复盘腾讯远程办公安全战:10万台终端,谁在守护

复盘腾讯远程办公安全战:10万台终端,谁在守护

原创 2020-09-16 14:17
73644
深响
深响



©深响原创 · 作者|鸿键



2月9日,腾讯6万名员工收到一条特殊的消息。


“基于目前疫情形势,为减少人员流动及聚集,阻断疫情传播,确保小伙伴们的健康和安全,公司决定将在家办公的时间延长一周。”


不止腾讯,在春节过后的日子里,国内许多公司都开启了员工在家办公模式。一时间,散布在天南海北的企业员工在卧室、在飘窗、甚至在老家的炕头,打开电脑,埋头工作。


社交网络上,各种关于远程办公的段子比比皆是,类似视频开会成了睡衣Party、会议开到一半孩子突然窜出的故事流传在各个工作群里。远程办公时代到来了,似乎除了生活节奏要调整,一切都如平常。


段子齐飞的背后,互联网公司的安全团队却是严正以待,一场硬仗早已打响。




春节期间的硬仗



大年初一傍晚,负责腾讯公司信息安全的企业IT部拉起一个紧急项目组,讨论的问题是:节后能否支持公司全员远程办公。


不久后,结果就确定了下来:不仅要支持全员的远程基础办公,还要支撑全员、全量、全尺寸的办公。


根据腾讯2019年年报,公司有近7万名员工,全员、全量远程办公对应的是10万个终端和背后复杂的网络环境。“全尺寸”则意味着,除了信息互通、远程会议等基本功能,还要让所有员工远程无差别地访问OA站点和内部系统,尤其是让两万多名技术人员能正常使用跳板机、蓝鲸、Git等进行运维开发工作,难度可见一斑。


虽然从2016年开始,腾讯安全就已经开始在远程办公方面有所布局,但这次完全不是同一个量级。在接下来的远程办公中,员工访问的身份、设备、网络都不可控,且企业服务暴露在公网上,安全风险随时可能出现。


一项巨大的工程摆在安全团队面前,但离复工已经没有多少天了。


团队要处理的第一个问题是扩容,为了补齐服务器支撑,相关部门几乎全员出动,30多个小时完成了200多台服务器的上架。不过,虽然在已有的私有云环境下,项目组能迅速实现线上扩容,但仍有部分支撑需要在线下完成。


据腾讯iOA技术负责人蔡东赟回忆,春节期间,为了服务器的现场上架、调度,有同事专程跑到腾讯深圳总部,也因此经受了些波折。


“当时接到行政的电话,说楼里有疑似发烧的人,吓得有些同事家都不敢回,最后还好只是普通的肺炎。”


扩容是为了承载暴增的流量,同时进行的另一项重要任务是加强安全策略。


具体而言,加强安全策略可以分为“筑堡垒”、“扫隐雷”两个方面,即在新的安全环境下,曾经在外网不检测的东西改为全部要接受检测,安全事件响应水准提升到最高等级。与此同时,为了主动扫除隐患,腾讯方面还启动了红蓝军对抗的模式,对产品做直接的线上测试。



基于已有的私有云基础,加上自主设计和研发的腾讯iOA零信任终端安全管理系统,内网的安全保障工作在春节期间紧张有序地进行着,转眼间,复工日到了。


2月10日早上8点,远程在线的员工数接近3万。


11点半,同时在线员工数达到5万。


第一周下来,远程办公在线人数接近7万人,终端数超过10万台。


在这个过程中,远程办公安全网络通道机器从6台扩容到140台,承载流量从不到1G增长至最高20G,与此同时,还要保障办公、研发、运维人员在快速扩容的过程中保持在零信任网络通道中流畅工作。


