从内网护卫到零信任尖兵:腾讯iOA炼成记

腾讯既是企业产品的服务商又是使用者,很多产品最原始的出发点最早只是为了解决腾讯自身某一个需求,经过不断地发展完善和业务场景锤炼,最终进化成一个成熟的企服产品。本系列文章讲述的是这样一组Made in Tencent故事,这是系列的第一篇。

导读:2022年5月,腾讯宣布办公终端安全产品零信任iOA部署量超过100万。这不仅是腾讯自身的里程碑,也是零信任在中国商业化落地的一个标志性事件,它验证了零信任在规模化商用上的可落地性。

这不是偶然,是一个腾讯自身内网办公安全厚积薄发和新IT浪潮不谋而合的故事。

2016年7月,WeWork获A轮融资,估值高达160亿美元。这家始于2011年的共享办公空间鼻祖,经历了几年发展后,成为一时无两的当红炸子鸡。同年,WeWork也正式进入中国市场。

WeWork在资本市场的成功是一个缩影,它反映的是“移动办公”这个被IT行业心心念念了很多年的夙愿,在21世纪的第二个十年,终于在全球形成了燎原之势。

从天时地利人和的角度,网络和基础设施的发展是一方面,另一方面是在终端硬件上,智能手机的普及,相当于人人有了一台便携微型电脑——它能完成审批、收发邮件、编写文档、处理工作流——让移动办公具备了硬件上的可能性。

Anytime、Anywhere都可以工作,当这种愿望从个体行为变成一种组织行为,这就为企业的IT部门带来了一些工程实现上的问题。对于腾讯来说,支撑腾讯几万员工无论在哪里都能在远程接入公司内网工作,保障安全和易用,就是IT部的职责所在。

始于安全

很多人潜意识里会把零信任办公产品和VPN、远程办公划上一个等号,其实从语干上看,远程办公首先是“办公”其次才是“远程”。对于一个企业IT部门来说,办公的问题首先是安全的问题——这很容易理解,假设你是一个网吧的管理员,你做“网管”的第一件事情也是给每一台电脑装上一个杀毒软件。

2006年前后,腾讯企业IT部门投入了重兵在办公环境的安全治理,自研了企业安全防护和工作环境管理工具iOA。知名安全媒体《浅黑科技》对于早期iOA做过一个贴切的“画像”:

  • 你喜欢电脑裸奔没问题,但iOA如果监测不到杀毒软件,就不允许你进入工作程序;

  • 你记不住给系统打补丁,iOA会在补丁出来的第一时间,强制为你的电脑打上;

  • 你忘记关闭电脑的高危端口,iOA直接帮你关闭;

  • 你的电脑感染了木马病毒,iOA会自动清理;

  • ……

总结起来,iOA就是一个给每一个企业员工终端配备了一个金钟罩铁布衫,保护办公系统不受坏人攻击。

做了这么多工作,听起来似乎电脑除了干这些也没法再做别的工作了。但是腾讯iOA的厉害之处在于,在完成这么多任务的情况下,它的性能损耗能压缩在单核CPU的5%以下。

罗马不是一天建成的,腾讯iOA也不是。从2006年开始,到移动办公浪潮起来之前,已经过去了差不多十年,这十年间,腾讯iOA经历了防御普通的病毒木马、职业黑客、到后来的APT攻击几个完整的技术代际更迭,“无论是对抗广谱病毒木马还是APT木马,我们都有很好的防范能力。”企业IT部企业安全中心高级总监蔡晨总结。

前移动办公时代也有很多精彩的故事,但这不是我们今天要说的主题。重点是,正是因为在安全能力上的积累,给了他们后来“打破边界”的底气。

移动办公时代到来了

远程办公,意味着传统意义上以硬件和局域网络组成的“内网”逻辑不复存在,用户需要在远程设备上通过网关接入内网,要对这样的访问放行,企业安全部门至少要问一个问题:这个用户可信吗?

