信任|腾讯丁珂:以“零信任”理念重构产业数字化时代安全防御体系

不断提速的数字化进程在带给全球经济发展韧性的同时 , 也在悄无声息地撬动各行各业变革安全防御思路 。 在5月14日 , 由中国信息通信研究院、产业互联网发展联盟指导 , 腾讯安全主办的零信任发展趋势论坛上 , 腾讯副总裁丁珂表示 , 全球数字化和万物互联的加速 , 将物理空间的边界彻底打破 , 以“零信任”理念重构防御体系势在必行 。 同时 , 丁珂也提出 , 零信任广阔的内涵和外延 , 需要产业各界携手共建 , 根据中国的网络安全环境探索“零信任”落地的“中国样本” 。

信任|腾讯丁珂:以“零信任”理念重构产业数字化时代安全防御体系
文章图片

腾讯副总裁丁珂
丁珂表示 , 零信任虽然还是一个新兴的技术 , 但在大量企业典型的业务场景表现得非常突出 。 “零信任的互联互通特征 , 取代了传统彼此隔离的物理空间 , 是产业数字化和万物互联健壮发展必须要面对的技术路径 。 ”
据丁珂介绍 , 腾讯从2016年开始在内部实践落地自主设计、研发的零信任安全管理系统——腾讯iOA 。 去年疫情期间 , 这套系统为自身超过7万名员工和10万台服务终端的跨境、跨城远程办公提供了安全护航 。 依托这套零信任解决方案 , 腾讯不但能够在业务正常运转的同时解决安全风险 , 让安全和用户体验得到平衡 , 也能够动态适应数字时代的快速变化 。
【信任|腾讯丁珂:以“零信任”理念重构产业数字化时代安全防御体系】现在 , 腾讯的零信任安全解决方案已经对外开放 , 广泛应用到政务、银行、制造等众多行业领域 。 它兼具云端业务与所有终端的安全、高效连接 , 在确保企业业务安全的同时 , 保证办公效率 。
除了推动零信任架构落地和产业实践外 , 腾讯还携手国际国内机构、企业伙伴 , 共同推进零信任相关标准的制定 , 主导了国际上首个零信任安全技术标准 , 参与CCSA、ITU-T等零信任标准框架的立项 , 发起成立了国内首个零信任标准工作组 , 参与发布了大量零信任相关的技术规范 。
丁珂表示 , 零信任在规范方面的诉求非常迫切 , 有一个清晰的框架和路径大家才能力出一孔 。 未来期待能够携手产业各界 , 充分发挥彼此的核心能力 , 共同壮大零信任生态 。
以下是丁珂演讲全文:
尊敬的倪光南院士、王爱华总工以及老朋友们 , 欢迎大家来到今天零信任发展趋势论坛 。 回想一下 , 疫情才过去一年 , 感触还是很多 。
第一是我们整个数字化在各行各业好像按了一个“加速键” , 大家发现数字化是经济体系的“神经保护系统” , 有了这个保障之后 , 我们从时效性来看会比其他国家反应、恢复地速度都快 。 我们现在开这么大规模的会 , 频度可以越来越自由、越来越灵活 。
第二也可以发现身边很多事情都在潜移默化 , 像远程办公 , 解决一个问题的时候以前很多领导都说请来我办公室 , 现在可能第一反应是能不能帮我组织一个会议 。
这一年给我自己最深的一些思考还是安全的变化 。 以前解决安全问题我们尝试了很多方法 , 但是以结果的维度去度量的时候总是不那么理想 。 到了目前这个阶段 , 我们或许有一些好的手段可以直奔主题 , 更具前瞻性 。 伴随着数字化成了“必选项”,我们是不是可以以结果、实践为导向 , 反推一些规划 , 让安全更前置 。
零信任恰恰就是这样的一个产物 。 首先它是基于实践产生的 。 疫情来的时候 , 因为受限 , 很多企业复工的时候 , 可能有80%的员工是要居家办公,但腾讯恰恰又是一个以研发和开发为主的企业 。 我们的好处是平时积累的模块、IT和工具很多 , 但最大的是挑战是要求你工作的协同性和密集型很高 , 那一瞬间我们下了决心推动整个管理流程和办公流程的变化 , 大概花了不到一周的时间完成了这个切换 , 切换之后效果非常好 。
