信息化觀察網(wǎng)

安全牛評

2020年，企業(yè)高管和CISO們的頭號任務(wù)就是數(shù)據(jù)安全和隱私保護(hù)，對于擁有海量用戶數(shù)據(jù)的企業(yè)來說，數(shù)據(jù)安全和隱私保護(hù)正面臨三大挑戰(zhàn)：合規(guī)、遠(yuǎn)程辦公加速安全邊界消失、數(shù)字化轉(zhuǎn)型（上云）。而零信任正是當(dāng)下企業(yè)渴望的一種能夠應(yīng)對以上挑戰(zhàn)的，全新的網(wǎng)絡(luò)安全防御方法和體系。零信任不僅可以保護(hù)整個(gè)企業(yè)范圍內(nèi)的總體邊界，還可以將企業(yè)的安全邊界移動到組織內(nèi)外的每個(gè)網(wǎng)絡(luò)、系統(tǒng)、用戶和設(shè)備從而使更細(xì)粒度和更高效的安全訪問控制成為可能。

總之，零信任架構(gòu)的本質(zhì)是一次（身份管理）安全范型的轉(zhuǎn)移或者變革。因此成功實(shí)施零信任架構(gòu)的決定性因素并非廠商或產(chǎn)品，而是企業(yè)CISO自身對零信任架構(gòu)概念、方法和實(shí)踐路徑的理解。尤其對于中國企業(yè)用戶來說，由于技術(shù)基礎(chǔ)、業(yè)務(wù)、法規(guī)、時(shí)局和市場環(huán)境的特殊性，如何充分正確認(rèn)識零信任落地的挑戰(zhàn)顯得尤為重要，安全牛有幸邀請到玉符科技創(chuàng)始人兼CEO石揚(yáng)，為國內(nèi)企業(yè)用戶解讀零信任的概念、現(xiàn)狀和挑戰(zhàn)。

石揚(yáng) 玉符科技創(chuàng)始人兼CEO。曾在微軟總部負(fù)責(zé)Lync產(chǎn)品的開發(fā)。隨后加入Salesforce。創(chuàng)業(yè)前在Facebook擔(dān)任FeedAds以及VideoAds的iOS客戶端的產(chǎn)品技術(shù)負(fù)責(zé)人。

安全牛：零信任這個(gè)概念是在什么樣的背景下提出來的？您是如何理解零信任這一概念的？

石揚(yáng)：隨著企業(yè)應(yīng)用開始上云，網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，企業(yè)人員流動日益頻繁，傳統(tǒng)防火墻機(jī)制在面對外部用戶裸奔訪問公有云服務(wù)等潛在危險(xiǎn)時(shí)顯得無力應(yīng)對，網(wǎng)絡(luò)環(huán)境中用戶、設(shè)備、應(yīng)用以及IT資源之間的連接被暴露在高風(fēng)險(xiǎn)環(huán)境中。

傳統(tǒng)網(wǎng)絡(luò)環(huán)境將企業(yè)內(nèi)部網(wǎng)絡(luò)定義為“可信區(qū)域”，這個(gè)區(qū)域內(nèi)部的所有計(jì)算資源可以互相通信，沒有做到權(quán)限最小化原則。一旦有外部黑客攻入內(nèi)網(wǎng)，或是企業(yè)內(nèi)部人員想要惡意破壞，就可以在“可信區(qū)域”內(nèi)對企業(yè)計(jì)算資源進(jìn)行大肆攻擊和破壞。

在這種背景下，零信任被提出來，它的核心原則是“Trust no-one. Verify everything”。提倡以身份為邊界作為權(quán)限管控的基礎(chǔ)。進(jìn)一步講，就是零信任認(rèn)為企業(yè)不應(yīng)該自動信任內(nèi)部或外部的任何人/事/物，應(yīng)在授權(quán)前通過動態(tài)和持續(xù)的身份認(rèn)證和評估機(jī)制，對網(wǎng)絡(luò)環(huán)境中的訪問主體人和設(shè)備的危險(xiǎn)等級進(jìn)行科學(xué)準(zhǔn)確判定，采用最小特權(quán)訪問策略，嚴(yán)格執(zhí)行訪問控制，提升所有網(wǎng)絡(luò)實(shí)體連接之間的可信關(guān)系，增加企業(yè)安全保障。

