电话

15169028800

从内网护卫到零信任尖兵:腾讯 iOA 炼成记

标签: 怎样做局域网 2023-05-22 

  腾讯既是企业产品的服务商又是使用者,很多产品最原始的出发点最早只是为了解决腾讯自身某一个需求,经过不断地发展完善和业务场景锤炼,最终进化成一个成熟的企服产品。本系列文章讲述的是这样一组 Made in Tencent 故事,这是系列的第一篇。

  导读:2022 年 5 月,腾讯宣布办公终端安全产品零信任 iOA 部署量超过 100 万。这不仅是腾讯自身的里程碑,也是零信任在中国商业化落地的一个标志性事件,它验证了零信任在规模化商用上的可落地性。

  这不是偶然,是一个腾讯自身内网办公安全厚积薄发和新 IT 浪潮不谋而合的故事。

  2016 年 7 月,WeWork 获 A 轮融资,估值高达 160 亿美元。这家始于 2011 年的共享办公空间鼻祖,经历了几年发展后,成为一时无两的当红炸子鸡。同年,WeWork 也正式进入中国市场。

  WeWork 在资本市场的成功是一个缩影,它反映的是“移动办公”这个被 IT 行业心心念念了很多年的夙愿,在 21 世纪的第二个十年,终于在全球形成了燎原之势。

  从天时地利人和的角度,网络和基础设施的发展是一方面,另一方面是在终端硬件上,智能手机的普及,相当于人人有了一台便携微型电脑 —— 它能完成审批、收发邮件、编写文档、处理工作流 —— 让移动办公具备了硬件上的可能性。

  Anytime、Anywhere 都可以工作,当这种愿望从个体行为变成一种组织行为,这就为企业的 IT 部门带来了一些工程实现上的问题。对于腾讯来说,支撑腾讯几万员工无论在哪里都能在远程接入公司内网工作,保障安全和易用,就是 IT 部的职责所在。

  很多人潜意识里会把零信任办公产品和 VPN、远程办公划上一个等号,其实从语干上看,远程办公首先是“办公”其次才是“远程”。对于一个企业 IT 部门来说,办公的问题首先是安全的问题 —— 这很容易理解,假设你是一个网吧的管理员,你做“网管”的第一件事情也是给每一台电脑装上一个杀毒软件。

  2006 年前后,腾讯企业 IT 部门投入了重兵在办公环境的安全治理,自研了企业安全防护和工作环境管理工具 iOA。知名安全媒体《浅黑科技》对于早期 iOA 做过一个贴切的“画像”:

  你喜欢电脑裸奔没问题,但 iOA 如果监测不到杀毒软件,就不允许你进入工作程序;

  你记不住给系统打补丁,iOA 会在补丁出来的第一时间,强制为你的电脑打上;

  总结起来,iOA 就是一个给每一个企业员工终端配备了一个金钟罩铁布衫,保护办公系统不受坏人攻击。

  做了这么多工作,听起来似乎电脑除了干这些也没法再做别的工作了。但是腾讯 iOA 的厉害之处在于,在完成这么多任务的情况下,它的性能损耗能压缩在单核 CPU 的 5% 以下。

  罗马不是一天建成的,腾讯 iOA 也不是。从 2006 年开始,到移动办公浪潮起来之前,已经过去了差不多十年,这十年间,腾讯 iOA 经历了防御普通的病毒木马、职业黑客、到后来的 APT 攻击几个完整的技术代际更迭,“无论是对抗广谱病毒木马还是 APT 木马,我们都有很好的防范能力。”企业 IT 部企业安全中心高级总监蔡晨总结。

  前移动办公时代也有很多精彩的故事,但这不是我们今天要说的主题。重点是,正是因为在安全能力上的积累,给了他们后来“打破边界”的底气。

  远程办公,意味着传统意义上以硬件和局域网络组成的“内网”逻辑不复存在,用户需要在远程设备上通过网关接入内网,要对这样的访问放行,企业安全部门至少要问一个问题:这个用户可信吗?

