为减少人员流动带来的感染风险,深圳、上海等城市已采取居家隔离、远程办公等措施。居家远程办公的同时,看不见的安全风险也正暗流涌动。如何保障企业远程办公安全,有效规避安全风险?
3月21日,腾讯安全举办《远程办公安全》专题公开课,邀请到腾讯安全零信任产品总经理杨育斌、腾讯企业IT部安全专家蔡东赟两位专家,结合腾讯零信任产品及相关实践,分享了腾讯iOA零信任解决方案,以期为疫情当下的众多企业提供新思路,携手共克时艰,捍卫美好。
以下为重点演讲内容实录:
腾讯零信任方案和远程办公护航计划分享
01疫情之下企业居家办公存在安全隐患
从全球范围看,远程办公已经走向了常态化、全员化。Gartner最新的调研显示,75%的组织已经计划让部分员工一直远程办公。尤其是在经过了新冠疫情之后,更是大大加速了远程办公这一趋势的发展。远程办公比较典型的价值体现在IT系统不受时间地点的限制,能更充分地利用碎片时间,同时还可以拓宽经营范围。
但远程办公也带来了一些安全风险,在数字化转型和业务云化的大背景下,组织的边界变得越来越模糊。边界模糊化使得业务过度地暴露在互联网下,导致威胁更容易渗透到组织内部,也致使业务数据更容易被泄露出去。此外,员工接入环境的复杂,接入终端多样化、使用环境多样化、使用角色多样化、使用场景多样化也会带来漏洞、病毒这类终端风险。从企业、员工的角度总结来看,远程办公存在的安全风险包括终端准入风险、系统入侵风险、数据泄密风险以及违规操作风险。
02给企业和员工的几点安全建议
从员工侧来看,要注意密码安全、邮件安全和WiFi安全。如果网络不安全被探测到,那么很容易导致密码泄露,进而会导致整个系统被渗透,因此尽量使用“字母(大小写) 数字 特殊符号”形式的高强度密码,切忌“一套密码到处用”,要按照账号重要程度对密码进行分级管理,重要账号定期更换密码;浏览钓鱼网站和点击邮件附件都是非常高危的一些行为,需提醒员工不要点击不明链接;提醒员工在公共场合,要避免去访问一些不安全的热点,家里的WiFi,也要对路由器的一些登录账号密码进行安全性的加强,不要使用默认账号。
从企业侧来看,由于办公边界被打破,传统的边界防护或安全防护已经不起作用,不能再以传统内外网的思维构筑安全防护体系。零信任是一个非常好的解决方案,它基于用户的身份和行为进行动态授权,持续验证、永不信任,没有任何流量是默认“可信任”的。
03腾讯零信任解决方案介绍
腾讯iOA整个零信任体系基于4T的可信原则,持续验证,永不信任,来实现整个零信任方案的运转。身份可信根据配置的授权管理,通过扫码、密码等方式实现员工的身份认证;设备可信依托腾讯超过20年的基础安全技术积累,通过病毒防护、漏洞修复、安全合规等手段实现设备环境的可信;应用可信可根据业务情况,指定和控制特定版本的应用对系统的访问权限控制;链路可信通过严格的链路加密、安全校验,保证数据传输不被黑客劫持和嗅探。基于这四大安全原则基础上,整个系统是一个动态监测的系统,持续验证,永不信任,来实现整个职场安全和运营体系的构建。
首先从远程访问进来的时候,需要做一个身份登陆的校验,然后是一个统一的身份管理。在端点方面,该方案提供了云查杀和病毒的检测能力,以及主动防御和拦截能力。在部署模式方面,腾讯的离线方案是支持SaaS化部署的,此外还提供私有化部署。在远程办公和远程运维场景下,腾讯零信任解决方案已应用于腾讯的日常职场管理中。
04远程办公护航计划介绍和目前成果
目前国内多个城市疫情呈爆发趋势,深圳、上海等地相继启动居家办公计划。为了帮助企业安全、稳定、高效地度过特殊时期,在3月15日,腾讯安全迅速启动了远程办公护航计划,面向所有企业免费提供三个月的腾讯iOA零信任授权。
远程办公护航计划可以通过腾讯零信任SaaS化的模式,给企业提供高效的远程办公服务。同时,在接入方面十分的便捷,通过云主机便可以便捷地将零信任的网关、零信任的连接器跟企业的自身需求进行打通。希望通过腾讯的一些最佳实践,能够为目前有急需远程办公的企事业单位,提供便捷的远程办公服务,陪伴大家共度这个难关。
腾讯iOA内部实践经验分享
05零信任技术常见技术概述
零信任既不是技术也不是产品,而是一种安全理念。企业的数据资产大部分都在服务器,零信任最多的还是在访问环节中去体现。企业有两个关键资源场景,一个是业务服务器之间的资源访问,一个是办公场景下终端对服务器资源的访问。零信任常见技术则体现在用户访问服务场景和服务与服务之间访问场景下。
06腾讯iOA如何应对和解决办公安全问题
腾讯iOA在应对和解决办公问题时,适用于Any Where、Any Application、Any Device、Any Work。Any Where指为内网提供一个方便的接入职场网络工作的方式,并提供对应的安全能力,外网情况下iOA会提供一个安全简化的接入;Any Application指iOA确保只有安全的终端应用才可以访问进来,只有合规的应用程序才可以访问内网资源;Any Device指提供无端准入服务,满足协作公司终端不允许受控的场景;Any Work指服务器不直接暴露在有告警风险的网络,内外网都可以访问业务服务并能受控制和审计。
07iOA在腾讯内部的实践效果分享
腾讯iOA基于终端安全、身份安全、应用安全、链路安全等核心能力,对终端访问过程进行持续的权限控制和安全保护,实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。
以腾讯内部实践为例,公司办公地点覆盖全球,跨越欧洲、美洲等,员工也经常居家办公。这种情况下,传统VPN需要不断地重新做身份验证,IP一不小心也会断掉。iOA作为腾讯职场办公建设的基础,为腾讯整体职场管理运营提供安全和技术支撑,通过联动打通内网系统,提供综合性安全体验服务。在2020年新冠疫情防控期间,腾讯iOA便支撑了全网6W 员工、10W 设备的全负荷工作,稳定性得到证明。
以上是本次《远程办公安全》专题公开课两位专家观点的精华整理。目前,腾讯iOA在政务、医疗、交通、金融等多个行业已成功应用,支持了百万终端设备的安全接入。相信在未来,腾讯安全也会继续发挥自身在零信任领域的技术优势和实践经验,协同生态伙伴一同促进零信任产业的规模化发展,更好地护航产业互联网的发展。
