰訊在疫情期間應對突髮狀況的紮實基礎。

回顧騰訊在內網安全能力方面的發展,其積淀的種種實力都離不開公司內部的磨礪。騰訊相當於安全部門的「第一個客戶」,這個客戶需求多且「挑剔」,需要安全團隊不斷迭代能力,甚至主動去探索行業邊界,進而落地全新的解決方案。

那麼,除了騰訊,那些已被驗證過的安全能力實踐,能否輸送至同樣有需求的企業,為其數據安全保駕護航?

答案是肯定的,這也是騰訊近年發力的重要方向——TO B。

外部新征途

其實在2018年那場著名的「930」變革之前,騰訊安全就開始了TO B轉型之路。

轉型的契機是2017年WannaCry病毒的爆發,雖然當時騰訊電腦管家團隊快速找到了解決方案,但由於電腦管家主要面向C端用戶,因此對受災企業的幫助比較有限。

f1cd-izeysaz3671600.png

WannaCry勒索病毒提示

一時間,騰訊安全的相關團隊都陷入了思考——「我們有可靠的內網安全能力,也有很好的C端產品,怎麼樣去向行業輸出企業級的終端安全產品?」

在之後的日子里,經過無數討論和糾結,安全團隊定下了未來發力方向:轉型TO B,將主管內網安全的iOA團隊和面向C端的終端安全團隊進行合併,向行業輸出企業級的安全能力。

1beb-izeysaz3671712.png

決定轉型后不久,騰訊在集團層面也啟動了「930」變革,對於騰訊安全來說,這意味著在產業互聯網大潮中,屬於安全團隊的更大的機會正在到來。不過,TO B需要考慮行業各自的Know-How,服務更偏定製化,這意味著轉型存在壓力,好在騰訊安全也有自身獨特的優勢。

根據騰訊安全高級工程師劉誠的介紹,相比單純的安全產品廠商,騰訊安全由於長年服務於騰訊這一「客戶」,能更懂企業管理者需要什麼。此外,B端更關注如何使用、管理產品,需要實踐經驗作為參考,而在這方面騰訊安全經驗豐富。

在接連拿下大客戶后,騰訊安全的新故事不斷展開,但誰也沒想到,疫情黑天鵝的爆發將遠程辦公的安全性、「零信任」的重要性推到了新的高度。

和率先實踐「零信任」應用的騰訊不同,許多企業目前採用的仍是傳統的邊界式安全防護體系,該體系相當於把安全攻擊阻擋在邊界之外,一定程度上默認內網是安全的,但在遠程辦公環境下,由於用戶、終端、業務都變得多樣,安全風險增多,原先的邊界安全防護效果也變得有限。

在不得不實行遠程辦公的日子里,如果企業出現數據安全問題,後果相當嚴峻。以保險行業為例,如果保單或客戶隱私遭到泄露,企業面臨的不僅是賠償和形象損失的問題,還將引來銀保監會的調查。類似的損失,在電商行業、遊戲行業都可能發生。

對於各行各業來說,增強安全能力迫在眉睫,而如上文所述,「零信任」架構更適合遠程辦公模式。根據騰訊安全方面的說法,從過年到現在,基本每周都有客戶去諮詢如何按「零信任」架構方向去改造。

8ecc-izeysaz3671719.png

值得注意的是,「零信任」並非疫情期間的短期應對措施,其指向其實更多的是未來趨勢,因此,騰訊安全在向外輸出相關能力的同時,也在積極推動行業標準,聯合生態探索「零信任」的未來:

2019年9月,在瑞士日內瓦舉辦的ITU-T(國際電信聯盟通信標準化組織)SG17安全研究組全體會議上,由騰訊主導的《服務訪問過程持續保護參考框架》國際標準成功立項,成為國際上首個零信任安全技術標準。

2020年6月,騰訊聯合零信任領域16家機構企業,共同成立「零信任產業標準工作組」,8月,零信任產業標準工作組發布《零信任實戰白皮書》,為零信任在各行業領域的落地提供參考。

推進行業標準不是件容易的事,由於「零信任」處於起步階段,行業目前還是」各說各話「的狀態,以自身經驗輸出行業標準意味著需要和眾多同行辯論,但這也是樹立標準的迫切性所在。

在遠程辦公時代加速到來,雲計算、物聯網、5G等新技術掀起浪潮的當下,企業需要重新設計安全架構,原有的邊界防護體系需要提升或者重構,網路安全實際上進入了全新的階段。雲成為了安全攻防的主戰場。

在此背景下,傳統廠商的「全閉環」玩法已經不適用,從業者更需要攜手共進、互聯互通,這對於客戶乃至全行業安全能力的發展都大有裨益。

目前,作為行業探索者和先行者,騰訊已經向前邁了一步,樹立起了新的規範和新的安全樣板,也輸出了騰訊級解決方案。

「我們希望能跟行業一起,找到我們擅長的,找到行業擅長的,不管是標準、產品還是項目,大家一起合作,一起把這個事情做好,能夠真正的提升基礎IT、基礎安全能力,給到目標行業更好的體驗」,方斌表示。

特別聲明:本文為合作媒體授權DoNews專欄轉載,文章版權歸原作者及原出處所有。文章系作者個人觀點,不代表DoNews專欄的立場,轉載請聯繫原作者及原出處獲取授權。