首先它真的是在把以前推了很久、想过很久不敢做的事情做了 。 稳定性和效率性是对研发和运营非常重要的一个关键因素 , 我们的零信任实践做到了 。 而且很多的大企业例如物流企业也来找我们取经 。 很快 , 我们在新生市场上有了非常好的覆盖 , 这个覆盖也正好是属于一期到二期转换的过程当中 。
不过也碰到了一些问题 。 比如腾讯的数字化工具科技属性比较强 , 但是很多物流企业不是纯技术和IT的 , 怎样让门槛降低?像快递小哥的需求 , 系统复杂度不是很高 , 但是它的变量会比较多 , 比如说你要考虑他的终端丢了怎么办 , 怎么再次证明还是这个人在使用 。
这也带给我们很多收获 。 例如过去一段时间我们服务客户的时候 , 发现DAU可以快速超过几百万的规模 , 这在TOB领域是难以想象的事情 , 这往往是在我们TOC的时候才会用的指标 , 实际上现在在TOB的领域里也会不断碰到类似的需求 。
在这个过程当中 , 我们也感受到零信任虽然还是一个新兴的技术 , 但是实际上典型的业务场景它也表现得非常优秀 。 一个是远程办公的场景;第二是员工的移动终端;第三以腾讯内部一个案例说明——我们当时有一个做高精地图的庞大生产团队在武汉 , 当时它正好在风暴的中心 , 人员的流动性很低 。 零信任的践行可以让临时人员进入系统权限变得很灵活和便捷 。
总得来说 , 零信任的思想相比传统“拒敌于城门之外”的思路核心 , 是让不法分子在业务的领域内处处受限、寸步难行 。
第一步 , 所有进入我方领土的人 , 无论好人、敌人还是卧底奸细 , 我们去对每一个人 , 基于他的身份、动作、特征、数据等等变量不断的核验;
第二步 , 是把我们的城市分割成无数个大大小小的房子 , 每一个房屋都仅仅刚好能满足最小的一个权限;
第三步 , 允许通过身份核验的用户 , 拥有进出和使用小房子的权限 。 这样 , 就确保了无论业务如何变化和扩展 , 企业的数字资产始终能够处于动态安全状态 。
值得一提的是 , 零信任在使用的过程不完全是一个技术或者产品的问题 , 它跟一个企业的经营、规划、长期发展的管理是强相关的 , 而且是一个不断优化的过程 。 所谓零信任的价值核心就是工具部署足够轻、运维的成本足够低 , 灵活适应性地提升企业经营发展效率 。
我们在各行各业的时候 , 也充分携手合作伙伴共同去做行业的建设 。 同时 , 零信任概念也蛮久了 , 也不缺我们在这一瞬间去讲一个概念性的问题 , 但还是非常感谢大家共同的参与 , 非常重视一些规范的建设 , 因为它涉及的层次和面是既广又深 , 而且各个企业在自己擅长的方向上有特长 。 像腾讯选择自己的产品非常注重差异化 , 我们认为市场上很成熟的地方应该是大家合作 , 而不是再做一些同质化的竞争 。
在零信任范围里这个问题会放得很大 , 所以在规范方面是非常重要的 , 有一个清晰的框架和路径 , 大家才能力出一孔 , 而且围绕这些关键路径大家也能知道自己的优势是什么 , 大家的合力才会更加有效 。 所以零信任生态、规范的建设在当下甚至是决定未来展规模大小的一个至关重要的点 。
最后 , 我们将继续完善零信任安全解决方案 , 加快零信任安全标准在行业的落地和应用 , 同时与更多伙伴携手 , 共建零信任技术架构和应用生态 , 为企业数字化转型夯实安全底座 。
编辑:Giabun

    推荐阅读