零信任目前有多種流派，比如Forrester的ZTX、Google的BeyondCorp、Gartner提出的CARTA，但是無論哪一種方案實(shí)現(xiàn)，身份管理都是其中最核心不變的安全需求。

安全牛：現(xiàn)階段，零信任的發(fā)展態(tài)勢如何？新冠疫情對零信任的發(fā)展有哪些影響？

石揚(yáng)：遠(yuǎn)程辦公期間爆發(fā)的數(shù)據(jù)泄露等安全性事件給很多企業(yè)帶來巨大的損失，比如客戶數(shù)據(jù)丟失、生意停擺等，這些都嚴(yán)重威脅到了企業(yè)正常經(jīng)營和品牌聲譽(yù)。遠(yuǎn)程辦公環(huán)境下，企業(yè)IT很難對所有員工的網(wǎng)絡(luò)環(huán)境和應(yīng)用操作行為進(jìn)行精準(zhǔn)識別和判斷，一些和賬號權(quán)限相關(guān)的誤操作及違規(guī)操作極難被監(jiān)控。IT運(yùn)維人員通過VPN就可以訪問企業(yè)內(nèi)部網(wǎng)絡(luò)“可信區(qū)域”，并且在進(jìn)行刪庫等一些高危操作時(shí)，缺少審核或是強(qiáng)認(rèn)證機(jī)制。這些都會加劇遠(yuǎn)程辦公下企業(yè)網(wǎng)絡(luò)和應(yīng)用的危險(xiǎn)情況。

遠(yuǎn)程辦公帶來安全性問題的同時(shí)，也帶來了效率方面的問題。遠(yuǎn)程辦公期間，企業(yè)微信、釘釘?shù)葏f(xié)同辦公平臺，騰訊會議和zoom等視頻會議平臺被企業(yè)大量采用，如果企業(yè)內(nèi)部人員數(shù)量眾多，在初始化啟用這些應(yīng)用時(shí)，IT就會需要為數(shù)量眾多的人員創(chuàng)建賬號權(quán)限，這是十分龐大的工作量，很難在短時(shí)間內(nèi)完成。

零信任機(jī)制中的身份信息集中管理、賬號身份數(shù)據(jù)快速打通、基于策略的訪問控制、多因素認(rèn)證和安全審計(jì)等能力可以很好地幫助企業(yè)解決遠(yuǎn)程辦公中存在的安全性和效率性問題?？梢哉f，遠(yuǎn)程辦公極大地催生了企業(yè)對零信任安全機(jī)制，尤其是零信任身份動態(tài)管控的需求。

安全牛：企業(yè)在進(jìn)行零信任模型設(shè)計(jì)的過程中應(yīng)該考慮哪些因素？

石揚(yáng)：企業(yè)在設(shè)計(jì)和部署零信任模型的過程中，首先要把所有的數(shù)據(jù)資源和計(jì)算服務(wù)都當(dāng)做資源來對待，比如小內(nèi)存設(shè)備、員工自攜設(shè)備等。其次要確保任意網(wǎng)絡(luò)之間的連接是安全可信的，來自任意網(wǎng)絡(luò)的訪問請求都應(yīng)該滿足相同的安全性要求，并通過加密或是認(rèn)證的方式進(jìn)行可信認(rèn)證。除了這兩點(diǎn)之外，企業(yè)還需要遵循3個(gè)基本原則：

1.在提前建立連接的基礎(chǔ)上對單個(gè)企業(yè)資源進(jìn)行授權(quán)訪問。在對訪問請求進(jìn)行授權(quán)之前需要先對訪問用戶的身份進(jìn)行信任判斷，也就是說只有提前和企業(yè)IT資源建立連接關(guān)系的用戶所發(fā)起的訪問請求才可以被允許。同時(shí)，該用戶只允許訪問請求的單個(gè)資源，不允許訪問其他資源。

