腾讯既是企业产品的服务商又是使用者,很多产品最原始的出发点最早只是为了解决腾讯自身某一个需求,经过不断地发展完善和业务场景锤炼,最终进化成一个成熟的企服产品。本系列文章讲述的是这样一组Made in Tencent故事,这是系列的第一篇。
导读:2022年5月,腾讯宣布办公终端安全产品零信任iOA部署量超过100万。这不仅是腾讯自身的里程碑,也是零信任在中国商业化落地的一个标志性事件,它验证了零信任在规模化商用上的可落地性。
这不是偶然,是一个腾讯自身内网办公安全厚积薄发和新IT浪潮不谋而合的故事。
2016年7月,WeWork获A轮融资,估值高达160亿美元。这家始于2011年的共享办公空间鼻祖,经历了几年发展后,成为一时无两的当红炸子鸡。同年,WeWork也正式进入中国市场。
WeWork在资本市场的成功是一个缩影,它反映的是“移动办公”这个被IT行业心心念念了很多年的夙愿,在21世纪的第二个十年,终于在全球形成了燎原之势。
从天时地利人和的角度,网络和基础设施的发展是一方面,另一方面是在终端硬件上,智能手机的普及,相当于人人有了一台便携微型电脑——它能完成审批、收发邮件、编写文档、处理工作流——让移动办公具备了硬件上的可能性。
Anytime、Anywhere都可以工作,当这种愿望从个体行为变成一种组织行为,这就为企业的IT部门带来了一些工程实现上的问题。对于腾讯来说,支撑腾讯几万员工无论在哪里都能在远程接入公司内网工作,保障安全和易用,就是IT部的职责所在。
始于安全
很多人潜意识里会把零信任办公产品和VPN、远程办公划上一个等号,其实从语干上看,远程办公首先是“办公”其次才是“远程”。对于一个企业IT部门来说,办公的问题首先是安全的问题——这很容易理解,假设你是一个网吧的管理员,你做“网管”的第一件事情也是给每一台电脑装上一个杀毒软件。
2006年前后,腾讯企业IT部门投入了重兵在办公环境的安全治理,自研了企业安全防护和工作环境管理工具iOA。知名安全媒体《浅黑科技》对于早期iOA做过一个贴切的“画像”:
- 你喜欢电脑裸奔没问题,但iOA如果监测不到杀毒软件,就不允许你进入工作程序;
- 你记不住给系统打补丁,iOA会在补丁出来的第一时间,强制为你的电脑打上;
- 你忘记关闭电脑的高危端口,iOA直接帮你关闭;
- 你的电脑感染了木马病毒,iOA会自动清理;
- ……
总结起来,iOA就是一个给每一个企业员工终端配备了一个金钟罩铁布衫,保护办公系统不受坏人攻击。
做了这么多工作,听起来似乎电脑除了干这些也没法再做别的工作了。但是腾讯iOA的厉害之处在于,在完成这么多任务的情况下,它的性能损耗能压缩在单核CPU的5%以下。
罗马不是一天建成的,腾讯iOA也不是。从2006年开始,到移动办公浪潮起来之前,已经过去了差不多十年,这十年间,腾讯iOA经历了防御普通的病毒木马、职业黑客、到后来的APT攻击几个完整的技术代际更迭,“无论是对抗广谱病毒木马还是APT木马,我们都有很好的防范能力。”企业IT部企业安全中心高级总监蔡晨总结。
前移动办公时代也有很多精彩的故事,但这不是我们今天要说的主题。重点是,正是因为在安全能力上的积累,给了他们后来“打破边界”的底气。
移动办公时代到来了
远程办公,意味着传统意义上以硬件和局域网络组成的“内网”逻辑不复存在,用户需要在远程设备上通过网关接入内网,要对这样的访问放行,企业安全部门至少要问一个问题:这个用户可信吗?
VPN的诞生就是为了解决这个问题。VPN就像是一条只有“自己人”知道的小路,员工可以通过这条加密通道访问企业数据中心、办公网。它的认证方式是口令认证,只要你输入了对的账号密码,它就默认你是自己人。
远程办公不是这两年才出现的新场景,一直以来,因为员工出差、恶劣天气等原因,很多企业都需要时不时地开展远程办公,而VPN在很长时间内都是唯一选择。
但不难看出,VPN有明显的缺陷:第一,它是“小路”,只能容纳比较小的工作traffic,例如远程审批、收发邮件、远程登录到内网本地机器完成一些特定工作;第二,VPN使用的长连接机制,连接速度缓慢,抗网络抖动性差,“只要丢包超过30%或者延时超过200毫秒,一定会掉线”。
第三,也是最重要的,VPN只认口令,而口令是可以被窃取、被爆破的。VPN用户只要通过远程鉴权(甚至都不一定是双重鉴权),就可以进入内网,接着就可以在内网横行无阻——这意味着,如果用户的终端被病毒感染,或者VPN账号被爆破,它就能被黑客用来充当“肉鸡”或者攻击内网的工具。
在移动互联网发展起来之前,远程办公多数是一些临时的、突发的需求,不是常态,因此即便VPN不好用是众所周知,但它依然有其长期存在的市场基础。但当移动办公成为一个高频需求,VPN就愈发显得捉襟见肘。
为了解决安全隐患,蔡晨团队决定多问几个问题:
“端是不是可信?人是不是可信?进程可不可信?每一个数据包,你是不是要校验里面的设备信息人身份信息、进程信息?你访问的业务系统是不是要被授权?”
