图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

服务器安全证书已过期或不可信任-权威认证的背后:一群腾讯“安全人”的“信任”舞台

互联网领域,“偷袭”和“背叛”无处不在。

2018 年 6 月,特斯拉指控前员工特里普入侵特斯拉的制造操作系统,并将几 G 的机密数据传输给外部机构,以故意扰乱生产。

今年4月以来,互联网安全领域迎来了突飞猛进的热潮。大型燃料输送管道运营商内网遭黑客攻击;日本东芝公司法国分公司740G机密信息和个人资料被专业勒索组织窃取...

当“背叛”和“偷袭”愈演愈烈时,网络安全的新边界在哪里?

在腾讯,一群“安全人”正试图打破传统的安全噱头,提出“以零信任建立信任”,重构无边界网络新世界的安全。

图片[1]-服务器安全证书已过期或不可信任-权威认证的背后:一群腾讯“安全人”的“信任”舞台-稻子网

腾讯安全六位零信任“安全人”

探路者

故事从培训课程开始。今年春节前夕,腾讯推出了专项“人才认证培训”。十位腾讯“安全男”围坐在电脑前,投入数百小时的专业培训,学习技术方案、案例实践、合规治理等一整套零信任体系,不时在群里讨论想法,碰撞出火花。

作为此次认证的主办方,腾讯安全策略专家已经筹备了一年多时间。

八年前,那些还在咨询公司从事客户端安全风险咨询的人第一次接触到“零信任”。

这个概念来自世界知名的IT研究机构。 2010年,其分析师约翰敏锐地发现,传统的基于边界的网络安全架构,一旦被黑客作为“受信任的员工”越过,几乎毫无用处。他创造了“零信任”的概念,以“永不信任,持续验证”为核心思想。

回想一下,“当时我们在吸收行业研究机构的经验时,就已经感觉到这套理论和实践的策略对企业非常有吸引力。”

2017年加入腾讯,负责腾讯全球合规体系框架设计。当时,腾讯内部自主设计并实施了一年多的零信任安全体系,但To B端产品迟迟没有推出。

转变始于“930 革命”。 2018年,腾讯经历了一次重塑:结构大调整,扎根消费互联网,拥抱产业互联网,零信任成为腾讯To B商业化后非常核心的战略路线。

挑战随之而来。 “如果我们还是从传统企业IT安全的角度和这些CEO谈业务需求和发展战略,90%的答案会是他们不明白你在说什么,对业务有什么帮助”,在接触零信任多年,意识到一个重要的事实:逆向思维,关键是“人”。 “需要一个专家团队来实施零信任的概念。”

2020年初突如其来的疫情,加速了企业数字化转型,将零信任迅速带到了前台。腾讯副总裁丁克将“零信任”确立为腾讯安全未来发展的战略指导。从此,他以安全策略专家的身份开始探索“零信任认证”之路。

在这个领域,他无疑是一个权威。 2018年开始发布ZTX零信任扩展生态研究报告,探索零信任架构在企业中的应用,通过ZTX认证系统评估零信任厂商的能力。

知道后,我更加确定了。借助ZTX认证,不仅可以帮助团队建立对零信任的共识,还可以将腾讯安全在零信任领域的技术产品和解决方案转化为通用的实践知识和知识。框架服务器安全证书已过期或不可信任,反馈全行业和市场的安全人才,实现零信任人才在中国乃至全球的全面提升。

进化

4个多月前,腾讯安全的老孙听到零信任人才认证的消息,激动不已。他自嘲一笑。多年来,他一直在零信任的舞台上行走。他的字典里没有“信任”这个词。

“零信任=更安全?这完全违反常识。”六年前,当老孙第一次接触到零信任的时候,他的脑海里满是问号。 “说实话,当时对这个概念有一些误解。是的,从字面上理解它,既然我不再信任了,那么安全性是什么?”

与零信任的真正纽带是在加入腾讯之后。

那个时候,老孙已经想通了零信任的底层逻辑:“传统的网络安全概念就像玩塔防游戏,你只需要在每一层都设置一个‘盾牌’。”零信任推翻了这种做法。 “它不仅要保证访问身份和设备不能有问题,而且请求还必须是从受信任的应用程序或进程发送的。”

“在实践中,你会发现任务相当艰巨。”老孙负责规划腾讯零信任安全产品,帮助客户规划零信任整体解决方案。对他来说,“930革命”同样令人难忘。

“当时,在零信任产品的市场化过程中,面临的最大问题是如何解开内部系统之间的耦合,使解决方案适应不同的产品,以满足用户的多样化需求。”

老孙直言,零信任策略的实施需要从用户身份验证、终端合规性测试等多个方面考虑。有产品优势。

在本次培训中,老孙确认了实用的“参考框架”:“使用哪种产品或技术并不是最重要的,重要的是如何贯彻整个零信任理念。在整个信息中安全管理,如何与各级人员打交道,让他们接受零信任的理念。”这也与之前的想法不谋而合。

在他看来,这次认证培训来得异常及时,“有一个比较完整的框架,整个学习过程让我有机会最终验证哪些想法是对的,哪些想法可能存在问题。” "

蓝图

2020年疫情爆发后,远程办公成为常态,零信任迎来新分水岭。

此时他正忙着准备ZTX认证,老孙还在技术路线和客户需求之间博弈。另一方面,腾讯iOA负责人安迪已经在为未来零信任办公产品市场制定蓝图。

安迪专注安全领域近10年,见证了腾讯零信任产品的起步和转型。 2008年加入腾讯后,主要从事终端安全领域的产品研发,现在被大众称为电脑管家。转型为TO B安全后,研究企业终端安全产品“御点”。当时,公司内部办公产品还在使用传统的VPN方案。