VPN的诞生就是为了解决这个问题。VPN就像是一条只有“自己人”知道的小路,员工可以通过这条加密通道访问企业数据中心、办公网。它的认证方式是口令认证,只要你输入了对的账号密码,它就默认你是自己人。

远程办公不是这两年才出现的新场景,一直以来,因为员工出差、恶劣天气等原因,很多企业都需要时不时地开展远程办公,而VPN在很长时间内都是唯一选择。

但不难看出,VPN有明显的缺陷:第一,它是“小路”,只能容纳比较小的工作traffic,例如远程审批、收发邮件、远程登录到内网本地机器完成一些特定工作;第二,VPN使用的长连接机制,连接速度缓慢,抗网络抖动性差,“只要丢包超过30%或者延时超过200毫秒,一定会掉线”。

第三,也是最重要的,VPN只认口令,而口令是可以被窃取、被爆破的。VPN用户只要通过远程鉴权(甚至都不一定是双重鉴权),就可以进入内网,接着就可以在内网横行无阻——这意味着,如果用户的终端被病毒感染,或者VPN账号被爆破,它就能被黑客用来充当“肉鸡”或者攻击内网的工具。

在移动互联网发展起来之前,远程办公多数是一些临时的、突发的需求,不是常态,因此即便VPN不好用是众所周知,但它依然有其长期存在的市场基础。但当移动办公成为一个高频需求,VPN就愈发显得捉襟见肘。

为了解决安全隐患,蔡晨团队决定多问几个问题:

“端是不是可信?人是不是可信?进程可不可信?每一个数据包,你是不是要校验里面的设备信息人身份信息、进程信息?你访问的业务系统是不是要被授权?”

他们后来才知道,这种什么都要校验、一直校验的想法,国际上有一个专业的名字叫“零信任”,它的核心思想就是“持续验证,永不信任”。

当腾讯企业IT部的人正在尝试新的“无边界访问”方法的时候,他们看到了谷歌发布的一篇论文《BeyondCorp:一种新的企业安全方案》,知道了大洋彼岸的另一端,世界上另一个前沿的科技公司也在用同样的思路解决同样的困扰。

“谷歌BeyondCorp的目标是摒弃对企业特权网络(内网)的依赖并开创一种全新安全访问模式,在这种全新的无特权内网访问模式下,访问只依赖于设备和用户身份凭证,而与用户所处的网络位置无关。无论用户是在公司“内网”、家庭网络、酒店还是咖啡店的公共网络,所有对企业资源的访问都要基于设备状态和用户身份凭证进行认证、授权和加密。”

图源:Google官方博客

距今一万多年前,西亚新月沃地和中国黄河流域分别独立完成了粮食的驯化;11-12世纪,中国四川开始使用“交子”作为货币符号,而欧洲圣殿骑士团也发明了汇票——历史总是相似,面对同一类问题,人们最终都会走向相同的解决思路。

谷歌在论文中没有写具体是如何实施的,但它坚定了腾讯企业IT部的信心:这个方向是对的。

2017 年,在经过一段时间的原型验证后,腾讯企业IT部正式启动 iOA NGN(Next Gerneration Network)项目,用零信任的思想重构iOA产品。他们的目标概括起来是4个A:Anytime、Anywhere、AnyDevice和AnyWork,让员工在任何时候、任何地方、任何设备接入内网完成任何内容的工作。

依托于零信任理念,腾讯iOA NGN把安全性和易用性这对冰与火奇迹般地融合在了一起。它利用一切可用的方式在后台对用户的设备、ID、访问进程、权限始终进行校验,但在前端,用户的感受就是“一键登录”。此外,iOA NGN采用短链接的方式,对于弱网络、丢包有很高的容忍度,告别了VPN时代的频繁掉线、半天连不上的困扰。

蔡晨2018年在腾讯安全国际技术峰会上分享新的企业安全理念

依托于腾讯云的计算资源部署的就近接入点,员工无论身在网络状况良好的城市CBD、小运营商遍布的城中村,还是春节回老家在乡下时断时续的网络,无论是出差荷兰还是日常办公地在河南,任何地方都能丝滑地接入内网。很快iOA NGN就迎来了第一批用户,并且通过口碑传播自发增长。

“最早一批使用的是运维的用户,他们自己去告知周边的人去使用iOA的新版本;还有一些部门管理者去国外出差,用了新版本的iOA发现体验很好,就会在自己的管理范围内去推。”企业IT部资深工程师蔡东赟回忆。

除了内部的口碑传播,一些互联网厂商的同行不知道从哪里打听到腾讯的iOA,也来拜访交流。“RSA(按:国际上最富盛名的安全会议)上也在讲零信任,创新沙盒里也有零信任创业公司,所以很多很关注技术进展的同行也来跟我们交流,看看我们是怎么做的。”

腾讯企业IT部人群的主要构成是工程师,他们和同行交流以及后来帮腾讯CSIG团队做商用版iOA的技术支持,主要的驱动力都是很典型的Geek们的想法:他们做了一个好东西 ,他们希望和别人分享,希望别人评价一句“牛*”。

我们能承接几万人同时在线办公吗?

