《工作的乐趣》一书的作者布鲁斯·戴斯利曾表示:“我们的工作正在经历前所未有的大变革,而这场变革刚刚开始。”
在疫情反复影响下,全球很多企业开始主动拥抱“混合办公”这一工作模式。
Twitter宣称员工可以永远远程工作;Dropbox宣布集中工作的办公空间会慢慢“退出”;微软、苹果、亚马逊正在将混合办公常态化。在国内,携程率先宣布推出“3 2”混合办公模式,允许员工在每周两天自行选择办公地点,结果显示“在家办公”提高了员工13%的绩效,离职率下降了50%。
对于企业而言,混合办公模式一方面可以降低企业的运营成本,另一方面也能提升员工的幸福感,降低公司离职率。
正如腾讯研究院与腾讯安全共同发布的《2022年混合办公安全白皮书》(以下简称“白皮书”)指出,混合办公是一种未来已来的新的工作模式、是新的企业生存策略和竞争战略。所有致力于未来竞争的企业,都将向混合办公模式进行迁移,先行者将享有先发优势。
混合办公的B面:
安全是核心问题
尽管混合办公成为一种势不可挡的趋势,但背后的隐忧也随之浮出水面。
白皮书调研数据显示,混合办公模式下,安全和效率成为最受关注的核心问题。受访者把安全(68.3%)排在了混合办公中第二重要的要素,仅次于效率(82.6%)。
图片来源:腾讯研究院、腾讯安全
《2022年混合办公安全白皮书》
混合办公模式下,远程访问成为企业员工的必须。相比之前受到各类防火墙保护的企业内网,远程访问相当于在坚固的城堡里开了许多扇门,供远程办公人员进出,调取各类文件、信息、数据以满足工作需求,风险敞口骤然加大。
从宏观层面看,网络攻击规模化与攻击门槛降低,使得混合办公成为了新的威胁跳板。近年来,对企业安全造成威胁的外部安全攻击事件案例层出不穷。
从微观层面看,企业员工在混合办公时存在各类安全风险操作行为,如:接入公共场所的 WiFi进行办公;没有将个人文件和办公文件分开,并加密重要文件;因个人原因使用过公司的设备;结束混合办公时未及时退出公司系统等等,都为企业在面对安全威胁和安全管理带来了新挑战。
但更严峻的是,在混合办公模式下,企业安全的认知和保障严重不足。
白皮书调研数据显示,64.5%的受访者所在企业的混合办公安全保障不佳,其中37.3%的受访者表示,其所在的企业没有为混合办公提供技术支持和安全保障,另外有27.2%的受访者表示不了解。这表明大部分企业还未开始宣传或有可能尚未有任何安全保障措施。
值得庆幸的是,安全技术的不断演进,为企业更好地拥抱混合办公提供了可行路径。
白皮书指出,混合办公模式想要真正长期可持续发展,实现混合办公安全“i-DEAN”五要素必不可少,包括:身份安全、数据安全、设备安全、应用安全和网络安全。
其中,身份安全是混合办公安全的核心,一切混合办公安全需要保证使用者的身份是安全可靠的,而数据作为资产、应用作为关键载体、设备作为重要入口、网络作为基础纽带,同样是混合办公安全需要保护的。可以说数据安全、设备安全、应用安全、网络安全是围绕在身份安全核心的不同方面与维度。
图片来源:腾讯研究院、腾讯安全
《2022年混合办公安全白皮书》
混合办公的安全成熟度
事实上,混合办公模式仍在发展演变中,许多企业并不确定自身正在施行的混合办公模式是否高效、安全,他们迫切希望以更加科学的方法来评估自身混合办公模式安全的成熟度。
针对这一问题,腾讯安全率先开启了混合办公安全成熟度的研究。在白皮书中,一套评估混合办公安全成熟度的模型被提出,模型分为6个领域,分别是:架构设计、业务契合度、规章制度、团队配备、技术工具、运营迭代。每个领域,从低到高分为5个等级,分别是:原始、起步、初步成型、成型后发展、成熟中优化。
图片来源:腾讯研究院、腾讯安全
《2022年混合办公安全白皮书》
举个例子,一家拥有30000员工的民营企业,明确了开启混合办公模式的基本原则,并制定了细致的相关规章制度,以及具体的分阶段实施计划。公司改造并实现了混合办公下的身份安全和数据安全的防护,打通了混合办公模式下的业务全流程与相应企业安全体系,并配备了相应的运维保障人员,同时其它部门已有跟安全小组对接的计划。
基于混合办公安全成熟度模型的评估打分,该企业的整体混合办公安全成熟度属于初步成型阶段,即初步形成了有效的混合办公安全体系,且在大多数领域有了实施细节,但在整体混合办公安全体系下,依然有许多不成熟的细节。
例如:企业在技术工具和运维保障方面依然薄弱,需继续重点补齐应用安全、设备安全、网络安全等能力。此外,该企业在业务契合度和团队配置两方面也尚处于初步成型阶段,尤其是以业务契合度作为混合办公安全成熟度的中坚核心,也需要企业进一步将所有业务与其混合办公安全体系进行磨合。
当企业将自身混合办公安全成熟度与混合办公安全“i-DEAN”五要素有机结合起来,就能更清楚地定位自身在混合办公安全领域的发展水平,以及持续发展和优化的方向。
零信任:
混合办公安全的“解药”
可以随处工作的混合办公,恰恰是对工作场景提出最高要求的一种模式,其背后是安全和效率的双重保障。那么企业到底应如何开启混合办公的安全之旅?
