玉符科技創(chuàng)始人兼CEO石揚(yáng) :零信任的本質(zhì)——基于身份的動態(tài)管控

aqniu
2020年,企業(yè)高管和CISO們的頭號任務(wù)就是數(shù)據(jù)安全和隱私保護(hù),對于擁有海量用戶數(shù)據(jù)的企業(yè)來說,數(shù)據(jù)安全和隱私保護(hù)正面臨三大挑戰(zhàn):合規(guī)、遠(yuǎn)程辦公加速安全邊界消失、數(shù)字化轉(zhuǎn)型(上云)。而零信任正是當(dāng)下企業(yè)渴望的一種能夠應(yīng)對以上挑戰(zhàn)的,全新的網(wǎng)絡(luò)安全防御方法和體系。

安全牛評

2020年,企業(yè)高管和CISO們的頭號任務(wù)就是數(shù)據(jù)安全和隱私保護(hù),對于擁有海量用戶數(shù)據(jù)的企業(yè)來說,數(shù)據(jù)安全和隱私保護(hù)正面臨三大挑戰(zhàn):合規(guī)、遠(yuǎn)程辦公加速安全邊界消失、數(shù)字化轉(zhuǎn)型(上云)。而零信任正是當(dāng)下企業(yè)渴望的一種能夠應(yīng)對以上挑戰(zhàn)的,全新的網(wǎng)絡(luò)安全防御方法和體系。零信任不僅可以保護(hù)整個(gè)企業(yè)范圍內(nèi)的總體邊界,還可以將企業(yè)的安全邊界移動到組織內(nèi)外的每個(gè)網(wǎng)絡(luò)、系統(tǒng)、用戶和設(shè)備從而使更細(xì)粒度和更高效的安全訪問控制成為可能。

總之,零信任架構(gòu)的本質(zhì)是一次(身份管理)安全范型的轉(zhuǎn)移或者變革。因此成功實(shí)施零信任架構(gòu)的決定性因素并非廠商或產(chǎn)品,而是企業(yè)CISO自身對零信任架構(gòu)概念、方法和實(shí)踐路徑的理解。尤其對于中國企業(yè)用戶來說,由于技術(shù)基礎(chǔ)、業(yè)務(wù)、法規(guī)、時(shí)局和市場環(huán)境的特殊性,如何充分正確認(rèn)識零信任落地的挑戰(zhàn)顯得尤為重要,安全牛有幸邀請到玉符科技創(chuàng)始人兼CEO石揚(yáng),為國內(nèi)企業(yè)用戶解讀零信任的概念、現(xiàn)狀和挑戰(zhàn)。

石揚(yáng) 玉符科技創(chuàng)始人兼CEO。曾在微軟總部負(fù)責(zé)Lync產(chǎn)品的開發(fā)。隨后加入Salesforce。創(chuàng)業(yè)前在Facebook擔(dān)任FeedAds以及VideoAds的iOS客戶端的產(chǎn)品技術(shù)負(fù)責(zé)人。

安全牛:零信任這個(gè)概念是在什么樣的背景下提出來的?您是如何理解零信任這一概念的?

石揚(yáng):隨著企業(yè)應(yīng)用開始上云,網(wǎng)絡(luò)環(huán)境日趨復(fù)雜,企業(yè)人員流動日益頻繁,傳統(tǒng)防火墻機(jī)制在面對外部用戶裸奔訪問公有云服務(wù)等潛在危險(xiǎn)時(shí)顯得無力應(yīng)對,網(wǎng)絡(luò)環(huán)境中用戶、設(shè)備、應(yīng)用以及IT資源之間的連接被暴露在高風(fēng)險(xiǎn)環(huán)境中。

傳統(tǒng)網(wǎng)絡(luò)環(huán)境將企業(yè)內(nèi)部網(wǎng)絡(luò)定義為“可信區(qū)域”,這個(gè)區(qū)域內(nèi)部的所有計(jì)算資源可以互相通信,沒有做到權(quán)限最小化原則。一旦有外部黑客攻入內(nèi)網(wǎng),或是企業(yè)內(nèi)部人員想要惡意破壞,就可以在“可信區(qū)域”內(nèi)對企業(yè)計(jì)算資源進(jìn)行大肆攻擊和破壞。