  VPN 的诞生就是为了解决这个问题。VPN 就像是一条只有“自己人”知道的小路,员工可以通过这条加密通道访问企业数据中心、办公网。它的认证方式是口令认证,只要你输入了对的账号密码,它就默认你是自己人。

  远程办公不是这两年才出现的新场景,一直以来,因为员工出差、恶劣天气等原因,很多企业都需要时不时地开展远程办公,而 VPN 在很长时间内都是唯一选择。

  但不难看出,VPN 有明显的缺陷:第一,它是“小路”,只能容纳比较小的工作 traffic,例如远程审批、收发邮件、远程登录到内网本地机器完成一些特定工作;第二,VPN 使用的长连接机制,连接速度缓慢,抗网络抖动性差,“只要丢包超过 30% 或者延时超过 200 毫秒,一定会掉线”。

  第三,也是最重要的,VPN 只认口令,而口令是可以被窃取、被爆破的。VPN 用户只要通过远程鉴权(甚至都不一定是双重鉴权),就可以进入内网,接着就可以在内网横行无阻 —— 这意味着,如果用户的终端被病毒感染,或者 VPN 账号被爆破,它就能被黑客用来充当“肉鸡”或者攻击内网的工具。

  在移动互联网发展起来之前,远程办公多数是一些临时的、突发的需求,不是常态,因此即便 VPN 不好用是众所周知,但它依然有其长期存在的市场基础。但当移动办公成为一个高频需求,VPN 就愈发显得捉襟见肘。

  “端是不是可信?人是不是可信?进程可不可信?每一个数据包,你是不是要校验里面的设备信息人身份信息、进程信息?你访问的业务系统是不是要被授权?”

  他们后来才知道,这种什么都要校验、一直校验的想法,国际上有一个专业的名字叫“零信任”,它的核心思想就是“持续验证,永不信任”。

  当腾讯企业 IT 部的人正在尝试新的“无边界访问”方法的时候,他们看到了谷歌发布的一篇论文《BeyondCorp:一种新的企业安全方案》,知道了大洋彼岸的另一端,世界上另一个前沿的科技公司也在用同样的思路解决同样的困扰。

  “谷歌 BeyondCorp 的目标是摒弃对企业特权网络(内网)的依赖并开创一种全新安全访问模式,在这种全新的无特权内网访问模式下,访问只依赖于设备和用户身份凭证,而与用户所处的网络位置无关。无论用户是在公司“内网”、家庭网络、酒店还是咖啡店的公共网络,所有对企业资源的访问都要基于设备状态和用户身份凭证进行认证、授权和加密。”

  距今一万多年前,西亚新月沃地和中国黄河流域分别独立完成了粮食的驯化;11-12 世纪,中国四川开始使用“交子”作为货币符号,而欧洲圣殿骑士团也发明了汇票 —— 历史总是相似,面对同一类问题,人们最终都会走向相同的解决思路。

  谷歌在论文中没有写具体是如何实施的,但它坚定了腾讯企业 IT 部的信心:这个方向是对的。

  2017 年,在经过一段时间的原型验证后,腾讯企业 IT 部正式启动 iOA NGN(Next Gerneration Network)项目,用零信任的思想重构 iOA 产品。他们的目标概括起来是 4 个 A:Anytime、Anywhere、AnyDevice 和 AnyWork,让员工在任何时候、任何地方、任何设备接入内网完成任何内容的工作。

  依托于零信任理念,腾讯 iOA NGN 把安全性和易用性这对冰与火奇迹般地融合在了一起。它利用一切可用的方式在后台对用户的设备、ID、访问进程、权限始终进行校验,但在前端,用户的感受就是“一键登录”。此外,iOA NGN 采用短链接的方式,对于弱网络、丢包有很高的容忍度,告别了 VPN 时代的频繁掉线、半天连不上的困扰。

