伴随产业上云的趋势,数字化业务形态正在逐步瓦解传统物理网络安全的边界,重新定义着企业的安全概念。以零信任为代表的新技术在安全领域的进阶应用和创新实践成为企业构筑适应转型发展安全需求的动态、灵活安全架构体系的破题关键。腾讯安全副总裁方斌表示,“零信任安全体系将成为产业互联网时代企业应对网络边界消弭、重构安全生态、确保业务平稳发展的新途径。”
9月16日,中国网络安全产业联盟(CCIA)在2020国家网络安全宣传周期间举行“2020年优秀网络安全解决方案和网络安全创新产品评选活动”颁奖盛典,腾讯零信任安全管理系统iOA(以下简称“腾讯iOA”)基于在零信任安全领域的创新实践,荣登最具投资价值榜单第一位,捧回“2020年网络安全创新产品优秀奖”和“2020年网络安全创新产品最具投资价值奖”双料大奖。
(腾讯iOA代表出席CCIA颁奖盛典)
同时,腾讯iOA作为CCIA评选的推进我国产业结构化升级的推荐成果,入围网安周期间的“2020中国网络安全产业优秀创新成果展”,在“创新成果展”的“腾讯安全”3D展区展示腾讯零信任最新实践成果,为带动企业提升自身网络安全等级,夯牢产业安全底座提供创新参考。
(腾讯iOA亮相“2020中国网络安全产业优秀创新成果展”)
数字时代企业安全亟待“进阶”,零信任成破题关键
后疫情时代,在新基建等利好政策倾斜的驱动下,数字化新技术在企业决策、运营、生产、服务及盈利模式等各个环节加速融合,传统基于物理空间的扁平IT架构环境面临着瓦解重构的挑战。针对企业随数据流增加产生的各类新安全问题,能够同时兼顾内网边界防线和外部应用管理的安全新技术的引入与创新实践,显然已成为满足数字化转型企业实现灵活、高效安全管理“刚需”。
(腾讯iOA获最具投资价值和创新优秀产品双料奖项)
在企业IT架构的变革中,基于零信任理念的新一代架构正在不可信的网络环境中重建信任,让企业得以重新掌控“内部网络”和数据流通。在零信任的安全架构模型下,区分恶意和非恶意的请求,校验来自人、终端、应用、资源四者关系是否匹配,基于“从不信任、持续校验”(Never Trust,Always Verify)理念,使其安全可信度更高、动态防护能力更强,还有全链路加密,分析能力增强、访问集中管控、资产管理方便、支持远程办公等多重优点。
作为企业迈入安全架构进阶的关键一步,零信任已经发展成为国内外行业的共识。2019年底,国外机构指出到2023年,60%的企业将采用零信任替代大部分远程访问虚拟专用网(VPN)。海外零信任产业已走向规模化落地,营收超过 1.9 亿美元的厂商已超过 10 家。与此同时,我国零信任亦紧锣密鼓地展开,相关技术及应用案例逐渐落地。
自主研发紧贴实战 腾讯iOA打造零信任最佳实践
紧贴企业亟需精进安全架构的需求,腾讯作为国内最早落地零信任安全架构的探索者之一,结合二十多年来积累的终端安全能力和服务政企客户的实践经验,从2015年开始自主设计、研发并在内部实践落地了一套零信任安全管理系统-腾讯iOA。
基于按需、动态的实时访问控制策略,腾讯iOA实现了身份安全可信、设备安全可信、应用进程可信、链路保护与加速优化等多种功能,能够满足无边界办公/运维、混合云业务、分支安全接入、应用数据安全调用、统一身份与业务集中管控、全球链路加速访问等六大场景的动态访问控制需求,为企业达到无边界的最小权限安全访问控制,实现安全管理升级提供一站式的零信任安全方案。同时针对远程办公场景痛点,可助力打造员工无论位于何处(Anywhere)、何时(Anytime)使用何设备(Any device)都可安全地访问授权资源以处理任何业务(Any work)的新型“4A办公”。
(腾讯iOA应用架构图)
腾讯企业IT部安全运营中心总监蔡晨认为,作为推动产业互联网发展的安全保障,零信任能够为云上企业提供更优秀的解决思路和解决方案。在腾讯内部,腾讯iOA保障了7万员工和10万台终端远程办公的安全,在满足基本办公需求基础上,实现了OA 站点和内部系统、开发运维、登录跳板机等的远程无差别访问,为全网员工打造全尺寸安全工作环境。
在产业互联网时代,腾讯也将“外溢”的安全能力向外输出,助力企业应对数字化浪潮中的海量需求和突发的安全压力。其中,腾讯iOA就是“腾讯级”安全能力对外开放的良好实践,目前已在政府、金融、医疗、交通等多个行业领域应用落地,基于零信任安全实践,推动产业安全管理效率与水准升级。疫情期间在线教育需求高涨,为满足猿辅导在线教育3.5万内部员工面向4亿用户的办公需求,腾讯iOA为猿辅导打造了兼具云端业务与员工终端安全高效连接和快速扩容安全响应的一站式零信任安全体系,实现业务安全和办公效率双重提升。
引领零信任产业规范化发展,助力筑牢产业安全基座
零信任安全的新理念、新应用更有优势,催生了行业内越来越多零信任概念安全产品的涌现。然而,如何能真正有效地推进零信任网安全的落地,各类产品和解决方案到底要达到哪些核心的安全技术要求,都必须通过标准去探索和规范。零信任产业发展需要具有先进性、前瞻性的标准去牵引,才能真正成为网络安全发展的驱动力。
在以腾讯iOA为代表的领先技术及实践成果基础上,腾讯一直致力于引领国际国内零信任标准落地,主导推进了CCSA、ITU-T国内及国际零信任标准立项。为促进零信任产业规模化发展,为企业用户提供标准、可信赖的零信任产品和服务,由腾讯牵头的零信任产业标准工作组在中国互联网产业发展联盟标准专委会指导下成立,目前已经包含22家零信任产学研用权威机构。8月20日,零信任产业标准工作组推出了国内首个基于攻防实践总结的零信任安全白皮书——《零信任实战白皮书》,总结国内外重点单位的零信任应用实践场景和案例,为零信任在各行业企业的落地提供了高可用性的参考。
在零信任技术不断向网络安全行业深处渗透的趋势下,腾讯安全将继续以腾讯iOA的能力为依托,协同零信任产业标准工作组及各行业生态伙伴,一起持续输出更多创新实践,助力更多数字化转型中的企业重构安全等级更高的防护体系,从而为筑牢产业安全底座贡献力量。