你开了一家披萨店,只能同时容纳50个人吃饭。开张那一天,同一条街竞争对手为了妨碍你做生意,雇了100个人坐在餐厅占满了位置,什么都不点,让潜在的客人没法就餐——在计算机领域,这种对目标网站在较短的时间内发起大量请求,消耗目标网站的主机资源以致其服务器瘫痪的做法,就是DDoS (denial of service)攻击。

设想一下,一个企业如果只配备了基础的VPN,如果有一天遇到突发情况,全员都需要远程办公,对于规模数万或者十数万人的企业来说,这种情况就相当于“人肉DDoS”。

2020年2月初,新冠来势汹汹。为了防止病毒扩散,很多城市开始采取了限制人员流动的隔离管控措施,复工时间一再推迟,但企业的经营不能中断,于是很多企业转而通过开展居家办公保持“停工不停业”。

彼时,腾讯作为一个拥有众多国民级产品的企业,微信、QQ、企业文档、腾讯会议,以及腾讯CSIG还服务着众多企业客户——在线教育、健康码、数字政务、衣食住行的服务平台,在人员不能自由流动的时候——腾讯员工需要投入比平时更多时间来维护这些数字设施的运转,腾讯会议“40天更新迭代了14个版本”、“8天扩容100万核”就是发生在这期间。

数万名员工需要在远程同时接入内网办公,而且是“全尺寸”办公——不再是临时性的,不再可以把一些复杂的工作留到“明天去公司再说”,他们需要在家里完成和在内网一模一样的工作内容。比方说对于开发人员来说,一个代码仓库就有十几、二十G,开发人员需要下载到本地机器上去做开发运维,如果用VPN,需要加流量、买VPN设备,而疫情期间厂家有没有现货、快递是否通畅、厂家有没有人能部署上架这些设备——在当时的疫情状况下,每一项工作的推进都存在很大的不确定性。

“关键是这也已经不是带宽的问题,这是一个技术需要革新的问题。”蔡晨说。

得益于2017年就开始的iOA NGN项目,腾讯iOA从一万多人使用到支持全员使用,看起来这么浩大的工程前后只用了4天时间,而且被紧急召唤到项目组的IT部员工很多当时都在老家。“因为全是自研的,本身就是平行扩展架构的,对于疫情来的时候对我们来说只需要做一个事情,能够调度资源加入了集群里面去就可以。”蔡晨说道。

2月10日,春节后复工的第一日,8点,系统上显示远程在线办公的员工数近3 万;到11点半左右,5万腾讯员工同时在线,所有的工作都在有条不紊地开展。

之后大概有一个月的时间,腾讯的数万员工都是在家里远程工作。这丝毫没有影响运转效率,5月13日,腾讯发布2020年第一季度业绩报告,2020年Q1腾讯营收1080.65亿元,同比增长26%,环比增长2%。

这次考验之后,腾讯iOA完成了它的“成人礼”,它从技术和工程实现上验证了一个大型企业全员全尺寸的远程办公是完全可行的。

打破边界

2018年,某地政务部门着手建设全省集中的一体化云平台,预期要在2021年1月上线

2020年初,正是项目攻坚时期。政务系统的安全性要求极高,一直以来都是要求软件开发商驻场开发,几百名来自几十个技术供应商的开发人员被安排在一个酒店会议层改建的临时办公点,集中进行开发攻坚工作。

疫情突然爆发,集中开发是不可能了——而这种90%的工作内容是开发和运维工作的项目,用VPN根本无法胜任。这时候在场的一位腾讯云的工程师给负责人演示了自己电脑上的腾讯iOA——在远程接入的情况下,它既满足安全,又能提供和驻场一样的开发环境。对于一个开发人员来说,从VPN切换到iOA,体验不啻于解除封印。

当时,腾讯iOA已经有了对外的商用版产品,可以直接快速部署,这个项目很快采用了零信任iOA。第二年1月,项目一期如期上线。

腾讯iOA有两次“打破边界”的尝试,第一次是产品意义上用零信任理念重构产品架构,消弭了内网和外网的差别,让员工在任何地点都可以自如接入企业内网;第二次打破边界是从腾讯走出去,变成一个企业级服务产品。从2018年10月腾讯云+峰会上,腾讯宣布推出内网安全产品,到今天,腾讯iOA已经被很多物流、房产中介、能源、泛互联网等企业客户采纳。2022年5月份,腾讯iOA终端部署超过100万。

一个崭新的东西被市场接纳,过程并不是一帆风顺。“每个厂商和甲方都有自己的理解,有人觉得零信任就是IAM,有人觉得零信任是动态口令,有人说是数据沙盒——甚至有拿上网行为管理系统的技术指标说要招标零信任产品。”腾讯安全总经理王宇说道。

