以零信任破局混合辦公時代安全變革.pdf

1、以零信任破局混合辦公時代安全變革以萬全應萬變主講人：武笑天 騰訊安全目錄混合辦公時代未來已來以零信任破局混合辦公時代安全變革騰訊零信任應用實踐混合辦公未來已來01以零信任破局混合辦公時代安全變革02騰訊零信任應用實踐03混合辦公時代已然到來混合辦公趨勢明顯影響混合辦公的因素調查數據來源：騰訊2022年混合辦公安全白皮書混合辦公新常態背景：后疫情時代、對辦公效率的追求，都促使企業找尋新的辦公模式定義：員工在固定職場和在家遠程辦公相結合的模式趨勢：越來越多的企業基于成本、效率等方面的考慮，將混合辦公作為一種常態化工作模式傳統企業IT安全建設需求互聯網和疫情時代的職場建設需求外網（不可信）內網（可信

2、）員工企業電腦固定職場電腦企業資源(e.g.ERP)內網/專線固定職場電腦內網/專線互聯網公有云/SaaS企業資源互聯網遠程訪問需求少且明確，企業通過嚴格的隔離確保辦公的安全高效穩定遠程訪問需求激增且復雜，企業嚴格的隔離策略與業務需求產生了矛盾企業可控環境企業不可控的環境第三方電腦(如：供應商)員工企業電腦員工個人手機企業資源安全性：較高企業生產力限制：小管理敏捷度：較高企業資源安全性：低企業生產力限制：高管理敏捷度：低新時代面臨的安全挑戰與威脅混合辦公安全成熟度模型混合辦公安全五大關鍵要素混合辦公安全成熟度自測混合辦公未來已來01以零信任破局混合辦公安全變革02騰訊零信任應用實踐03是什么零

3、信任既不是技術也不是產品，而是一種安全理念。在假定網絡環境已經被攻陷的前提下，當執行信息系統和服務中的每次訪問請求時，都需要進行人/設備/系統等盡肯能多的安全因素進行全面、動態、智能的訪問控制驗證，以降低其決策準確度的不確定性，并通過端到端的加密，保證資源訪問的安全性。傳統防護理念零信任安全理念VS.持續驗證，永不信任“默認信任”所有內部網絡流量，對內部網絡的訪問不做任何限制身份驗證、設備驗證、最小化授權、持續驗證什么是零信任騰訊零信任安全理念身份安全接防管控n接入效率、安全、權限n場景化防護(勒索攻擊、高級入侵行為、用戶異常行為）n泛端、數據、應用統一管理n風險提前發現、閉環響應處置混合辦公

4、安全要素“接-防-管-控”自適應零信任設備安全數據安全應用安全網絡安全暴露面收斂最小化授權安全信任評估，持續檢測身份/終端/應用/流量/數據安全可視，威脅檢測集體研判，持續對抗應急響應風險處置溯源復盤改進體系持續優化攻擊前期攻擊后期資產/身份梳理權限/基線治理合規滿足/安全基線安全策略制定下發訪問安全可視持續檢測，永不信任安全運營協同風險處置聯動持續建設，持續改進持續優化零信任建設企業網/互聯網內網準入/網關合規基線等級應用風險防病毒/補丁安全基線檢查資產主動發現全面信息采集設備系統應用網絡數據軟件信息采集軟件管理網絡風險行為審計安全沙箱數據風險SaaS應用集中管控平臺動態訪問策略引擎用戶行為

5、分析引擎零信任安全管理系統APIs信任評估引擎威脅檢測響應引擎遠程/職場/門店/分支/多云/SaaS/Web/移動企業安全中心SOC/SIEM威脅情報IAM其他安全系統MFA挑戰認證SSO個人/企業三方威脅防釣魚/橫移防勒索/入侵安全風險零信任：SPA訪問場景判斷安全可信連接公有云私有云企業IDC企業資源高敏中敏低敏公共風險處置禁止訪問挑戰認證后訪問降權訪問終端微隔離動態訪問攻擊中期安全信任評估12334環境信息采集動態風險計算用戶名密碼動態口令二維碼證書身份動態授權建設階段1：建立信任體系建設階段2：多維動態檢測，持續信任評估建設階段3：體系聯動，持續優化騰訊零信任安全解決方案接入安全：SD

6、P安全架構iOA客戶端SPA單包授權零信任網關安全檢測與評估身份安全對接零信任安全總控多因素身份認證動態訪問控制SPA單包授權企業-身份源&認證源企業應用高/中風險禁止訪問高/中風險二次認證后訪問無風險允許訪問高敏業務班車系統簽到系統遠程調試DB查詢OA審批HR管理中敏業務低敏業務無風險允許訪問不指定風險等級均可訪問數據流控制流服務隱藏零信任安全網關服務隱身增強控制臺安全，實現控制臺隱身SDP增強安全架構從單一協議敲門到支持多種協議敲門，提高連接成功率1動態訪問控制基于從用戶、設備、應用、環境和行為等維度的持續異常發現，對訪問主體進行持續的信任評估23接接動態訪問控制（UBA）最小化動態授權動

