腾讯企业IT部蔡晨:从有界到无界,新一代企业安全防御之道
北京时间10月10日至10月11日,由腾讯安全发起,腾讯安全科恩实验室与腾讯安全平台部联合主办,腾讯安全学院协办的2018腾讯安全国际技术峰会(TenSec2018)在深圳成功举办。
作为企业安全团队的代表,腾讯企业IT部安全运营中心总监蔡晨受邀出席,分享”从有界到无界 腾讯新一代企业安全防御之道”。云计算、大数据、人工智能等新技术在掀起数字化转型浪潮的同时,也改变了传统的网络边界,带来了全新的威胁风险。腾讯是如何快速响应市场趋势变化,完成零信任安全实践,成为中国第一家无边界企业的?
以下是蔡晨在峰会现场的演讲全文。
网络边界防护存在的挑战
大家早上好!非常高兴受邀有机会跟大家分享腾讯企业IT在云的背景下怎么做无边界的网络安全。
其实早在2014年,我们就已经开始探索企业传统安全模式会有什么样的发展趋势,什么样的新企业安全网络边界或网络模式更适应未来云上的方式?当时谷歌提出了无边界理念,我们也参考这个理念做了一些实践和尝试。
我们先来看看企业内网传统边界防御模式下的安全问题,一起来探讨下为什么会带来这些问题。
腾讯目前有六大BG(事业群),每个BG基本都在几千甚至上万人的规模。每个BG里有形形色色的业务:Web类、客户端类、手机类、AI类等等,这些业务非常复杂,要求IT在支持这些业务上划分很多的安全边界。
因为这些业务的安全等级差异比较大,对安全性的要求或对信息的保护要求差异也比较大。在企业内部,有从桌面到隔离完再到运营区,有很多的安全区域存在,传统方式以安全边界或安全防火墙、主机防火墙为隔离边界,导致在网络控制,安全策略管理上的问题难以管理。
员工在工作的时候,希望通过一台PC或笔记本、一台手机,在一个网络里既可以日常办公,又可以上网查信息,还能开发、测试和运维。员工的理想模式是这样的,但实际在复杂的业务模式下,那么多的安全边界限制对员工而言效率通常不会太高,这个是效率与安全方面的巨大挑战。
公司内部的终端有windows、Mac OS、Linux、IOS,开发模式又有AI、大数据训练、分布式编译等等,这些分布非常复杂。区域划分越多,管理效率越低,颗粒度越细,安全方面仍然存在问题和风险。
现在APT非常普遍,这两年攻击手段发展也非常迅速,其实黑客有很多APT攻击以员工做突破点,比如常规邮件、投毒、社工、USB等等设备,主机沦陷在APT这块是经常的突破口。尽管内网划分了很多边界,但一旦被入侵打破安全边界后,黑客可能就会轻易摸到应用服务器。
刚才讲的三点,其实是说我们应该去思考新的企业模式,如何能让效率变得更好,让安全性变得更强。经过探索,腾讯在2017年和2018年实践了新一代的企业网。
腾讯新一代企业网
腾讯新一代企业网,一方面在安全上要足以应对APT的攻击,更易于管理;另一方面,尽管我们的场景和工作模式复杂,但对用户的界面要足够简单,不需要他们记忆,更加便于工作,兼具安全和效率。
这套方法的核心思想是把传统的安全防火墙和边界拆掉,而无边界安全的理念是保证终端足够安全,其实是把安全颗粒度下发到了终端,要保证网络通道是足够安全,所以需要可信的设备、可信的人、可信的应用才能穿越通道。在应用这一侧,也只接收可信的设备、终端和应用程序发送过来的流量,这就是大概的逻辑。
如果我们能够做到这几点,其实传统的网络隔离问题和网络边界划分都不再是问题。这样的模式不但能够在企业内部简化网络,而且能适应于未来大规模的业务上云,以及把开发测试环境上云,甚至把企业很多内网资源放到云上。
第一点,拆大墙,建小墙,将颗粒度下沉到设备。
以前我们是把终端设备划分为不同安全等级的网络,现在这个网络基本都被抹平,所有安全的策略、管理和加固都下沉到设备。好处是以前员工在不同角色和机器中有权限划分,现在机器一样,网络权限一样,在家里甚至都不需要VPN了。
因为VPN的远端设备是不可信设备,需要启用认证身份、安全加密通道,把所有的流量通过VPN返回到企业内部。如果我们保证终端和通道安全,这套体系就完全替代传统VPN。员工在公司职场内和职场外都是一样的访问和体验模式。
第二点,刚才讲了用户可信、设备可信、应用可信。怎么做终端设备的可信?
其实就有两个关键因素:
第一,这个人是不是我们的员工,如何验证他?
