APP推广合作
联系“鸟哥笔记小乔”
复盘腾讯远程办公安全战:10万台终端,谁在守护
2020-09-15 12:18:45

2月9日,腾讯6万名员工收到一条特殊的消息。


“基于目前疫情形势,为减少人员流动及聚集,阻断疫情传播,确保小伙伴们的健康和安全,公司决定将在家办公的时间延长一周。”


不止腾讯,在春节过后的日子里,国内许多公司都开启了员工在家办公模式。一时间,散布在天南海北的企业员工在卧室、在飘窗、甚至在老家的炕头,打开电脑,埋头工作。


社交网络上,各种关于远程办公的段子比比皆是,类似视频开会成了睡衣Party、会议开到一半孩子突然窜出的故事流传在各个工作群里。远程办公时代到来了,似乎除了生活节奏要调整,一切都如平常。


段子齐飞的背后,互联网公司的安全团队却是严正以待,一场硬仗早已打响。



春节期间的硬仗


大年初一傍晚,负责腾讯公司信息安全的企业IT部拉起一个紧急项目组,讨论的问题是:节后能否支持公司全员远程办公。


不久后,结果就确定了下来:不仅要支持全员的远程基础办公,还要支撑全员、全量、全尺寸的办公。


根据腾讯2019年年报,公司有近7万名员工,全员、全量远程办公对应的是10万个终端和背后复杂的网络环境。“全尺寸”则意味着,除了信息互通、远程会议等基本功能,还要让所有员工远程无差别地访问OA站点和内部系统,尤其是让两万多名技术人员能正常使用跳板机、蓝鲸、Git等进行运维开发工作,难度可见一斑。


虽然从2016年开始,腾讯安全就已经开始在远程办公方面有所布局,但这次完全不是同一个量级。在接下来的远程办公中,员工访问的身份、设备、网络都不可控,且企业服务暴露在公网上,安全风险随时可能出现。


一项巨大的工程摆在安全团队面前,但离复工已经没有多少天了。


团队要处理的第一个问题是扩容,为了补齐服务器支撑,相关部门几乎全员出动,30多个小时完成了200多台服务器的上架。不过,虽然在已有的私有云环境下,项目组能迅速实现线上扩容,但仍有部分支撑需要在线下完成。


据腾讯iOA技术负责人蔡东赟回忆,春节期间,为了服务器的现场上架、调度,有同事专程跑到腾讯深圳总部,也因此经受了些波折。


“当时接到行政的电话,说楼里有疑似发烧的人,吓得有些同事家都不敢回,最后还好只是普通的肺炎。”


扩容是为了承载暴增的流量,同时进行的另一项重要任务是加强安全策略。


具体而言,加强安全策略可以分为“筑堡垒”、“扫隐雷”两个方面,即在新的安全环境下,曾经在外网不检测的东西改为全部要接受检测,安全事件响应水准提升到最高等级。与此同时,为了主动扫除隐患,腾讯方面还启动了红蓝军对抗的模式,对产品做直接的线上测试。



基于已有的私有云基础,加上自主设计和研发的腾讯iOA零信任终端安全管理系统,内网的安全保障工作在春节期间紧张有序地进行着,转眼间,复工日到了。


2月10日早上8点,远程在线的员工数接近3万。


11点半,同时在线员工数达到5万。


第一周下来,远程办公在线人数接近7万人,终端数超过10万台。


在这个过程中,远程办公安全网络通道机器从6台扩容到140台,承载流量从不到1G增长至最高20G,与此同时,还要保障办公、研发、运维人员在快速扩容的过程中保持在零信任网络通道中流畅工作。


一切平稳运行,似乎和平日并无不同。


显然,紧急加班的安全团队是远程办公能顺利进行的最大功臣,但与其说这是场惊险的“遭遇战”,不如说是长年积累下的安全能力的集中展现,而这又与腾讯本身的发展息息相关。



内部“战场”的磨砺


“攻防能力、安全能力怎么来的,主要是因为公司的发展给我们提供了比较好的战场”,腾讯安全副总裁方斌告诉「深响」。


在「深响」与腾讯安全方面的交流中,“战场”一词高频出现,其原因不难理解:腾讯员工多,且地域分布广,加上互联网公司生产资料数字化的特点,企业本身就是网络安全攻防战的大舞台。


值得注意的是,腾讯并非从创立之初就自建安全团队,其安全能力发展可以追溯到2004年。当年,冲击波、尼姆达等计算机病毒肆虐,腾讯内部的电脑也曾中招,加上“盗号”问题日渐严峻,腾讯为此成立了第一个安全部门:安全运维组。


到了2006年,由于“朽木事件”的发生,腾讯进一步加大对内网安全的重视。当时名为“朽木”的黑客通过内网渗透,还给腾讯高管打了电话。虽然没有造成损失,但这次事件成了腾讯推进内网隔离的契机。