在這種背景下,零信任被提出來,它的核心原則是“Trust no-one. Verify everything”。提倡以身份為邊界作為權(quán)限管控的基礎(chǔ)。進(jìn)一步講,就是零信任認(rèn)為企業(yè)不應(yīng)該自動信任內(nèi)部或外部的任何人/事/物,應(yīng)在授權(quán)前通過動態(tài)和持續(xù)的身份認(rèn)證和評估機(jī)制,對網(wǎng)絡(luò)環(huán)境中的訪問主體人和設(shè)備的危險(xiǎn)等級進(jìn)行科學(xué)準(zhǔn)確判定,采用最小特權(quán)訪問策略,嚴(yán)格執(zhí)行訪問控制,提升所有網(wǎng)絡(luò)實(shí)體連接之間的可信關(guān)系,增加企業(yè)安全保障。

零信任目前有多種流派,比如Forrester的ZTX、Google的BeyondCorp、Gartner提出的CARTA,但是無論哪一種方案實(shí)現(xiàn),身份管理都是其中最核心不變的安全需求。

安全牛:現(xiàn)階段,零信任的發(fā)展態(tài)勢如何?新冠疫情對零信任的發(fā)展有哪些影響?

石揚(yáng):遠(yuǎn)程辦公期間爆發(fā)的數(shù)據(jù)泄露等安全性事件給很多企業(yè)帶來巨大的損失,比如客戶數(shù)據(jù)丟失、生意停擺等,這些都嚴(yán)重威脅到了企業(yè)正常經(jīng)營和品牌聲譽(yù)。遠(yuǎn)程辦公環(huán)境下,企業(yè)IT很難對所有員工的網(wǎng)絡(luò)環(huán)境和應(yīng)用操作行為進(jìn)行精準(zhǔn)識別和判斷,一些和賬號權(quán)限相關(guān)的誤操作及違規(guī)操作極難被監(jiān)控。IT運(yùn)維人員通過VPN就可以訪問企業(yè)內(nèi)部網(wǎng)絡(luò)“可信區(qū)域”,并且在進(jìn)行刪庫等一些高危操作時(shí),缺少審核或是強(qiáng)認(rèn)證機(jī)制。這些都會加劇遠(yuǎn)程辦公下企業(yè)網(wǎng)絡(luò)和應(yīng)用的危險(xiǎn)情況。

遠(yuǎn)程辦公帶來安全性問題的同時(shí),也帶來了效率方面的問題。遠(yuǎn)程辦公期間,企業(yè)微信、釘釘?shù)葏f(xié)同辦公平臺,騰訊會議和zoom等視頻會議平臺被企業(yè)大量采用,如果企業(yè)內(nèi)部人員數(shù)量眾多,在初始化啟用這些應(yīng)用時(shí),IT就會需要為數(shù)量眾多的人員創(chuàng)建賬號權(quán)限,這是十分龐大的工作量,很難在短時(shí)間內(nèi)完成。

零信任機(jī)制中的身份信息集中管理、賬號身份數(shù)據(jù)快速打通、基于策略的訪問控制、多因素認(rèn)證和安全審計(jì)等能力可以很好地幫助企業(yè)解決遠(yuǎn)程辦公中存在的安全性和效率性問題??梢哉f,遠(yuǎn)程辦公極大地催生了企業(yè)對零信任安全機(jī)制,尤其是零信任身份動態(tài)管控的需求。

安全牛:企業(yè)在進(jìn)行零信任模型設(shè)計(jì)的過程中應(yīng)該考慮哪些因素?