一切平稳运行,似乎和平日并无不同。


显然,紧急加班的安全团队是远程办公能顺利进行的最大功臣,但与其说这是场惊险的“遭遇战”,不如说是长年积累下的安全能力的集中展现,而这又与腾讯本身的发展息息相关。




内部“战场”的磨砺



“攻防能力、安全能力怎么来的,主要是因为公司的发展给我们提供了比较好的战场”,腾讯安全副总裁方斌告诉「深响」。


在「深响」与腾讯安全方面的交流中,“战场”一词高频出现,其原因不难理解:腾讯员工多,且地域分布广,加上互联网公司生产资料数字化的特点,企业本身就是网络安全攻防战的大舞台。


值得注意的是,腾讯并非从创立之初就自建安全团队,其安全能力发展可以追溯到2004年。当年,冲击波、尼姆达等计算机病毒肆虐,腾讯内部的电脑也曾中招,加上“盗号”问题日渐严峻,腾讯为此成立了第一个安全部门:安全运维组。


到了2006年,由于“朽木事件”的发生,腾讯进一步加大对内网安全的重视。当时名为“朽木”的黑客通过内网渗透,还给腾讯高管打了电话。虽然没有造成损失,但这次事件成了腾讯推进内网隔离的契机。


在此背景下,腾讯的安全能力分别在C端和内网两个方向得到发展:一方面,面向C端的安全产品从最开始的“防盗号”逐渐转向提供全面的安全防护;另一方面,随着腾讯的家业越来越大,来自内部的考验逐渐增多,相关安全能力也得到了实实在在的锤炼。



探索“零信任”,就是安全团队服务内部需求而实现的重大突破之一。


据方斌介绍,由于公司过去几年增长迅速,腾讯在全球各地都有了办公场所和相关员工,业务场景也变得丰富多样,加上投资公司、子公司的发展,腾讯需要有更能匹配新场景的IT设施,因此开始在内部探索实践“零信任”方案。


所谓的“零信任”,指的是一种以资源保护为核心的网络安全范式,其核心理念恰如其名,即默认所有情况下企业内部和外部的所有人、事、物都不可信,需要以身份为中心进行动态访问控制,是更贴合远程办公模式安全需求的方案。


也就是说,“零信任”方案的出发点是改善公司内部的远程办公体验,同时增强安全能力,这也符合腾讯一贯的“员工体验优先”原则。


“腾讯在支撑员工办公这块投入很大,传统产品会出现在家经常连不上等各种问题,像运维的SSH会突然闪断,你得重新连服务器、跳板机,再执行运维的动作。”蔡东赟告诉「深响」。


从2016年开始,腾讯就在内部实践起“零信任”方案,这也让腾讯成为了国内最早探索“零信任”应用的企业之一。经过了几年的推进,“零信任”应用的优势不断显现,成为腾讯在疫情期间应对突发状况的扎实基础。


回顾腾讯在内网安全能力方面的发展,其积淀的种种实力都离不开公司内部的磨砺。腾讯相当于安全部门的“第一个客户”,这个客户需求多且“挑剔”,需要安全团队不断迭代能力,甚至主动去探索行业边界,进而落地全新的解决方案。


那么,除了腾讯,那些已被验证过的安全能力实践,能否输送至同样有需求的企业,为其数据安全保驾护航?


答案是肯定的,这也是腾讯近年发力的重要方向——TO B。




外部新征途



其实在2018年那场著名的“930”变革之前,腾讯安全就开始了TO B转型之路。


转型的契机是2017年WannaCry病毒的爆发,虽然当时腾讯电脑管家团队快速找到了解决方案,但由于电脑管家主要面向C端用户,因此对受灾企业的帮助比较有限。


WannaCry勒索病毒提示


一时间,腾讯安全的相关团队都陷入了思考——“我们有可靠的内网安全能力,也有很好的C端产品,怎么样去向行业输出企业级的终端安全产品?”