在此背景下,腾讯的安全能力分别在C端和内网两个方向得到发展:一方面,面向C端的安全产品从最开始的“防盗号”逐渐转向提供全面的安全防护;另一方面,随着腾讯的家业越来越大,来自内部的考验逐渐增多,相关安全能力也得到了实实在在的锤炼。



探索“零信任”,就是安全团队服务内部需求而实现的重大突破之一。


据方斌介绍,由于公司过去几年增长迅速,腾讯在全球各地都有了办公场所和相关员工,业务场景也变得丰富多样,加上投资公司、子公司的发展,腾讯需要有更能匹配新场景的IT设施,因此开始在内部探索实践“零信任”方案。


所谓的“零信任”,指的是一种以资源保护为核心的网络安全范式,其核心理念恰如其名,即默认所有情况下企业内部和外部的所有人、事、物都不可信,需要以身份为中心进行动态访问控制,是更贴合远程办公模式安全需求的方案。


也就是说,“零信任”方案的出发点是改善公司内部的远程办公体验,同时增强安全能力,这也符合腾讯一贯的“员工体验优先”原则。


“腾讯在支撑员工办公这块投入很大,传统产品会出现在家经常连不上等各种问题,像运维的SSH会突然闪断,你得重新连服务器、跳板机,再执行运维的动作。”蔡东赟告诉「深响」。


从2016年开始,腾讯就在内部实践起“零信任”方案,这也让腾讯成为了国内最早探索“零信任”应用的企业之一。经过了几年的推进,“零信任”应用的优势不断显现,成为腾讯在疫情期间应对突发状况的扎实基础。


回顾腾讯在内网安全能力方面的发展,其积淀的种种实力都离不开公司内部的磨砺。腾讯相当于安全部门的“第一个客户”,这个客户需求多且“挑剔”,需要安全团队不断迭代能力,甚至主动去探索行业边界,进而落地全新的解决方案。


那么,除了腾讯,那些已被验证过的安全能力实践,能否输送至同样有需求的企业,为其数据安全保驾护航?


答案是肯定的,这也是腾讯近年发力的重要方向——TO B。



外部新征途


其实在2018年那场著名的“930”变革之前,腾讯安全就开始了TO B转型之路。


转型的契机是2017年WannaCry病毒的爆发,虽然当时腾讯电脑管家团队快速找到了解决方案,但由于电脑管家主要面向C端用户,因此对受灾企业的帮助比较有限。


WannaCry勒索病毒提示


一时间,腾讯安全的相关团队都陷入了思考——“我们有可靠的内网安全能力,也有很好的C端产品,怎么样去向行业输出企业级的终端安全产品?”


在之后的日子里,经过无数讨论和纠结,安全团队定下了未来发力方向:转型TO B,将主管内网安全的iOA团队和面向C端的终端安全团队进行合并,向行业输出企业级的安全能力。



决定转型后不久,腾讯在集团层面也启动了“930”变革,对于腾讯安全来说,这意味着在产业互联网大潮中,属于安全团队的更大的机会正在到来。不过,TO B需要考虑行业各自的Know-How,服务更偏定制化,这意味着转型存在压力,好在腾讯安全也有自身独特的优势。


根据腾讯安全高级工程师刘诚的介绍,相比单纯的安全产品厂商,腾讯安全由于长年服务于腾讯这一“客户”,能更懂企业管理者需要什么。此外,B端更关注如何使用、管理产品,需要实践经验作为参考,而在这方面腾讯安全经验丰富。


在接连拿下大客户后,腾讯安全的新故事不断展开,但谁也没想到,疫情黑天鹅的爆发将远程办公的安全性、“零信任”的重要性推到了新的高度。


和率先实践“零信任”应用的腾讯不同,许多企业目前采用的仍是传统的边界式安全防护体系,该体系相当于把安全攻击阻挡在边界之外,一定程度上默认内网是安全的,但在远程办公环境下,由于用户、终端、业务都变得多样,安全风险增多,原先的边界安全防护效果也变得有限。


在不得不实行远程办公的日子里,如果企业出现数据安全问题,后果相当严峻。以保险行业为例,如果保单或客户隐私遭到泄露,企业面临的不仅是赔偿和形象损失的问题,还将引来银保监会的调查。类似的损失,在电商行业、游戏行业都可能发生。


对于各行各业来说,增强安全能力迫在眉睫,而如上文所述,“零信任”架构更适合远程办公模式。根据腾讯安全方面的说法,从过年到现在,基本每周都有客户去咨询如何按“零信任”架构方向去改造。



值得注意的是,“零信任”并非疫情期间的短期应对措施,其指向其实更多的是未来趋势,因此,腾讯安全在向外输出相关能力的同时,也在积极推动行业标准,联合生态探索“零信任”的未来:


  • 2019年9月,在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织)SG17安全研究组全体会议上,由腾讯主导的《服务访问过程持续保护参考框架》国际标准成功立项,成为国际上首个零信任安全技术标准。