在推动商业化落地过程中,腾讯CSIG做了很多市场教育和普及的工作,频频参与各种行业峰会和技术沙龙进行“布道”;也和一些对前沿技术接受度比较高的客户贴身合作,打磨行业应用样板。为了促进共识的形成,腾讯还做了几件重要的事情:

  • 2019年,推动国际上首个零信任安全技术标准(《服务访问过程持续保护指南》)立项,并于2年后的2021年底正式发布;
  • 2020年6月24日,腾讯联合零信任领域多家权威产学研用机构共同成立国内首个“零信任产业标准工作组”;
  • 2021年7月,腾讯牵头起草,联合公安部第三研究所、国家计算机网络应急技术处理协调中心、中国移动设计院等业内16家零信任厂商、测评机构及用户编制的中国第一部《零信任系统技术规范》;
  • ……

“(测评规范的发布)是个巨大的里程碑,证明这个领域从客户到厂家各方的数量或者市场需求整个链条已经正向在流转,才会有需要引入第三方来做评测。”

去年,位于上海的一家企服厂商共启网络做出了一个大胆的决策:投入20多个人力学习腾讯iOA产品的安装、实施、部署、运维,成为腾讯iOA的CSP(认证服务厂商)。对于一家总人数都不超过100人的企业来说,这是很重大的一个投入,决定了公司未来几年的发展状况。和共启一样,茗格科技、功勋网络……更多在企业服务领域摸爬滚打多年的软件和渠道商都选择成为了腾讯iOA的合作方。

梧桐一叶而天下知秋,作为天天和客户近距离打交道的专业企服厂商,他们一定是从众多客户的需求中嗅到了什么新的机会——毕竟,不管是什么行业的企业,谁不需要一个又安全又高效的办公安全系统呢?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/21500.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Word批量更改图片环绕方式与=尺寸大小

前提:一份Word文档里面有100张图片,有大有小,需要将100张图片更改为统一大小,宽度与高度均为5厘米,同时环绕方式也需要改成四周型。 默认Word图片的默认环绕方式为嵌入型,需要统一更改为四周型,…

linux 安装 maven 3.8 版本

文章目录 1:maven 仓库官网 2、下载安装包 3、使用:Xftp 上传到你想放的目录 4、解压文件 ​编辑 5、配置环境变量 ​编辑 6、刷新 /etc/profile 文件 7、查看maven 版本 1:maven 仓库官网 Maven – Download Apache Mavenhttps://mave…

Java 基础进阶篇(十五):IO 流总结(全网最全面)

文章目录 前置内容:字符集一、IO 流概述二、字节流2.1 文件字节输入流 FileInputStream2.1.1 案例:每次读取一个字节2.1.2 案例:每次读取一个字节数组2.1.3 案例:读取文件的全部字节 2.2 文件字节输出流 FileOutputStream2.3 文件…

使用Docker Dockerfile构建php LNMP集成开发环境,并运行Thinkphp5

宿主机环境 系统:MAC、Windows10 Docker版本:Docker version 23.0.5 Docker Desktop:Dockerdesktop官方地址 前言 这篇主要介绍如何在Mac、Windows10使用docker搭建LNMP集成开发环境。下面我会写Dockerfile编译安装Nginxphp基础环境。mysql、redis基…

pynvme操作流程

如下操作pynvme运行在fedora上,在其他操作系统尚未做尝试。 步骤一:检查本地windows是否安装ssh 检查方式:windows本地打开windows powershell,输入ssh,若打印usage :ssh等一些信息,则已安装s…

8.防火墙

文章目录 防火墙iptables防火墙介绍基础操作高级操作通用匹配隐含匹配端口匹配:--sport 源端口、--dport 目的端口 TCP标志位匹配:--tcp-flags TCP标志位ICMP类型匹配:--icmp-type ICMP类型 显式匹配多端口匹配IP范围匹配:-m ipra…

基于αβ剪枝算法的五子棋

访问【WRITE-BUG数字空间】_[内附完整源码和文档] 五子棋是世界智力运动会竞技项目之一,是一种两人对弈的纯策略型棋类游戏,是世界智力运动会竞技项目之一,通常双方分别使用黑白两色的棋子,下在棋盘直线与横线的交叉点上&#xf…

记录:自回归 模型在记忆 全随机序列 的潜变量 统计量爆炸现象

只是一个记录 8层12头512维度的 GPT 模型,使用它来记忆 10000 条 512长度 的无序序列,vocab_size 为100。 模型要自回归生成这些序列,不可能依赖局部推理,必须依赖全局视野,即记住前面的序列。 然后统计 最后一个no…