2.資源訪問授權(quán)是基于上下文屬性的策略組合。上下文包括可以觀測到的用戶身份狀態(tài)、發(fā)起訪問請求的應(yīng)用系統(tǒng)的狀態(tài)，以及其他一些行為屬性。企業(yè)只有對資源、用戶、以及用戶和資源訪問授權(quán)的對應(yīng)關(guān)系有清晰的定義，才可以對其所擁有資源進(jìn)行更好的保護(hù)。用戶身份狀態(tài)一般包括其所使用的賬號以及相關(guān)屬性；發(fā)起訪問請求的應(yīng)用系統(tǒng)的狀態(tài)包括比如軟件安裝版本等設(shè)備特征、所處網(wǎng)絡(luò)位置、歷史行為和安裝證書等；行為屬性則包括自動化的用戶和設(shè)備分析，以及觀測模型存在的測量偏差。結(jié)合企業(yè)商業(yè)流程需求，根據(jù)上下文分析得出對應(yīng)的風(fēng)險(xiǎn)等級并自動喚起授權(quán)策略。

3.嚴(yán)格執(zhí)行動態(tài)用戶身份認(rèn)證。企業(yè)可以配備自動化的賬號生命周期系統(tǒng)來對用戶資源訪問授權(quán)進(jìn)行管理，并通過配備多因素認(rèn)證（MFA）能力來增加安全認(rèn)證防護(hù)。在用戶與資源進(jìn)行互動的過程中，系統(tǒng)會根據(jù)定義好的策略對用戶行為進(jìn)行持續(xù)監(jiān)測和再認(rèn)證，比如靜態(tài)密碼加動態(tài)口令的形式，對于一些高危動作則增加多人確認(rèn)機(jī)制，從而確保企業(yè)零信任架構(gòu)在安全性、可用性、可靠性、成本效率配比方面能夠達(dá)到一個(gè)平衡狀態(tài)。

安全牛：結(jié)合國內(nèi)目前的業(yè)務(wù)和市場環(huán)境，您認(rèn)為中國企業(yè)實(shí)施零信任主要面臨哪些挑戰(zhàn)？

石揚(yáng)：從宏觀層面來說，國內(nèi)企業(yè)在實(shí)施零信任時(shí)主要會面臨兩方面的挑戰(zhàn)：一是建設(shè)周期長。企業(yè)需要對所有的IT資源進(jìn)行梳理，包括設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、甚至是服務(wù)器等，并且需要根據(jù)企業(yè)的業(yè)務(wù)流程和安全防護(hù)要求構(gòu)建新的訪問控制策略。如果企業(yè)資產(chǎn)規(guī)模龐大，業(yè)務(wù)流程復(fù)雜，整個(gè)零信任模型的構(gòu)建周期就會特別長。二是成本高。目前國內(nèi)市場上并沒有出現(xiàn)成熟的零信任解決方案，已經(jīng)實(shí)施零信任的企業(yè)大部分是基于定制化開發(fā)實(shí)現(xiàn)的，在對原有網(wǎng)絡(luò)環(huán)境進(jìn)行升級改造的基礎(chǔ)上，進(jìn)一步對身份認(rèn)證和權(quán)限管理進(jìn)行細(xì)粒度的管控，這些都會增加企業(yè)的IT運(yùn)維成本。

從更深層次來講，零信任的本質(zhì)其實(shí)就是基于身份的訪問控制，即確保正確的用戶可以被分配到正確的訪問權(quán)限，可以在正確的情境下對正確的IT資源進(jìn)行訪問，并且用戶的訪問權(quán)限會被持續(xù)進(jìn)行評估，最終確保訪問授權(quán)的正確性和安全性。單就身份管控這一層面來講，企業(yè)在身份數(shù)據(jù)連接、權(quán)限管理和合規(guī)審計(jì)等細(xì)分層面也會遭遇挑戰(zhàn)：

