2019年年底，突如其來的疫情讓遠程辦公的需求猛增，同時，傳統(tǒng)VPN產(chǎn)品也爆出高危漏洞，擴容非常不便，遠程接入的數(shù)據(jù)安全問題和數(shù)據(jù)防泄露問題，成為了擺在企業(yè)面前的一道難題。

于是，一個稱之為“零信任”的整體輕量化解決方案熱度持續(xù)攀升，因其解決了遠程辦公、終端辦公、數(shù)據(jù)安全等場景的安全難題。

所謂“零信任”，核心就是默認情況下不信任企業(yè)網(wǎng)絡內(nèi)外的任何人、設備和系統(tǒng)，需要基于身份認證和授權(quán)重新構(gòu)建訪問控制的信任基礎。簡單來說，零信任的策略就是“持續(xù)驗證、永不信任”。

近日，高燈科技進行了騰訊零信任安全管理系統(tǒng)（騰訊iOA）的擴容部署。此次擴容后，騰訊iOA部署終端正式突破了100萬，成為了國內(nèi)首個突破百萬終端的零信任產(chǎn)品，產(chǎn)品部署覆蓋了金融、物流、醫(yī)療、地產(chǎn)、高教等十多個行業(yè)、數(shù)百家企業(yè)，產(chǎn)品的成熟度和商業(yè)交付能力得到了各個行業(yè)的廣泛認可。

騰訊iOA零信任解決方案優(yōu)越性何在？突破100萬端意味著什么？高燈科技為什么選擇騰訊iOA？投資家網(wǎng)與騰訊零信任產(chǎn)品總經(jīng)理楊育斌和高燈科技副總裁兼安全負責人莫曉盛對此展開了深入交流。

零信任熱潮后，商業(yè)化何在？

業(yè)界第一個將零信任安全模型進行落地實踐的公司是Google，早在2011年，Google就開始實施BeyondCorp項目，目的就是讓Google員工可以在不借助VPN的情況下通過網(wǎng)絡開展工作。Beyondcorp成為當時零信任領(lǐng)域教科書級別的存在，但Google并沒有將自身成功的實踐經(jīng)驗變成一個商業(yè)化產(chǎn)品，投入市場。直到2021年，Google才推出適用于第三方企業(yè)的商業(yè)化零信任產(chǎn)品BeyondCorp enterprise。

國內(nèi)來說，2019年9月，工信部公開征求對《關(guān)于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見(征求意見稿)》，將“零信任安全”列入需要“著力突破的網(wǎng)絡安全關(guān)鍵技術(shù)”。政策的支持和鼓勵，疊加遠程辦公的需求暴增，零信任行業(yè)迅速百花齊放。

零信任本質(zhì)上是一種以身份為基石，革新了安全架構(gòu)的新一代安全解決方案，以業(yè)務安全訪問為保障，這種持續(xù)信任評估和動態(tài)訪問控制的機制讓企業(yè)安全架構(gòu)更加安全，提升了安全能力，降低了運維成本，因此成為重構(gòu)安全防御體系的新趨勢。

相比于傳統(tǒng)層層設防的辦公方式，零信任是在遠程辦公和混合辦公場景下可以迅速落地的一個輕量化解決思路。因此，布局零信任的不乏大廠商、傳統(tǒng)安全廠商和初創(chuàng)型中小廠商。

目前，零信任行業(yè)魚龍混雜，很多只是傳統(tǒng)的產(chǎn)品換了個包裝，并不是真正的零信任解決方案；其次，很多號稱有零信任產(chǎn)品的廠商其實還沒有真正的商業(yè)化，只是處于一個產(chǎn)品自用的階段，還在探索怎么落地到外部客戶。

過去幾年，Google、IBM、Cisco、騰訊、阿里巴巴、奇安信等公司紛紛投身零信任的研發(fā)和實踐，有的在企業(yè)實現(xiàn)了內(nèi)部部署，有的則走出“自用”，實現(xiàn)了百萬終端的落地。

突破百萬終端，零信任從理念走向現(xiàn)實

在國內(nèi)，騰訊屬于最早進行零信任安全實踐的科技公司。

與Google一樣，騰訊iOA起初也只是騰訊內(nèi)部一個自用的產(chǎn)品，用以保證分布在全球各地的騰訊員工安全高效地開展工作。一些聽聞了騰訊iOA內(nèi)部使用效果的公司，打聽這個產(chǎn)品是否有商業(yè)化版本。隨著類似的問詢逐漸增多，騰訊iOA團隊認真考慮了商業(yè)化的可能性之后，2019年決定將騰訊iOA形成商業(yè)化產(chǎn)品對外輸出。