第二,设备是否受保护,状态是否足够干净和健康。
首先说人的因素,在终端设备上我们强调双因子认证,有Token认证身份,确保是我们的员工。包括还有类似微信、QQ弹窗认证的多因子确认身份的辅助手段。一旦身份认证成功,会把身份从客户端传到办公系统应用认证的后台。一旦员工完成一次的身份认证,所有的有效性身份在内网、OA登录、以及跳板机登录场景或数据读取场景中,整个过程是渗透式的安全身份传递。
如何保证终端一定安全,是可信的终端?以前很多杀毒软件或者是安全检测的规则其实都只做到文件级,大部分检查文件特征值,会检查PE的头和MD5,安实际我们与APT不断对抗的过程中发现,文件级安全检测对高级APT样本及职业黑客团队来说做的还不够。我们发现的样本中,很多利用的是高级隐藏技术,包括纯内存驻留方式,还有通过DNS或高级别隐藏式网络通道的上载方式。
所以要求终端可信这部分除了常规操作系统外,还要对内存进行加固,对进程进行深度检测,检测级别需要下沉到API。因为一旦内存常驻留,对文件级的监控和检测不是特别有效。包括网络层,也要下沉到协议级别,去看加密流量负载的情况。在这个地方我们做了大量工作,让客户端的数据看安全数据更深,对APT类的检测和防御更加有效,包括端上要足够安全。
大量数据如果都留在客户端处理,其实性能消耗非常大,员工体验也不是特别好,机器占用的CPU和内存都比较高。我们采用的做法是把大量要分析的数据全部抛到云上的系统,客户端只做两个传统的基本事情:一个是接收云端下发的指令进行策略执行,一个是把需要上抛的数据进行上报,形成轻客户端和云上“胖数据”的模式,所有的数据都在云上的系统检测,效果会比较好,效率高,CPU占用率低,事件报警和分析的速度也会非常快,安全人员在有问题的时候可以及时快速介入。
除了有可信的人、可信的终端之外,端上可信还有一点。我们知道传统企业内网的网络层基本是通的,意味着敏感资源、服务器资源的所有流量都可以触达。那么对黑客而言有如下几种方式利用:
第一,自己伪造进程,这个进程可以直接访问到应用资源。
第二,注入到系统进程里,利用伪装系统的模块和API,访问应用资源。
第三,注入正常进程及常用软件和工具进程中。
这时候对我们而言的一点就是,如何让我们信任的应用通过通道?刚才我讲的几种黑客的方式,需要安全团队对抗的应用是无穷无尽的。举个例子,一个人办公机上的进程是上千量级,如果要做一万台机器,会发现一万个人有一万个哈姆雷特,这里面的进程都是十几万的量级。
这个应用进程的数量非常大,包括版本不同进程的MD5就不同。这个时候安全人员需要分析和对抗的量很大,在这种无边界项目中探索的是,有没有可能把企业内部的应用进行简化和梳理,其实只需要把正常工作的进程和进程流量变得可信,这部分的进程和流量能穿越我们的安全通道。所以这时候就把与那些无穷无尽的进程对抗和检测的事,变成了十几个甚至二十个进程保护的问题。
所以我们把如何让进程变得可信进行了梳理,在进程的流量里加入可信标签,去加入相应的票据,然后拿到票据和安全可信标签的流量,才能通过我们的安全网关。
第三点,安全网关问题。
刚才讲到可信设备、可信人,不只是在企业内部,有可能在全球任何一个角落进行工作。通过这个安全网关,他会问这是不是腾讯员工的机器?这台机器是否安全可信?机器上的应用进程是否已授权?应用进程每一个包是否含有合法标签、合法票据?如果这些条件都符合,智能网关会把流量抛向业务服务器及内网业务服务器资源,从而达到无边界效果。
通过这种方式,在智能网关和后台上,不需要让每一个应用都改变,比如应用是否足够健壮、应用流量是否加密、是否对应用进行合法身份的健全。如果我们在企业内部这个工作是难以推动的,应用改造的成本也非常大。通过智能网关及终端安全iOA的协同配合,可以解决统一企业内部的可信端和可信流量,进行安全数据传递和安全访问。
一些实践建议
在腾讯而言,无边界网络基本就是用一张企业网简化了原来很多张网的复杂的网络划分,也简化了网络界面,把传统的防火墙和网络边界拆掉,把安全边界下沉到主机上,让主机变得可信;主机终端尽可能让监控更深,在云端完成分析工作,进行云管云控;这样效率和安全上都有很大的提升,员工如今在一张网上就可以做所有的工作。
刚刚的理念,跟谷歌的无边界概念比较像,但实际差异比较大,他们是以安全网关为核心的,而我们在此基础上,更加强了在终端上可信通道和可信应用的概念。
在实际操作过程中,有一些比较底层的数据需要打通。比如网络数据、主机数据,只有IT部门把这些数据全部融合到企业的基础信息库里,刚才讲到的端识别、人识别包括应用识别才有可能实现。如果没有基础网络数据和主机数据,其实在实现无边界网络的时候,会碰到各种各样的问题。
这是谷歌2014年的论文,我们在此基础上做了腾讯版本的探索与实践。
这是我今天分享的内容,谢谢大家。