  • 2020年6月,腾讯联合零信任领域16家机构企业,共同成立“零信任产业标准工作组”,8月,零信任产业标准工作组发布《零信任实战白皮书》,为零信任在各行业领域的落地提供参考。


推进行业标准不是件容易的事,由于“零信任”处于起步阶段,行业目前还是”各说各话“的状态,以自身经验输出行业标准意味着需要和众多同行辩论,但这也是树立标准的迫切性所在。


在远程办公时代加速到来,云计算、物联网、5G等新技术掀起浪潮的当下,企业需要重新设计安全架构,原有的边界防护体系需要提升或者重构,网络安全实际上进入了全新的阶段。云成为了安全攻防的主战场。


在此背景下,传统厂商的“全闭环”玩法已经不适用,从业者更需要携手共进、互联互通,这对于客户乃至全行业安全能力的发展都大有裨益。


目前,作为行业探索者和先行者,腾讯已经向前迈了一步,树立起了新的规范和新的安全样板,也输出了腾讯级解决方案。


“我们希望能跟行业一起,找到我们擅长的,找到行业擅长的,不管是标准、产品还是项目,大家一起合作,一起把这个事情做好,能够真正的提升基础IT、基础安全能力,给到目标行业更好的体验”,方斌表示。

深响
分享到朋友圈
收藏
收藏
评分

综合评分:

我的评分
Xinstall 15天会员特权
Xinstall是专业的数据分析服务商,帮企业追踪渠道安装来源、裂变拉新统计、广告流量指导等,广泛应用于广告效果统计、APP地推与CPS/CPA归属统计等方面。
20羽毛
立即兑换
一书一课30天会员体验卡
领30天VIP会员,110+门职场大课,250+本精读好书免费学!助你提升职场力!
20羽毛
立即兑换
顺丰同城急送全国通用20元优惠券
顺丰同城急送是顺丰推出的平均1小时送全城的即时快送服务,专业安全,准时送达!
30羽毛
立即兑换
深响
深响
发表文章1403
深响是一支TMT领域新锐研究机构,由资深媒体人与投行人组成的精品团队,致力于深度研究全球范围内的商业案例,以优质的内容为行业与读者创造价值。
确认要消耗 0羽毛购买
复盘腾讯远程办公安全战:10万台终端,谁在守护吗?
考虑一下
很遗憾,羽毛不足
我知道了

我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。


一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
    1)反对宪法所确定的基本原则;
    2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
    3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
    4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
    5)煽动民族仇恨、民族歧视,破坏民族团结;
    6)破坏国家宗教政策,宣扬邪教和封建迷信;
    7)散布谣言,扰乱社会秩序,破坏社会稳定;
    8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
    9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
    10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
    11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
    12)危害未成年人身心健康的;
    13)含有法律、行政法规禁止的其他内容;


2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
    1)轻蔑:贬低、轻视他人及其劳动成果;
    2)诽谤:捏造、散布虚假事实,损害他人名誉;
    3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
    4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
    5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
    6)谩骂:以不文明的语言对他人进行负面评价;
    7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
    8)威胁:许诺以不良的后果来迫使他人服从自己的意志;


3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
    1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
    2)单个帐号多次发布包含垃圾广告的内容;
    3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
    4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
    5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
    6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
    7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
    8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。


4. 色情低俗信息,主要表现为:
    1)包含自己或他人性经验的细节描述或露骨的感受描述;
    2)涉及色情段子、两性笑话的低俗内容;
    3)配图、头图中包含庸俗或挑逗性图片的内容;
    4)带有性暗示、性挑逗等易使人产生性联想;
    5)展现血腥、惊悚、残忍等致人身心不适;
    6)炒作绯闻、丑闻、劣迹等;
    7)宣扬低俗、庸俗、媚俗内容。


5. 不实信息,主要表现为:
    1)可能存在事实性错误或者造谣等内容;
    2)存在事实夸大、伪造虚假经历等误导他人的内容;
    3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。


6. 传播封建迷信,主要表现为:
    1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
    2)求推荐算命看相大师;
    3)针对具体风水等问题进行求助或咨询;
    4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;


7. 文章标题党,主要表现为:
    1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
    2)内容与标题之间存在严重不实或者原意扭曲;
    3)使用夸张标题,内容与标题严重不符的。


8.「饭圈」乱象行为,主要表现为:
    1)诱导未成年人应援集资、高额消费、投票打榜
    2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
    3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
    4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
    5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序


9. 其他危害行为或内容,主要表现为:
    1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
    2)不当评述自然灾害、重大事故等灾难的;
    3)美化、粉饰侵略战争行为的;
    4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。


二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。


三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)

我知道了
恭喜你~答对了
+5羽毛
下一次认真读哦
成功推荐给其他人
+ 10羽毛
评论成功且进入审核!审核通过后,您将获得10羽毛的奖励。分享本文章给好友阅读最高再得15羽毛~
(羽毛可至 "羽毛精选" 兑换礼品)
好友微信扫一扫
复制链接