  依托于腾讯云的计算资源部署的就近接入点,员工无论身在网络状况良好的城市 CBD、小运营商遍布的城中村,还是春节回老家在乡下时断时续的网络,无论是出差荷兰还是日常办公地在河南,任何地方都能丝滑地接入内网。很快 iOA NGN 就迎来了第一批用户,并且通过口碑传播自发增长。

  “最早一批使用的是运维的用户,他们自己去告知周边的人去使用 iOA 的新版本;还有一些部门管理者去国外出差,用了新版本的 iOA 发现体验很好,就会在自己的管理范围内去推。”企业 IT 部资深工程师蔡东赟回忆。

  除了内部的口碑传播,一些互联网厂商的同行不知道从哪里打听到腾讯的 iOA,也来拜访交流。“RSA(按:国际上最富盛名的安全会议)上也在讲零信任,创新沙盒里也有零信任创业公司,所以很多很关注技术进展的同行也来跟我们交流,看看我们是怎么做的。”

  腾讯企业 IT 部人群的主要构成是工程师,他们和同行交流以及后来帮腾讯 CSIG 团队做商用版 iOA 的技术支持,主要的驱动力都是很典型的 Geek 们的想法:他们做了一个好东西,他们希望和别人分享,希望别人评价一句“牛 *”。

  你开了一家披萨店,只能同时容纳 50 个人吃饭。开张那一天,同一条街竞争对手为了妨碍你做生意,雇了 100 个人坐在餐厅占满了位置,什么都不点,让潜在的客人没法就餐 —— 在计算机领域,这种对目标网站在较短的时间内发起大量请求,消耗目标网站的主机资源以致其服务器瘫痪的做法,就是 DDoS(denial of service)攻击。

  设想一下,一个企业如果只配备了基础的 VPN,如果有一天遇到突发情况,全员都需要远程办公,对于规模数万或者十数万人的企业来说,这种情况就相当于“人肉 DDoS”。

  彼时,腾讯作为一个拥有众多国民级产品的企业,微信、QQ、企业文档、腾讯会议,以及腾讯 CSIG 还服务着众多企业客户 —— 在线教育、健康码、数字政务、衣食住行的服务平台,在人员不能自由流动的时候 —— 腾讯员工需要投入比平时更多时间来维护这些数字设施的运转,腾讯会议“40 天更新迭代了 14 个版本”、“8 天扩容 100 万核”就是发生在这期间。

  数万名员工需要在远程同时接入内网办公,而且是“全尺寸”办公 —— 不再是临时性的,不再可以把一些复杂的工作留到“明天去公司再说”,他们需要在家里完成和在内网一模一样的工作内容。比方说对于开发人员来说,一个代码仓库就有十几、二十 G,开发人员需要下载到本地机器上去做开发运维,如果用 VPN,需要加流量、买 VPN 设备,而疫情期间厂家有没有现货、快递是否通畅、厂家有没有人能部署上架这些设备 —— 在当时的疫情状况下,每一项工作的推进都存在很大的不确定性。

  得益于 2017 年就开始的 iOA NGN 项目,腾讯 iOA 从一万多人使用到支持全员使用,看起来这么浩大的工程前后只用了 4 天时间,而且被紧急召唤到项目组的 IT 部员工很多当时都在老家。“因为全是自研的,本身就是平行扩展架构的,对于疫情来的时候对我们来说只需要做一个事情,能够调度资源加入了集群里面去就可以。”蔡晨说道。

  2 月 10 日,春节后复工的第一日,8 点,系统上显示远程在线 万腾讯员工同时在线,所有的工作都在有条不紊地开展。

  之后大概有一个月的时间,腾讯的数万员工都是在家里远程工作。这丝毫没有影响运转效率,5 月 13 日,腾讯发布 2020 年第一季度业绩报告,2020 年 Q1 腾讯营收 1080.65 亿元,同比增长 26%,环比增长 2%。