高燈科技正是當時咨詢騰訊iOA的企業(yè)之一，高燈科技在2020年初正式在內(nèi)部部署騰訊iOA產(chǎn)品，因業(yè)務需要不斷擴大部署，至今年5月，成為騰訊iOA第一百萬終端部署所在企業(yè)。

作為一家財稅科技公司，高燈科技以發(fā)票數(shù)字化為基礎，通過構(gòu)建去人工化、在線化、科技合規(guī)的行業(yè)專業(yè)云設施，面向企業(yè)和監(jiān)管提供財稅合規(guī)及交易合規(guī)管理平臺，并構(gòu)建了“以納稅人數(shù)字化”為底層的合規(guī)服務平臺。

高燈科技副總裁兼安全負責人莫曉盛將公司選擇騰訊iOA的原因總結(jié)為以下幾點：首先是外因，2019年年底，突如其來的疫情讓遠程辦公的需求猛增，高燈科技也不例外。更重要的還是內(nèi)需，隨著企業(yè)不斷的發(fā)展，高燈科技在全國有非常多的分公司，員工數(shù)量也不斷增長。在這個時候傳統(tǒng)的“基于邊界的安全模型”就力不從心了。

另外，作為一家做財稅服務的企業(yè)，高燈科技對數(shù)據(jù)安全高度敏感，其業(yè)務對數(shù)據(jù)依賴程度很高，是影響公司生存的核心要素，再考慮到最近接連出臺的相關(guān)政策法規(guī)，數(shù)據(jù)安全的重要性不言而喻。

作為使用者，高燈科技信息安全專家王凱總結(jié)了騰訊iOA與傳統(tǒng)解決方案的不同。

傳統(tǒng)的辦公網(wǎng)絡安全依靠VPN、防火墻、上網(wǎng)行為管理、堡壘機、后臺服務等產(chǎn)品組合，類似鏈路模式。每個員工的PC端上要裝多個客戶端，由于這些產(chǎn)品來自不同的廠商，之間無法聯(lián)動，沒有辦法發(fā)揮最大的安全效果。

騰訊iOA是一個端到端的、整體的、輕量化的零信任解決方案，帶來的不僅僅是功能，是一個集合了防病毒、安全管控、零信任接入、數(shù)據(jù)防泄露等多套系統(tǒng)綜合性平臺。表面上看起來它是一個終端的形態(tài)，但實際上它的后臺非常豐富而且飽滿，大大提升了企業(yè)的能效比。

零信任理念標準化體系仍需完善

零信任并不是一個產(chǎn)品，它是一個理念，是一套整體的解決方案，它肯定是需要跟網(wǎng)絡連接、身份體系認證、鏈路優(yōu)化等等打通，在如此復雜的安全策略的情況下還能做到用戶無感體驗，難度并不小。

現(xiàn)如今各家的實踐雖然遵循其倡導的基本原則，但是在實際研發(fā)和應用的過程中，因各自所面臨的實際情況不同，又各有偏重。缺乏標準，則導致許多產(chǎn)品沒法聯(lián)動。

騰訊iOA產(chǎn)品總經(jīng)理楊育斌表示，零信任行業(yè)亟需建立零信任標準，促進行業(yè)和生態(tài)的健康發(fā)展。零信任最終雖然大家可以百花齊放，但是一定是從標準化層面或者接口對接層面，真正能做到一個非常完善的保護體系。

在2021年7月，騰訊牽頭起草中國第一部《零信任系統(tǒng)技術(shù)規(guī)范》，填補了國內(nèi)零信任領(lǐng)域的技術(shù)標準空白。2021年11月，騰訊牽頭的全球首個零信任國際標準——《服務訪問過程持續(xù)保護指南》，由ITU-T國際標準正式通過發(fā)布，從而推動了全球零信任標準化應用。

值得一提的是，騰訊零信任標準工作組制定的接口標準，已實現(xiàn)了同18個行業(yè)安全廠商的對接，接口標準化促進了企業(yè)安全辦公體系的融合，也進一步優(yōu)化了辦公體驗。

楊育斌稱：“未來更重要的是建立零信任標準，促進行業(yè)和生態(tài)的健康發(fā)展。推動標準化，推動行業(yè)共識，零信任才能真正實現(xiàn)百花齊放。”