石揚(yáng):企業(yè)在設(shè)計(jì)和部署零信任模型的過程中,首先要把所有的數(shù)據(jù)資源和計(jì)算服務(wù)都當(dāng)做資源來對待,比如小內(nèi)存設(shè)備、員工自攜設(shè)備等。其次要確保任意網(wǎng)絡(luò)之間的連接是安全可信的,來自任意網(wǎng)絡(luò)的訪問請求都應(yīng)該滿足相同的安全性要求,并通過加密或是認(rèn)證的方式進(jìn)行可信認(rèn)證。除了這兩點(diǎn)之外,企業(yè)還需要遵循3個(gè)基本原則:

1.在提前建立連接的基礎(chǔ)上對單個(gè)企業(yè)資源進(jìn)行授權(quán)訪問。在對訪問請求進(jìn)行授權(quán)之前需要先對訪問用戶的身份進(jìn)行信任判斷,也就是說只有提前和企業(yè)IT資源建立連接關(guān)系的用戶所發(fā)起的訪問請求才可以被允許。同時(shí),該用戶只允許訪問請求的單個(gè)資源,不允許訪問其他資源。

2.資源訪問授權(quán)是基于上下文屬性的策略組合。上下文包括可以觀測到的用戶身份狀態(tài)、發(fā)起訪問請求的應(yīng)用系統(tǒng)的狀態(tài),以及其他一些行為屬性。企業(yè)只有對資源、用戶、以及用戶和資源訪問授權(quán)的對應(yīng)關(guān)系有清晰的定義,才可以對其所擁有資源進(jìn)行更好的保護(hù)。用戶身份狀態(tài)一般包括其所使用的賬號以及相關(guān)屬性;發(fā)起訪問請求的應(yīng)用系統(tǒng)的狀態(tài)包括比如軟件安裝版本等設(shè)備特征、所處網(wǎng)絡(luò)位置、歷史行為和安裝證書等;行為屬性則包括自動化的用戶和設(shè)備分析,以及觀測模型存在的測量偏差。結(jié)合企業(yè)商業(yè)流程需求,根據(jù)上下文分析得出對應(yīng)的風(fēng)險(xiǎn)等級并自動喚起授權(quán)策略。

3.嚴(yán)格執(zhí)行動態(tài)用戶身份認(rèn)證。企業(yè)可以配備自動化的賬號生命周期系統(tǒng)來對用戶資源訪問授權(quán)進(jìn)行管理,并通過配備多因素認(rèn)證(MFA)能力來增加安全認(rèn)證防護(hù)。在用戶與資源進(jìn)行互動的過程中,系統(tǒng)會根據(jù)定義好的策略對用戶行為進(jìn)行持續(xù)監(jiān)測和再認(rèn)證,比如靜態(tài)密碼加動態(tài)口令的形式,對于一些高危動作則增加多人確認(rèn)機(jī)制,從而確保企業(yè)零信任架構(gòu)在安全性、可用性、可靠性、成本效率配比方面能夠達(dá)到一個(gè)平衡狀態(tài)。

安全牛:結(jié)合國內(nèi)目前的業(yè)務(wù)和市場環(huán)境,您認(rèn)為中國企業(yè)實(shí)施零信任主要面臨哪些挑戰(zhàn)?

石揚(yáng):從宏觀層面來說,國內(nèi)企業(yè)在實(shí)施零信任時(shí)主要會面臨兩方面的挑戰(zhàn):一是建設(shè)周期長。企業(yè)需要對所有的IT資源進(jìn)行梳理,包括設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、甚至是服務(wù)器等,并且需要根據(jù)企業(yè)的業(yè)務(wù)流程和安全防護(hù)要求構(gòu)建新的訪問控制策略。如果企業(yè)資產(chǎn)規(guī)模龐大,業(yè)務(wù)流程復(fù)雜,整個(gè)零信任模型的構(gòu)建周期就會特別長。二是成本高。目前國內(nèi)市場上并沒有出現(xiàn)成熟的零信任解決方案,已經(jīng)實(shí)施零信任的企業(yè)大部分是基于定制化開發(fā)實(shí)現(xiàn)的,在對原有網(wǎng)絡(luò)環(huán)境進(jìn)行升級改造的基礎(chǔ)上,進(jìn)一步對身份認(rèn)證和權(quán)限管理進(jìn)行細(xì)粒度的管控,這些都會增加企業(yè)的IT運(yùn)維成本。