他们后来才知道,这种什么都要校验、一直校验的想法,国际上有一个专业的名字叫“零信任”,它的核心思想就是“持续验证,永不信任”。
当腾讯企业IT部的人正在尝试新的“无边界访问”方法的时候,他们看到了谷歌发布的一篇论文《BeyondCorp:一种新的企业安全方案》,知道了大洋彼岸的另一端,世界上另一个前沿的科技公司也在用同样的思路解决同样的困扰。
“谷歌BeyondCorp的目标是摒弃对企业特权网络(内网)的依赖并开创一种全新安全访问模式,在这种全新的无特权内网访问模式下,访问只依赖于设备和用户身份凭证,而与用户所处的网络位置无关。无论用户是在公司“内网”、家庭网络、酒店还是咖啡店的公共网络,所有对企业资源的访问都要基于设备状态和用户身份凭证进行认证、授权和加密。”
距今一万多年前,西亚新月沃地和中国黄河流域分别独立完成了粮食的驯化;11-12世纪,中国四川开始使用“交子”作为货币符号,而欧洲圣殿骑士团也发明了汇票——历史总是相似,面对同一类问题,人们最终都会走向相同的解决思路。
谷歌在论文中没有写具体是如何实施的,但它坚定了腾讯企业IT部的信心:这个方向是对的。
2017 年,在经过一段时间的原型验证后,腾讯企业IT部正式启动 iOA NGN(Next Gerneration Network)项目,用零信任的思想重构iOA产品。他们的目标概括起来是4个A:Anytime、Anywhere、AnyDevice和AnyWork,让员工在任何时候、任何地方、任何设备接入内网完成任何内容的工作。
依托于零信任理念,腾讯iOA NGN把安全性和易用性这对冰与火奇迹般地融合在了一起。它利用一切可用的方式在后台对用户的设备、ID、访问进程、权限始终进行校验,但在前端,用户的感受就是“一键登录”。此外,iOA NGN采用短链接的方式,对于弱网络、丢包有很高的容忍度,告别了VPN时代的频繁掉线、半天连不上的困扰。
依托于腾讯云的计算资源部署的就近接入点,员工无论身在网络状况良好的城市CBD、小运营商遍布的城中村,还是春节回老家在乡下时断时续的网络,无论是出差荷兰还是日常办公地在河南,任何地方都能丝滑地接入内网。很快iOA NGN就迎来了第一批用户,并且通过口碑传播自发增长。
“最早一批使用的是运维的用户,他们自己去告知周边的人去使用iOA的新版本;还有一些部门管理者去国外出差,用了新版本的iOA发现体验很好,就会在自己的管理范围内去推。”企业IT部资深工程师蔡东赟回忆。
除了内部的口碑传播,一些互联网厂商的同行不知道从哪里打听到腾讯的iOA,也来拜访交流。“RSA(按:国际上最富盛名的安全会议)上也在讲零信任,创新沙盒里也有零信任创业公司,所以很多很关注技术进展的同行也来跟我们交流,看看我们是怎么做的。”
腾讯企业IT部人群的主要构成是工程师,他们和同行交流以及后来帮腾讯CSIG团队做商用版iOA的技术支持,主要的驱动力都是很典型的Geek们的想法:他们做了一个好东西 ,他们希望和别人分享,希望别人评价一句“牛*”。
我们能承接几万人同时在线办公吗?