EasyRecovery16电脑硬盘数据恢复软件功能讲解

硬盘是很常见的存储数据的设备,硬盘中很多重要的数据一旦丢失会很麻烦,不过现在有硬盘数据恢复软件可以自行在家恢复数据。今天的文章就带大家来看看硬盘恢复数据的软件EasyRecovery。 EasyRecovery 是一款专业的数据恢复软件,支持恢复不同存…

nginx实现正向代理

1.下载nginx nginx: download 选择自己需要的版版本下载下来 2.解压文件修改ngixn.conf配置文件 events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout…

VSAN 7 安装部署指南(一)

本文使用三台服务器安装ESXI 7.0 ,并在其中一台ESXI中安装vCenter 7.0。本环境中最终在VMware Workstation虚拟机中做的嵌套虚拟化。每台虚拟机配置两块网卡,一块网卡桥接,一块NAT。三块硬盘,一块100GB作为系统盘,一块…

重新定义新增长,从百果园看ESG如何可持续

当下,企业的增长亟待重新定义。 中国已基本告别人口红利时代,不少行业和企业当前陷入增长困境。原来以规模定义的增长很难实现,一些企业在日常运营中找不到方向和方式,因此需要重新定义“增长”。 最终,在环境恶化、…

Android RecyclerView实现吸顶动态效果,附详细效果图

文章目录 一、ItemDecoration二、实现RecyclerView吸顶效果1、实现一个简单的RecyclerView2、通过ItemDecoration画分割线3、画出每个分组的组名4、实现吸顶效果 完整demo 链接:https://download.csdn.net/download/JasonXu94/87786702 一、ItemDecoration [外链图片转存失败…

猜谜游戏、彩云词典爬虫、SOCKS5代理的 Go(Golang) 小实践,附带全代码解释

猜谜游戏在编程语言实践都已经和 HelloWord 程序成为必不可少的新手实践环节,毕竟,它能够让我们基本熟悉 for 循环、变量定义、打印、if else 语句等等的使用,当我们基本熟悉该语言基础之后,就要学会其优势方面的程序实践&#xf…

软考算法-算法篇

软考算法 一:故事背景二:分治法2.1 概念2.2 题目描述2.3 代码实现2.4 总结提升 三:回溯法3.1 概念3.2 题目描述3.3 代码实现3.3.1 TreeNode 类3.3.2 将数组处理成二叉树结构并且返回根节点3.3.3 进行搜索 3.4 总结提升 四:回溯法-…

头歌计算机组成原理实验—运算器设计(7) 第7关:6位有符号补码阵列乘法器

第7关:6位有符号补码阵列乘法器 实验目的 帮助学生掌握补码阵列乘法器的实现原理。 视频讲解 实验内容 在 Logisim 中打开 alu.circ 文件,在6位补码阵列乘法器中利用5位阵列乘法器以及求补器等部件实现补码阵列乘法器,实验框架如图所示&a…

【Linux】进程信号

目录 一、信号概念 二、信号捕捉预备知识 三、产生信号 1、通过终端按键 Core Dump 概念 Core Dump 用法 2、系统调用 2.1、kill 2.2、raise 2.3、abort 3、软件条件 4、硬件异常 4.1、除0 4.2、野指针 四、保存信号 1、信号其他相关概念 2、内核中的表示 3、…

【全网首测】5G随身Wi-Fi —— 中兴U50 Pro

说到随身Wi-Fi,大家应该都不陌生。 它是一个专门将移动信号转换成Wi-Fi信号的设备,经常被用于旅行和出差场景,也被人们亲切地称为“上网宝”。 现在,我们已经全面进入了5G时代,随身Wi-Fi也升级迭代,出现了支…

一个有趣的avs编码器(注意,是avs,而不是avs2噢)

本章附件是一个清华大学写的关于avs编解码器: https://download.csdn.net/download/weixin_43360707/87793302 该编码器遵循了stuffing bit: 打开文件夹后,如下: 可以看出这个是个跨平台的工程,提供了windows vs2015的工程文件sln&#x…

【最新可用】chatGPT镜像网站国内使用,免费稳定!

新建了一个网站 https://ai.weoknow.com/ 每天给大家更新可用的国内可用chatGPT 2023.5.8新增一个 ChatGPT 国内免翻版 【网站名称】:Chat GPT Ai 【使用环境】:移动端/电脑网页端 ChatGPT是一款功能强大的免费在线聊天机器人,具有人工智能…