從更深層次來講,零信任的本質(zhì)其實(shí)就是基于身份的訪問控制,即確保正確的用戶可以被分配到正確的訪問權(quán)限,可以在正確的情境下對正確的IT資源進(jìn)行訪問,并且用戶的訪問權(quán)限會被持續(xù)進(jìn)行評估,最終確保訪問授權(quán)的正確性和安全性。單就身份管控這一層面來講,企業(yè)在身份數(shù)據(jù)連接、權(quán)限管理和合規(guī)審計(jì)等細(xì)分層面也會遭遇挑戰(zhàn):

第一,身份數(shù)據(jù)連接。動態(tài)的身份控制需要有豐富的身份數(shù)據(jù)做支撐。中國企業(yè)在管理身份數(shù)據(jù)方面存在不少痛點(diǎn),比如無法對分散在各系統(tǒng)中的身份數(shù)據(jù)進(jìn)行統(tǒng)一管理和分析,應(yīng)用系統(tǒng)間身份數(shù)據(jù)的打通難度高等等,其中最為復(fù)雜的就是系統(tǒng)之間的數(shù)據(jù)異構(gòu)性問題。舉個(gè)簡單例子,在企業(yè)微信和其他身份源系統(tǒng)的對接中,企業(yè)微信系統(tǒng)里的人員信息有個(gè)業(yè)務(wù)字段叫啟用/停用,而源系統(tǒng)中可能有更多個(gè)狀態(tài):待入職、離職等,那怎么把這些信息一一對應(yīng)起來,就是企業(yè)經(jīng)常遇到的一個(gè)身份數(shù)據(jù)連接方面的挑戰(zhàn)。

第二,權(quán)限管理。普華永道在《全球信息安全狀況調(diào)查》中提到了人員安全的重要性,離職和在職員工,已經(jīng)成為信息安全的重要威脅。應(yīng)用訪問權(quán)限是控制應(yīng)用和數(shù)據(jù)安全的第一道門檻,錯(cuò)誤的權(quán)限分配、或是離職員工賬號未關(guān)停、以及日志審計(jì)缺乏必要的分級分權(quán)管理,都會給企業(yè)的安全帶來隱患。企業(yè)只有建立合理的權(quán)限分配和管理制度,才能有效預(yù)防各種因“人禍”引起的信息泄露、黑客攻擊。

第三,合規(guī)審計(jì)。合規(guī)通常分為三種類型:1)法律要求的合規(guī),國內(nèi)例如企業(yè)內(nèi)部控制規(guī)范;2)商業(yè)領(lǐng)域的合規(guī),國內(nèi)例如金融行業(yè)的內(nèi)控指引;3)政府領(lǐng)域的合規(guī),比如國內(nèi)的網(wǎng)絡(luò)安全法和等級保護(hù)。因此,如何通過可視化和系統(tǒng)化的數(shù)據(jù)分析和危機(jī)控制來滿足多維度的合規(guī)審計(jì)要求,比如離職員工權(quán)限管控、僵尸賬號審計(jì)等,也是國內(nèi)企業(yè)面臨的挑戰(zhàn)之一。

安全牛:在您看來,一個(gè)成熟的零信任模型應(yīng)該是怎樣的?

石揚(yáng):零信任概念是在突破舊的邊界或模式下,利用更成熟的技術(shù)、更先進(jìn)的科技、更安全的算法,突破舊的安全瓶頸,將企業(yè)或組織的安全水平提升到全新的級別。

一個(gè)現(xiàn)代化的零信任模型表面層依舊是用戶(與設(shè)備)、策略權(quán)限引擎和企業(yè)的應(yīng)用服務(wù)、機(jī)器資源(IDC/IaaS),這一層是用戶容易感知的,也是最常被討論到的。尤其是權(quán)限策略引擎,新的零信任環(huán)境下,我們往往需要重新搭建一個(gè)高性能可橫向擴(kuò)展的權(quán)限引擎,處理更復(fù)雜更細(xì)粒度的訪問策略。然而在表層之下還有很多不可或缺的重要模塊,恰恰是使得無邊界的零信任訪問成為可能的關(guān)鍵,包括企業(yè)統(tǒng)一身份管理目錄、密鑰管理系統(tǒng)KMS(或公鑰基礎(chǔ)設(shè)施PKI)、風(fēng)險(xiǎn)評估、SIEM等。