某知名咨询公司曾预测,“到2023年,全球60%以上的VPN将被零信任所取代。”

腾讯的嗅觉特别敏锐。早在2016年,腾讯就开始推动实施内部办公安全零信任解决方案,更换VPN解决方案,提升公司安全基线。几乎无法区分的内外网办公体验,让不少腾讯员工清晰地感受到了无边界办公带来的便利。

安迪介绍,在零信任解决方案市场化的过程中,为了给员工提供更好的用户体验,方便企业的安全管理,腾讯将推出办公安全两大产品——宇电和iOA。整合形成了目前的“iOA零信任安全管理体系”。

在iOA产品设计方面,腾讯安全团队达成共识——希望它能够承载更多“人”的特征,让员工感到方便,对自己的工作有所帮助。 “我们希望将其定位为办公助手,而不是管理软件。我们希望它能切实帮助员工提高工作效率和绩效,同时对企业安全有更好的管理支持。”安迪说。

疫情之初,腾讯仅用了5天就完成了从传统模式到零信任安全体系的转变。 7万名员工、10万台终端可同时远程处理各种复杂任务。

现在腾讯iOA产品已经进入泛国际、物流、地产、教育、制造、政府、银行等各个行业。在安迪看来,iOA 不仅仅是一个产品,而是一套完整的以身份为中心的安全概念。可为不同安全建设时期的客户提供从终端安全到资产安全的深度解决方案。整理和管理访问权限。

多年的实战,安迪依旧时刻绷紧着神经。挑战来自多方面,产品涉及广泛的安全性、客户需求的抽象化、交付速度的要求、项目的风险管理等。在他看来,这次ZTX认证是一个很好的充电机会,可以帮助他从系统中学习和借鉴。

目前国内零信任生态破灭。尽管已有数十家企业尝试为企业提供零信任解决方案,但安迪认为“大多数企业都关门大吉,“抄袭”。自身的实践经验逐渐成为服务客户的平台,通过联合客户自身的安全运营和合作伙伴,构建零信任生态。

“归根结底,安全就是数据的安全,归根结底,数据就是业务。我们希望逐步开放一些能力和接口,让企业能够深度参与到策略制定和安全运营中,使每个企业都可以建立合规 一个具有自身特点的零信任体系。”

图片[2]-服务器安全证书已过期或不可信任-权威认证的背后:一群腾讯“安全人”的“信任”舞台-稻子网

腾讯零信任安全管理系统 iOA

继承

1995年后,小南是参加ZTX认证的最年轻的专家。对她来说,零信任的启蒙始于腾讯。

“在我加入这份工作之前,我实际上并不知道零信任。我只是认为做安全是一件很酷的事情。”大学时,肖楠选择了网络安全专业,学习了“攻守兼备”。四年前,在腾讯的一次实习经历,让小楠第一次接触到了“零信任”这个词。在腾讯内部零信任架构全面实施之际,作为“改革”的见证者,当时的肖楠“真正感受到了远程办公的畅通”。

2019年,毕业于香港大学计算机科学系的小南经学校招聘腾讯担任iOA产品经理。

疫情爆发后服务器安全证书已过期或不可信任,零信任市场规模迎来爆发式增长。 2020年腾讯终端覆盖已突破100万。与客户沟通计划是小楠平时最重要的工作。疫情期间,不断上门拜访的需求让她忙得不可开交。

沟通需求,这是几个前辈头疼的问题。在这里,小南难,但不难。她发现很多客户只是通过一些行业报告才了解到零信任。虽然系统的输出需要一定的过程,但好在腾讯本身就是零信任的践行者,所以还是有很多实践经验可以分享的。

这两年,小楠在与客户的不断讨论和打磨中,实践出了自己的一套“零信任”认知体系。 “零信任是让任何设备,无论是内网还是外网,都处于不可信状态,无需验证。这是当下办公安全理念的一次重大升级。”

今年年初,小南加入了ZTX认证。她很享受这样的学习过程,脑子里经常闪现春节期间跟大家催促、交流计划的片段。

一个细节是,有一门课程将公司分为领导层、执行层和一般层,教授如何实施零信任。这让小楠觉得非常“解渴”,她形容,这与腾讯实施零信任的整个过程非常相似,每一层障碍的对应解决方案也非常现实,“实用性很强”。 "

在这次全球级别的认证中,小南并没有太在意“专家”身份的脚注,而是将其视为认知的一种扩展。包括对欧美市场零信任的前沿解读。”

“实际上,就像我 2019 年毕业一样,我不是零信任的老师。”对于余晓楠来说,认证之后,更有动力在这个领域耕耘。

“不管是喜欢的高手,还是这次一起拿到证书的高手,我都想和他们一样。”

图片[3]-服务器安全证书已过期或不可信任-权威认证的背后:一群腾讯“安全人”的“信任”舞台-稻子网

为腾讯零信任团队成员颁发ZTX专家认证

这群“保安员”的多年努力,迎来了新的里程碑。 5月14日,腾讯安全团队10名安全技术人员获得零信任领域权威ZTX专家认证。这是这家世界知名的IT研究机构首次为企业颁发牌照,也是中国最大的ZTX认证。然而小南知道,零信任的长征才刚刚开始。

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片