腾讯是如何支撑 6W 员工远程工作的？---腾讯大讲堂

腾讯零信任无边界网络实践：iOA NGN 支撑 6W 员工全尺寸远程工作。

疫情期间，绝大部分企业和绝大多数的员工都进入了远程工作模式。这突如其来的变化，让很多企业的 IT 和安全部门以及员工都措手不及。除了绞尽脑汁的想办法紧急扩容或限流设计容量本就很小的企业 VPN，还面临企业的安全防护边界被打破，黑客入侵和敏感信息泄露的挑战，而员工对企业 VPN 的吐槽声音也越来越大......很多同行找 TEG企业IT 咨询腾讯是如何支撑 6W 员工全尺寸工作的，于是企业IT人决定将腾讯 iOA NGN 的零信任无边界网络实践技术介绍给大家，希望对需要了解的人有所帮助，也可以上腾讯云了解商业版本：https://cloud.tencent.com/product/ztac。

企业传统 VPN

讲远程工作，可以说 VPN 是远程工作的鼻祖级行业解决方案，服役已有十几年的时间，技术原理是在远端设备和企业边界设备间，建立一条安全加密隧道（SSL VPN 或其他加密方式），远端设备获取企业内网的 IP 和访问权限，与企业内网形成一个虚拟网络。

图1:VPN工作原理

企业传统 VPN 有三大没有解决好的地方：

安全性不足：

企业 VPN 虽然解决了大部分企业在用户身份鉴权、互联网通讯加密、内部网络权限授权的安全需求，但 VPN 仍然是传统的边界防护模型产品，无法解决边界被突破后的安全问题。

例如 VPN 并不具备对工作终端的防护能力，这就意味着有大量“裸奔”的终端进入了企业内部访问邮件，文件共享，OA 系统，经营分析系统，运维系统和生产环境，一旦有终端感染了病毒木马，那么恶意软件便会在内网肆意蔓延，黑客通过木马远控终端，“漫游内网，翻箱倒柜”的窃取邮件，产品设计文档、源代码、运营和经营数据等企业敏感信息。

值得特别留意的是，目前各企业部署的 VPN，身份验证强度参差不齐。很多企业并未采用双因子验证，只使用了静态账号和密码验证，如 LDAP、AD 等，这是有极大风险的。这些年行业发生过多起黑客通过 Github，账号弱密码爆破（密码喷洒）获取 VPN 账号，入侵企业内网的案例。

稳定性不足：

虽然人类已经步入 2020 年了，但全世界的网络基础设施的建设仍然不尽人意。当员工使用弱网络（如小运营商，丢包率高），海外网络（跨洋线路，延迟大）的时候，往往碰到速度慢，频繁断线重连，体验极差。

图2:VPN长链接隧道原理

VPN 使用长链接通讯机制，握手协商过程长，通过心跳来保持会话状态，在丢包率高、延迟高的情况下，心跳包丢失，导致会话中断。

灵活性不足：

大部分企业的 VPN 产品是第三方采购的硬件设备，采购和部署周期长，容量，带宽也受限于先前的规划，难以在突发需要的时候进行快速的弹性扩容。

需要解决这些 VPN 无法解决的问题，就需要一种全新的方案。能否实现终端在任何网络环境中也能安全、稳定、高效地访问企业资源和数据？这个时候，零信任的理念进入了企业IT部关注和研究的视野。

零信任无边界的前生今世ZTA（Zero Trust Architecture）零信任架构简介

由 Forrester 在 2010 年提出了这样一个全新的安全理念，它的基本原则就是：从不信任，总是验证。它认为网络上的所络流量都是不可信的：

用户、设备或应用程序创建的每个会话在允许通信之前必须经过身份验证；无论来源哪里的访问请求、无论从什么设备上发起的请求，都应该一视同仁采取最小特权的网络访问策略，进行严格的访问授权；

在这个架构中，支持“零信任”模型能的核心是一个被称为 Control Plane 控制平台的组件，所有访问敏感信息的请求都应该先经过控制平台，由控制平台对访问进行评估，决定此次访问需要提供什么等级的认证信息，再校验访问所携带的认证信息是否达到标准，从而实现认证，当认证成功后，再对访问进行授权，若认证失败，则拒绝访问。

图3:ZTA零信任架构

ZTA天然适配远程办公场景

零信任理念可以给我们带来一种全新的企业安全防控模式：传统的内外网的天堑不复存在，企业甚至可以取消职场网络，员工全部接入互联网办公，因此 ZTA 天然适配了远程工作场景。