企業(yè)統(tǒng)一身份管理目錄

一個(gè)有一定規(guī)模的企業(yè)內(nèi)原本就存在著復(fù)雜的資源類型以及相應(yīng)的權(quán)限模型,例如機(jī)器、各類應(yīng)用服務(wù)、角色,還有大量的應(yīng)用策略,現(xiàn)在,我們還需要關(guān)心很多其他維度(“什么地點(diǎn)”、“什么網(wǎng)絡(luò)環(huán)境”、“什么訪問設(shè)備”等),可以毫不夸張地說,整個(gè)企業(yè)管理目錄的復(fù)雜度將提高2-3個(gè)數(shù)量級。我們實(shí)際就遇到過一個(gè)大型企業(yè),在改造完的目錄中,單單應(yīng)用的訪問控制列表(ACL)有4百萬條左右的規(guī)則,原有的目錄體系已經(jīng)無法支撐和處理這樣的數(shù)據(jù)量級,利用分布式數(shù)據(jù)庫來重新設(shè)計(jì)和搭建統(tǒng)一目錄成為了唯一途徑。

密鑰管理系統(tǒng)KMS

企業(yè)內(nèi)幾乎所有應(yīng)用都需要管理各種各樣的私密信息,從個(gè)人的登陸密碼、到生產(chǎn)環(huán)境的Key以及數(shù)據(jù)庫登錄信息、API認(rèn)證信息等。但傳統(tǒng)做法會將這些秘密信息保存在某個(gè)文件中,這種方式弊端很多,比如跨團(tuán)隊(duì)分享存在安全隱患、文件格式難以維護(hù)、私密信息難以回收等。

密鑰管理系統(tǒng)作為企業(yè)統(tǒng)一的一套系統(tǒng)或工具來處理私密信息的方方面面,大大提高了在零信任模式下企業(yè)這些秘密信息的安全性,需包含但不限于以下設(shè)計(jì):

1.提供穩(wěn)定成熟的密鑰管理API,讓企業(yè)內(nèi)開發(fā)者輕松添加創(chuàng)建密鑰信息、應(yīng)用程序能獲取和使用私密信息;

2.支持不同策略更新私密信息、適時(shí)回收私密信息;

3.提供基本PKI設(shè)施,為企業(yè)內(nèi)所有的應(yīng)用服務(wù)訪問提供256位SSL加密證書支持,最好全部服務(wù)都是強(qiáng)制HTTPS連接;

4.服務(wù)內(nèi)的敏感信息也只緩存在受保護(hù)的內(nèi)存空間內(nèi)(Security Barrier),而不存在于任何持久化存儲內(nèi)(禁SWAP)。即使黑客攻破服務(wù)器的文件系統(tǒng)也無法獲得有用信息。

風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估往往可能是多個(gè)服務(wù),例如人工智能評估引擎、威脅評估引擎等,這類服務(wù)基于歷史和當(dāng)前的訪問信息,甚至還有來自企業(yè)的外部數(shù)據(jù),主動發(fā)現(xiàn)企業(yè)內(nèi)潛在的攻擊行為或漏洞,從而標(biāo)志出高危險(xiǎn)人群、DNS黑名單等,實(shí)時(shí)檢測到有高危風(fēng)險(xiǎn)的用戶行為,自動或根據(jù)設(shè)置調(diào)整用戶的權(quán)限等級,進(jìn)而減少企業(yè)損失。

SIEM與日志審計(jì)

企業(yè)需部署一套審計(jì)系統(tǒng),永久保留所有內(nèi)部系統(tǒng)的操作日志,可對每位員工、設(shè)備的操作進(jìn)行全時(shí)全方位的審計(jì):

1.防止任何運(yùn)行時(shí)的敏感數(shù)據(jù)被記錄,嚴(yán)格日志規(guī)范,加入代碼審查;

2.統(tǒng)一的日志系統(tǒng),可審計(jì)用戶在各個(gè)系統(tǒng)的行為,跨系統(tǒng)檢測異常操作;

3.嚴(yán)格限制內(nèi)部員工訪問權(quán)限,需在足夠授權(quán)下才進(jìn)行訪問或修改。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論