  这次考验之后,腾讯 iOA 完成了它的“成人礼”,它从技术和工程实现上验证了一个大型企业全员全尺寸的远程办公是完全可行的。

  2018 年,某地政务部门着手建设全省集中的一体化云平台,预期要在 2021 年 1 月上线 年初,正是项目攻坚时期。政务系统的安全性要求极高,一直以来都是要求软件开发商驻场开发,几百名来自几十个技术供应商的开发人员被安排在一个酒店会议层改建的临时办公点,集中进行开发攻坚工作。

  疫情突然爆发,集中开发是不可能了 —— 而这种 90% 的工作内容是开发和运维工作的项目,用 VPN 根本无法胜任。这时候,在场的一位腾讯云的工程师给负责人演示了自己电脑上的腾讯 iOA—— 在远程接入的情况下,它既满足安全,又能提供和驻场一样的开发环境。对于一个开发人员来说,从 VPN 切换到 iOA,体验不啻于解除封印。

  当时,腾讯 iOA 已经有了对外的商用版产品,可以直接快速部署,这个项目很快采用了零信任 iOA。第二年 1 月,项目一期也如期上线。

  腾讯 iOA 有两次“打破边界”的尝试,第一次是产品意义上用零信任理念重构产品架构,消弭了内网和外网的差别,让员工在任何地点都可以自如接入企业内网;第二次打破边界是从腾讯走出去,变成一个企业级服务产品。从 2018 年 10 月腾讯云 + 峰会上,腾讯宣布推出内网安全产品,到今天,腾讯 iOA 已经被很多物流、房产中介、能源、泛互联网等企业客户采纳。2022 年 5 月份,腾讯 iOA 终端部署超过 100 万。

  一个崭新的东西被市场接纳,过程并不是一帆风顺。“每个厂商和甲方都有自己的理解,有人觉得零信任就是 IAM,有人觉得零信任是动态口令,有人说是数据沙盒 —— 甚至有拿上网行为管理系统的技术指标说要招标零信任产品。”腾讯安全总经理王宇说道。

  在推动商业化落地过程中,腾讯 CSIG 做了很多市场教育和普及的工作,频频参与各种行业峰会和技术沙龙进行“布道”;也和一些对前沿技术接受度比较高的客户贴身合作,打磨行业应用样板。为了促进共识的形成,腾讯还做了几件重要的事情:

  2019 年,推动国际上首个零信任安全技术标准(《服务访问过程持续保护指南》)立项,并于 2 年后的 2021 年底正式发布;

  2020 年 6 月 24 日,腾讯联合零信任领域多家权威产学研用机构共同成立国内首个“零信任产业标准工作组”;

  2021 年 7 月,腾讯牵头起草,联合公安部第三研究所、国家计算机网络应急技术处理协调中心、中国移动设计院等业内 16 家零信任厂商、测评机构及用户编制的中国第一部《零信任系统技术规范》;

  “(测评规范的发布)是个巨大的里程碑,证明这个领域从客户到厂家各方的数量或者市场需求整个链条已经正向在流转,才会有需要引入第三方来做评测。”

  去年,位于上海的一家企服厂商共启网络做出了一个大胆的决策:投入 20 多个人力学习腾讯 iOA 产品的安装、实施、部署、运维,成为腾讯 iOA 的 CSP(认证服务厂商)。对于一家总人数都不超过 100 人的企业来说,这是很重大的一个投入,决定了公司未来几年的发展状况。和共启一样,茗格科技、功勋网络…… 更多在企业服务领域摸爬滚打多年的软件和渠道商都选择成为了腾讯 iOA 的合作方。

  梧桐一叶而天下知秋,作为天天和客户近距离打交道的专业企服厂商,他们一定是从众多客户的需求中嗅到了什么新的机会 —— 毕竟,不管是什么行业的企业,谁不需要一个又安全又高效的办公安全系统呢?