在之后的日子里,经过无数讨论和纠结,安全团队定下了未来发力方向:转型TO B,将主管内网安全的iOA团队和面向C端的终端安全团队进行合并,向行业输出企业级的安全能力。



决定转型后不久,腾讯在集团层面也启动了“930”变革,对于腾讯安全来说,这意味着在产业互联网大潮中,属于安全团队的更大的机会正在到来。不过,TO B需要考虑行业各自的Know-How,服务更偏定制化,这意味着转型存在压力,好在腾讯安全也有自身独特的优势。


根据腾讯安全高级工程师刘诚的介绍,相比单纯的安全产品厂商,腾讯安全由于长年服务于腾讯这一“客户”,能更懂企业管理者需要什么。此外,B端更关注如何使用、管理产品,需要实践经验作为参考,而在这方面腾讯安全经验丰富。


在接连拿下大客户后,腾讯安全的新故事不断展开,但谁也没想到,疫情黑天鹅的爆发将远程办公的安全性、“零信任”的重要性推到了新的高度。


和率先实践“零信任”应用的腾讯不同,许多企业目前采用的仍是传统的边界式安全防护体系,该体系相当于把安全攻击阻挡在边界之外,一定程度上默认内网是安全的,但在远程办公环境下,由于用户、终端、业务都变得多样,安全风险增多,原先的边界安全防护效果也变得有限。


在不得不实行远程办公的日子里,如果企业出现数据安全问题,后果相当严峻。以保险行业为例,如果保单或客户隐私遭到泄露,企业面临的不仅是赔偿和形象损失的问题,还将引来银保监会的调查。类似的损失,在电商行业、游戏行业都可能发生。


对于各行各业来说,增强安全能力迫在眉睫,而如上文所述,“零信任”架构更适合远程办公模式。根据腾讯安全方面的说法,从过年到现在,基本每周都有客户去咨询如何按“零信任”架构方向去改造。



值得注意的是,“零信任”并非疫情期间的短期应对措施,其指向其实更多的是未来趋势,因此,腾讯安全在向外输出相关能力的同时,也在积极推动行业标准,联合生态探索“零信任”的未来:


  • 2019年9月,在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织)SG17安全研究组全体会议上,由腾讯主导的《服务访问过程持续保护参考框架》国际标准成功立项,成为国际上首个零信任安全技术标准。

  • 2020年6月,腾讯联合零信任领域16家机构企业,共同成立“零信任产业标准工作组”,8月,零信任产业标准工作组发布《零信任实战白皮书》,为零信任在各行业领域的落地提供参考。


推进行业标准不是件容易的事,由于“零信任”处于起步阶段,行业目前还是”各说各话“的状态,以自身经验输出行业标准意味着需要和众多同行辩论,但这也是树立标准的迫切性所在。


在远程办公时代加速到来,云计算、物联网、5G等新技术掀起浪潮的当下,企业需要重新设计安全架构,原有的边界防护体系需要提升或者重构,网络安全实际上进入了全新的阶段。云成为了安全攻防的主战场。


在此背景下,传统厂商的“全闭环”玩法已经不适用,从业者更需要携手共进、互联互通,这对于客户乃至全行业安全能力的发展都大有裨益。


目前,作为行业探索者和先行者,腾讯已经向前迈了一步,树立起了新的规范和新的安全样板,也输出了腾讯级解决方案。


“我们希望能跟行业一起,找到我们擅长的,找到行业擅长的,不管是标准、产品还是项目,大家一起合作,一起把这个事情做好,能够真正的提升基础IT、基础安全能力,给到目标行业更好的体验”,方斌表示。


    首席营销官用户原创,转载请遵守规范。

1

人喜欢

0

人收藏

1人觉得好看

爱你么么哒!

我将会为更多用户推荐此文章

声明:文章为作者独立观点,不代表首席营销官立场,转载此文章须经作者同意,并附上出处及文章链接。如果作者注明不能转载及需要授权的,请征求作者本人的同意!

累计评论 0

写评论
查看更多评论...
注册
后参与讨论
登录首席营销官

正常登录

短信快捷登录

忘记密码?
获取验证码
登 录
极速注册

第三方登录

手机注册

邮箱注册

获取验证码
获取验证码
注册