7、態生成白名單動態生成黑名單最小化授權到動態權限治理，三步解決授權管理難題接入安全：動態授權治理接接威脅防御：勒索攻擊防御專項檔檔找回找回檔檔備份備份檔檔解密解密防防勒索攻擊四大對抗防御機制，從落地源頭、病毒啟動、病毒破壞、文件恢復四個環節進行檢測和防御橫向移動識別威脅防御：高階入侵防御場景橫向移動后滲透突防階段信息收集利用漏洞、釣魚等進行突防利用系統服務橫移、攻擊域控從入侵者視角，圍繞攻擊鏈的四個關鍵環節，重點對釣魚和橫移檢測進行識別偵查階段通過進程注入、提權等執行后滲透階操作釣魚識別終端橫移域控攻擊文件特征檢測敏感行為檢測攻擊鏈關鍵環節防防安全管理：泛端統一管理WindowsMacOSLin

8、uxAndroidiOS終端管控合規檢測客戶端自保護零信任訪問外設管理安全防護統一身份認證系統加固終端管控合規檢測客戶端自保護零信任訪問外設管理安全防護統一身份認證外設管理零信任訪問安全防護統一身份認證合規檢測零信任訪問安全防護統一身份認證合規檢測零信任訪問安全防護統一身份認證客戶端自定義客戶端自定義泛端的安全管理和使用體驗，多端無縫切換管安全管理：數據風險管理管水?。菏虑巴?、事后追蹤工作沙箱：拒絕公私混用根據使用場景和數據形態的不同，應用不同的數據安全模塊組合風險控制：XDR全程聯動響應攻擊防護訪問保護政策事件響應調整計劃調整計劃實施計劃監聽計劃持續檢視和驗證管理使用發現需求自適應訪問監測

9、使用持續合規威脅預測事件監測攻擊防御防御態勢：保證威脅被排除在外接入態勢：保證正常訪問持續監測：接入風險和信任度允許自適應響應XDRXDR聯動響應聯動響應檢測與分析響應與處置安全云腦（SOC）云（云原生）端點（iOA）網絡（NDR）減少攻擊面繞過防御事件響應應急處置預防-Prevent防御-Protection檢測-Detection響應-Response具備EDR能力，與NDR、云原生安全形成“端-網-云”XDR風險檢測響應閉環，以安全云腦為中樞建設自適應安全；一旦發現風險，聯動阻斷響應控騰訊零信任解決方案產品矩陣混合辦公未來已來01以零信任破局混合辦公安全變革03騰訊零信任應用實踐02終端

10、設備接入：總數10w+/天深圳北京成都上海廣州各地辦事處海外分公司桌面設備Windows 6w+，MacOS 8K+移動設備iphone 1w+，安卓 4k+*存在特殊安全需求，如并購、投資公司，臨時合作公司職場，支付業務部門，信息安全部門等。人員年輕化對遠程訪問的天然需求APT訴求需求易用性海外業務內部輿論臺風天疫情核心業務被關注分析需要充分數據現網VPN的弊端訪問速度/穩定性擴容能力安全能力運維壓力企業規模大終端基數大業務類型多操作系統多樣職場分部多辦公位置不確定協作廠商多互聯網應用多建設背景與挑戰n 將原先的內部開發網絡和內部辦公網絡合二為一，并根據零信任原則進行架構變革n 接入終端必須

11、安裝iOA agent，agent自帶端點安全殺毒補丁、安全管控、合規檢查、系統加固等能力n 使用內部IAM系統的MFA、掃碼、硬件token、短信對接認證n iOA與內部OA等業務系統進行整合實現SS0n iOA與內部SOC聯動阻斷，借助SOC的分析能力并做自動化的訪問阻斷降低企業風險n 全球接入點加速覆蓋，全面覆蓋海內外全體員工主要內容支撐業務、口碑傳播n 騰訊在建設iOA（騰訊零信任）過程中，獲得了全體員工及總辦高層的支持；niOA建設初期，首先獲得企業IT建設部經理的支持，在自己部門選擇員工作為首批體驗用戶，并取得好評認可；n 員工體驗到iOA的便捷性，例如sso、無邊界辦公等功能，自

12、發形成口碑傳播，越來越多的員工愿意使用iOA；n 隨著國內員工的全面覆蓋，iOA繼續改善海外職場訪問問題，除獲海外員工支持外，進一步獲得了公司高層領導的好評口碑傳播架構變革終端安全合規強化身份認證自動化協同響應VPN 替換鏈路加速建設歷程公司層面員工層面n OA與研發兩網合并，減少IT設備投入成本，簡化運維、提升安全性n COVID-19疫情期間覆蓋所有工種，遠程辦公，極大降低公司在疫情期間生產工作停滯的風險和經濟損失?？挂咂陂g對外大量抗疫支撐的產品持續在迭代，比如對外持續發布免費的騰訊會議版本（eg.聯合國疫情期間使用）、防疫碼(eg.全國)等產品n COVID-19疫情期間，增加140臺網

13、關服務器，疫情期間從1G流量上升至平均20G，高峰期并發75w連接、35G流量2020年疫情期間，iOA支持了全員遠程辦公，每天有接近5.9萬名員工遠程接入公司網絡進行全類型工作l職場內每天有11.1萬臺設備使用零信任iOA辦公，覆蓋率99.99%；l遠程辦公，每天有2.4萬臺設備使用零信任iOA接入騰訊內網協同工作；l27家子公司，每天有7,100臺設備使用零信任iOA接入騰訊內網協同工作；l27個外包ODC職場，每天有1.3萬臺設備使用零信任iOA接入騰訊內網協同工作。建設成效騰訊牽頭零信任產業標準工作組，近60家合作伙伴，覆蓋身份認證、威脅防御、IT管理、能力測評、行業標準 五大體系攜手合作生態，服務行業發展THANKS謝謝觀看