目前,以“零信任”为代表的安全理念正在成为集大成者,将“i-DEAN”五要素融为一体。作为一个全面的安全模型,零信任涵盖了身份安全、数据安全、应用安全、网络安全、设备安全等各个方面,致力于构建一个以身份为中心的策略模型以实现动态的访问控制,以保护关键数据或者业务流程。
在混合办公模式兴起的当下,企业网络边界已消失,企业中的人、设备、应用、数据所面临的安全风险都大大提升。零信任不再基于企业网络边界作为信任分界线、默认企业内网访问受信,而是企业网络内外的任何人、设备和应用都需要“持续验证,永不信任”,从而保障企业办公的终端安全、链路安全和访问控制安全。正因如此,零信任成为解决混合办公安全问题的重要技术手段。
不仅如此,对于企业和员工来说,零信任最大的价值点在于能够同时实现安全和效率,这也是企业梦寐以求的公司运营驱动双轮。
作为高效的工具,零信任能让企业快速打通身份账号数据,从企业角度统一对各类终端设备、身份信息进行高效的安全管理,很好地帮助企业提升安全管理和运维的效率;同时,终端用户也可以通过一个零信任客户端直连网络和应用,操作简易且无感,实现快速访问公司内部服务。
事实上,零信任自2010年由研究机构Forrester提出至今已有12年,在技术和市场的交替验证下已逐步成熟,被越来越多的企业积极拥抱。
白皮书调研数据显示,在了解零信任概念的受访者中,22.7%的受访者所在企业零信任产品已经到位,40.2%的受访者所在企业零信任项目正在进行中,22.3%的受访者所在企业零信任项目已经计划好。
图片来源:腾讯研究院、腾讯安全
《2022年混合办公安全白皮书》
蓄势已久的零信任,正在成为保障混合办公安全和效率问题的解药。
零信任落地按下加速键
尽管近年来零信任理念理念在技术圈非常火爆,但由于国内外不同的市场环境,零信任在美国已进入规模化发展阶段,而在中国的落地情况依然不容乐观。
腾讯安全零信任产品总经理杨育斌在采访中表示,目前零信任在落地过程中面临多种难题:一是如何适配多样化终端;二是如何保障异构网络环境下的服务稳定性和安全性;三是如何协同和认证分散的身份账号;四是如何做好最小权限的授权和治理;五是如何实现持续的威胁防护。此外,零信任能否和企业现有安全建设形成联动体系,避免信息安全孤岛,也是现实问题。
值得注意的是,零信任落地从来都不是一蹴而就的事。2011年,谷歌内部开始实施零信任,整整花了6年时间才在企业网实现了零信任落地。在国内,腾讯是最早实践零信任的大型厂商之一,从2016年腾讯开始在公司内部实践零信任整体的体系建设,到2019年腾讯将内部实践对外输出形成商业版iOA零信任安全管理系统,也历经了4年时间。
但肉眼可见,零信任落地步伐在加速。以腾讯零信任iOA为例,推出几年之内已广泛应用于金融、地产、物流、教育、工业等十大行业、数百家企业。就在今年早些时候,腾讯iOA的部署终端突破了100万,成为国内首个落地百万的零信任产品,从市场需求侧证明了零信任在国内的成熟和规模化落地。
以混合办公为代表的远程访问场景,正是国内零信任落地的最佳切入口。
高灯科技作为腾讯iOA第一百万端的客户,在2020年疫情期间,他们使用的传统VPN无法支撑激增的远程办公需求,并且高危漏洞频发。部署腾讯iOA之后,高灯科技实现了终端安全一体化,增强了合规基线的检测和数据安全的管控能力,保证了公司业务稳定、高效地进行。
高灯科技副总裁兼安全负责人莫晓盛在采访中表示,如果按照传统方式需要部署多家厂商的安全产品,但是腾讯iOA作为一个综合性安全平台带来了一整套的防病毒、终端安全管控、VPN转入、数据防泄露等功能,“一个运维人员就可以管理多个平台和系统,防护效果还比传统部署方式要好”。
事实上,和高灯科技面临同样困境的政企机构不在少数。自疫情持续爆发以来,混合办公就成为国内政企机构业务运转的常态,从而使得零信任的发展迎来了新的分水岭。
在这个过程中,腾讯安全也一直在思考如何让零信任更好的落地。
杨育斌表示,零信任已经进入了2. 0时代,无论是在事前、事中、事后,都需要对访问的主体、客体以及环境进行持续监控和防护,基于各维度风险进行实时响应,实现持续自适应风险与信任一体化机制,即“自适应零信任阶段”。因此,零信任解决方案需要在“接、防、管、控”层面做到一体化。
在此背景下,腾讯安全重磅发布了全新升级的零信任安全管理系统——腾讯零信任iOA7. 0 版本。据了解,腾讯零信任iOA7. 0 在可信接入、威胁防护、安全管理、风险控制及全平台覆盖等维度上实现了焕新升级,提升了接入安全性和效率,打造了立体防御体系,实现多平台终端全管控和XDR全程联动响应。
此外,腾讯零信任iOA7. 0在平台覆盖上也提升了产品自适配度,有效支持企业设备和自带设备。这也很好地解决了零信任落地的另一个关键问题,即多厂商的产品异构,让企业很难将零信任与现有安全设备联动起来,并避免企业IT投资的浪费。
为此,腾讯牵头联合生态伙伴共同推动零信任的行业标准化。目前,腾讯零信任标准工作组制定的接口标准,已实现了同18个行业安全厂商的对接。接口标准化促进了企业安全办公体系的融合,进一步优化了办公体验,也让零信任的落地变得更加容易。
结语
后疫情时代,混合办公模式已成为企业新的竞争力来源,安全和效率作为混合办公模式下的必备能力项,为企业IT建设提出了新的挑战,而零信任无疑是解决混合办公安全和效率问题的最佳解药。如今,零信任正在跨越鸿沟进入主流市场。