你开了一家披萨店,只能同时容纳50个人吃饭。开张那一天,同一条街竞争对手为了妨碍你做生意,雇了100个人坐在餐厅占满了位置,什么都不点,让潜在的客人没法就餐——在计算机领域,这种对目标网站在较短的时间内发起大量请求,消耗目标网站的主机资源以致其服务器瘫痪的做法,就是DDoS(denial of service)攻击。
设想一下,一个企业如果只配备了基础的VPN,如果有一天遇到突发情况,全员都需要远程办公,对于规模数万或者十数万人的企业来说,这种情况就相当于“人肉DDoS”。
2020年2月初,新冠来势汹汹。为了防止病毒扩散,很多城市开始采取了限制人员流动的隔离管控措施,复工时间一再推迟,但企业的经营不能中断,于是很多企业转而通过开展居家办公保持“停工不停业”。
彼时,腾讯作为一个拥有众多国民级产品的企业,微信、QQ、企业文档、腾讯会议,以及腾讯CSIG还服务着众多企业客户——在线教育、健康码、数字政务、衣食住行的服务平台,在人员不能自由流动的时候——腾讯员工需要投入比平时更多时间来维护这些数字设施的运转,腾讯会议“40天更新迭代了14个版本”、“8天扩容100万核”就是发生在这期间。
数万名员工需要在远程同时接入内网办公,而且是“全尺寸”办公——不再是临时性的,不再可以把一些复杂的工作留到“明天去公司再说”,他们需要在家里完成和在内网一模一样的工作内容。比方说对于开发人员来说,一个代码仓库就有十几、二十G,开发人员需要下载到本地机器上去做开发运维,如果用VPN,需要加流量、买VPN设备,而疫情期间厂家有没有现货、快递是否通畅、厂家有没有人能部署上架这些设备——在当时的疫情状况下,每一项工作的推进都存在很大的不确定性。
“关键是这也已经不是带宽的问题,这是一个技术需要革新的问题。”蔡晨说。
得益于2017年就开始的iOA NGN项目,腾讯iOA从一万多人使用到支持全员使用,看起来这么浩大的工程前后只用了4天时间,而且被紧急召唤到项目组的IT部员工很多当时都在老家。“因为全是自研的,本身就是平行扩展架构的,对于疫情来的时候对我们来说只需要做一个事情,能够调度资源加入了集群里面去就可以。”蔡晨说道。
2月10日,春节后复工的第一日,8点,系统上显示远程在线办公的员工数近3 万;到11点半左右,5万腾讯员工同时在线,所有的工作都在有条不紊地开展。
之后大概有一个月的时间,腾讯的数万员工都是在家里远程工作。这丝毫没有影响运转效率,5月13日,腾讯发布2020年第一季度业绩报告,2020年Q1腾讯营收1080.65亿元,同比增长26%,环比增长2%。
这次考验之后,腾讯iOA完成了它的“成人礼”,它从技术和工程实现上验证了一个大型企业全员全尺寸的远程办公是完全可行的。
打破边界
2018年,某地政务部门着手建设全省集中的一体化云平台,预期要在2021年1月上线。
2020年初,正是项目攻坚时期。政务系统的安全性要求极高,一直以来都是要求软件开发商驻场开发,几百名来自几十个技术供应商的开发人员被安排在一个酒店会议层改建的临时办公点,集中进行开发攻坚工作。
疫情突然爆发,集中开发是不可能了——而这种90%的工作内容是开发和运维工作的项目,用VPN根本无法胜任。这时候,在场的一位腾讯云的工程师给负责人演示了自己电脑上的腾讯iOA——在远程接入的情况下,它既满足安全,又能提供和驻场一样的开发环境。对于一个开发人员来说,从VPN切换到iOA,体验不啻于解除封印。
当时,腾讯iOA已经有了对外的商用版产品,可以直接快速部署,这个项目很快采用了零信任iOA。第二年1月,项目一期也如期上线。
腾讯iOA有两次“打破边界”的尝试,第一次是产品意义上用零信任理念重构产品架构,消弭了内网和外网的差别,让员工在任何地点都可以自如接入企业内网;第二次打破边界是从腾讯走出去,变成一个企业级服务产品。从2018年10月腾讯云 峰会上,腾讯宣布推出内网安全产品,到今天,腾讯iOA已经被很多物流、房产中介、能源、泛互联网等企业客户采纳。2022年5月份,腾讯iOA终端部署超过100万。
一个崭新的东西被市场接纳,过程并不是一帆风顺。“每个厂商和甲方都有自己的理解,有人觉得零信任就是IAM,有人觉得零信任是动态口令,有人说是数据沙盒——甚至有拿上网行为管理系统的技术指标说要招标零信任产品。”腾讯安全总经理王宇说道。
在推动商业化落地过程中,腾讯CSIG做了很多市场教育和普及的工作,频频参与各种行业峰会和技术沙龙进行“布道”;也和一些对前沿技术接受度比较高的客户贴身合作,打磨行业应用样板。为了促进共识的形成,腾讯还做了几件重要的事情:
- 2019年,推动国际上首个零信任安全技术标准(《服务访问过程持续保护指南》)立项,并于2年后的2021年底正式发布;
- 2020年6月24日,腾讯联合零信任领域多家权威产学研用机构共同成立国内首个“零信任产业标准工作组”;
- 2021年7月,腾讯牵头起草,联合公安部第三研究所、国家计算机网络应急技术处理协调中心、中国移动设计院等业内16家零信任厂商、测评机构及用户编制的中国第一部《零信任系统技术规范》;
- ……
“(测评规范的发布)是个巨大的里程碑,证明这个领域从客户到厂家各方的数量或者市场需求整个链条已经正向在流转,才会有需要引入第三方来做评测。”
去年,位于上海的一家企服厂商共启网络做出了一个大胆的决策:投入20多个人力学习腾讯iOA产品的安装、实施、部署、运维,成为腾讯iOA的CSP(认证服务厂商)。对于一家总人数都不超过100人的企业来说,这是很重大的一个投入,决定了公司未来几年的发展状况。和共启一样,茗格科技、功勋网络……更多在企业服务领域摸爬滚打多年的软件和渠道商都选择成为了腾讯iOA的合作方。
梧桐一叶而天下知秋,作为天天和客户近距离打交道的专业企服厂商,他们一定是从众多客户的需求中嗅到了什么新的机会——毕竟,不管是什么行业的企业,谁不需要一个又安全又高效的办公安全系统呢?