腾讯企业IT在 2017 年开始启动 iOA NGN 项目，旨在实现终端在任何网络环境中也能安全、稳定、高效地访问企业资源和数据。

腾讯 iOA NGN 的实践

iOA NGN（Next Generation Network），是腾讯企业 IT 自主设计和研发的零信任无边界的访问系统。

设计目标上，可控制对企业公有云、私有云以及本地应用的访问权限，通过验证用户的身份、设备的安全状态来确定是否允许用户访问应用，确保对企业应用的可信访问并降低企业数据泄露风险，无论员工位于何处、使用任何设备都可以安全访问企业的应用程序和数据。

设计原则上，延续了 ZTA 架构的理念和 BeyondCorp 的指导原则，并进一步细化为以下三大原则：

打破传统基于区域的授信控制方式；基于可信身份，可信设备，可信应用三要素，授予访问权限；对每一个访问企业资源的会话请求，都进行用户身份验证，设备安全状态，软件应用安全状态检查和授权，全链路加密。

图4: iOA NGN设计原则

设计方案上，核心模块主要有，安全客户端 iOA 和智能网关：

iOA：安装在员工工作设备上的安全 Agent，负责确保设备上的用户可信身份，可信设备，可信应用三要素；智能网关：部署在企业应用程序和数据资源的入口，负责每一个访问企业资源的会话请求的验证，授权和转发；

除 iOA 和智能网关外，还需要多个后台组件配合完成安全检测和访问控制。iOA NGN 后台组件，还包括：

策略控制引擎：对业务流量进行安全调度，按照人-设备-软件-应用颗粒度授权；身份验证模块：对用户身份进行验证；设备基线模块：验证设备硬件信息、设备证书和设备安全状态；应用检测模块：检测应用进程是否安全，如是否有漏洞，是否有病毒木马等。

图5: iOA NGN设计方案

技术实现上，全链路加密有别于传统的 VPN，所有业务数据，通过 key 加解密，每一个访问，都是独立的 TCP 访问，每一个访问，都验证用户、设备、应用的状态，即零信任。无需维持一个稳定 TCP 长链接，在不稳定弱网络条件下,即使网络有波动，通过自动重试机制，下一次访问即可成功，从而减少网络抖动带来的影响，保证稳定访问业务。相比传统 VPN，减少 SSL 通道协商，无需经过 IP 分配、配置路由过程，大大减少通道建立的时间。

图6: iOA NGN链路实现

行业标准上， iOA NGN 在中国通信标准化协会（CCSA）和国际通信联盟（ITU）成功进行标准立项（2019 年的 7-9 月），成为全球首个零信任相关安全国际标准。

效率和体验上，为方便员工快速建立和接入工作环境，iOA NGN 针对资源访问，身份验证，设备标准化等高频场景，有针对性的提升员工效率和体验：

工作资源一键可达：iOA NGN 支持应用发布和帮助信息发布，对于用户办公、研发所需要的常用资源，用户可通过 iOA NGN 快速打开所需资源。同时 iOA NGN 信息发布平台根据用户需要可实时更新帮助内容，将用户所需常用操作指引、常见问题处理方式通过平台更新发布，快速触达用户。

图7: iOA NGN的工作资源

快速身份验证：iOA NGN 结合了企业 SSO，实现快速、统一的身份验证。通过 PC 和手机即可一键访问到公司 OA、运维等资源。

图8: iOA NGN的快速身份验证

设备标准化：疫情突然，很多员工没有提前准备常用的工作设备，需要临时使用“新设备”来完成工作。企业对新接入公司的设备，都存在统一标准化的要求，如加入公司域、安装杀软、基本安全加固、漏洞检测等。iOA NGN 给员工提供了标准化工具，实现一键标准化操作，极大简化了操作步骤和时间。

图9: iOA NGN的设备标准化

结语：当前 iOA NGN 的无边界实践，主要解决终端 PC 访问企业资源的安全和效率问题。其实，无边界零信任理念，还可以帮我们去探索和解决另外一个领域所面临的安全挑战：如何保护企业后端服务器之间的访问和数据流转。

企业生产网内部服务器之间存在大量的数据互访和流转，比如跨地域的用户数据访问、业务部署上线、测试服务器访问生产服务器等。这种通讯往往采用直连模式，导致服务器区域无法有效实施网络隔离和访问鉴权，黑客一旦入侵到服务器区域，便可随意窃取生产网数据。我们同样可以采用零信任理念，在服务器区域部署一套无边界访问控制系统，服务器间的访问都通过安全网关进行接口身份验证和授权。

作者：geminicai，wilsonwang，junshenmeng，jeffreyang，leonzzhang

本文来源：腾讯技术工程（ID：Tencent_TEG）

腾讯智慧校园推硬核“停课不停学”方案

在线问诊上线，轻微症状别恐慌

带你了解腾讯最坚实的支撑事业群

---来自腾讯云社区的---腾讯大讲堂