第一，身份數(shù)據(jù)連接。動態(tài)的身份控制需要有豐富的身份數(shù)據(jù)做支撐。中國企業(yè)在管理身份數(shù)據(jù)方面存在不少痛點(diǎn)，比如無法對分散在各系統(tǒng)中的身份數(shù)據(jù)進(jìn)行統(tǒng)一管理和分析，應(yīng)用系統(tǒng)間身份數(shù)據(jù)的打通難度高等等，其中最為復(fù)雜的就是系統(tǒng)之間的數(shù)據(jù)異構(gòu)性問題。舉個(gè)簡單例子，在企業(yè)微信和其他身份源系統(tǒng)的對接中，企業(yè)微信系統(tǒng)里的人員信息有個(gè)業(yè)務(wù)字段叫啟用/停用，而源系統(tǒng)中可能有更多個(gè)狀態(tài)：待入職、離職等，那怎么把這些信息一一對應(yīng)起來，就是企業(yè)經(jīng)常遇到的一個(gè)身份數(shù)據(jù)連接方面的挑戰(zhàn)。

第二，權(quán)限管理。普華永道在《全球信息安全狀況調(diào)查》中提到了人員安全的重要性，離職和在職員工，已經(jīng)成為信息安全的重要威脅。應(yīng)用訪問權(quán)限是控制應(yīng)用和數(shù)據(jù)安全的第一道門檻，錯(cuò)誤的權(quán)限分配、或是離職員工賬號未關(guān)停、以及日志審計(jì)缺乏必要的分級分權(quán)管理，都會給企業(yè)的安全帶來隱患。企業(yè)只有建立合理的權(quán)限分配和管理制度，才能有效預(yù)防各種因“人禍”引起的信息泄露、黑客攻擊。

第三，合規(guī)審計(jì)。合規(guī)通常分為三種類型：1）法律要求的合規(guī)，國內(nèi)例如企業(yè)內(nèi)部控制規(guī)范；2）商業(yè)領(lǐng)域的合規(guī)，國內(nèi)例如金融行業(yè)的內(nèi)控指引；3）政府領(lǐng)域的合規(guī)，比如國內(nèi)的網(wǎng)絡(luò)安全法和等級保護(hù)。因此，如何通過可視化和系統(tǒng)化的數(shù)據(jù)分析和危機(jī)控制來滿足多維度的合規(guī)審計(jì)要求，比如離職員工權(quán)限管控、僵尸賬號審計(jì)等，也是國內(nèi)企業(yè)面臨的挑戰(zhàn)之一。

安全牛：在您看來，一個(gè)成熟的零信任模型應(yīng)該是怎樣的？

石揚(yáng)：零信任概念是在突破舊的邊界或模式下，利用更成熟的技術(shù)、更先進(jìn)的科技、更安全的算法，突破舊的安全瓶頸，將企業(yè)或組織的安全水平提升到全新的級別。

一個(gè)現(xiàn)代化的零信任模型表面層依舊是用戶(與設(shè)備）、策略權(quán)限引擎和企業(yè)的應(yīng)用服務(wù)、機(jī)器資源(IDC/IaaS)，這一層是用戶容易感知的，也是最常被討論到的。尤其是權(quán)限策略引擎，新的零信任環(huán)境下，我們往往需要重新搭建一個(gè)高性能可橫向擴(kuò)展的權(quán)限引擎，處理更復(fù)雜更細(xì)粒度的訪問策略。然而在表層之下還有很多不可或缺的重要模塊，恰恰是使得無邊界的零信任訪問成為可能的關(guān)鍵，包括企業(yè)統(tǒng)一身份管理目錄、密鑰管理系統(tǒng)KMS（或公鑰基礎(chǔ)設(shè)施PKI）、風(fēng)險(xiǎn)評估、SIEM等。

企業(yè)統(tǒng)一身份管理目錄

一個(gè)有一定規(guī)模的企業(yè)內(nèi)原本就存在著復(fù)雜的資源類型以及相應(yīng)的權(quán)限模型，例如機(jī)器、各類應(yīng)用服務(wù)、角色，還有大量的應(yīng)用策略，現(xiàn)在，我們還需要關(guān)心很多其他維度（“什么地點(diǎn)”、“什么網(wǎng)絡(luò)環(huán)境”、“什么訪問設(shè)備”等），可以毫不夸張地說，整個(gè)企業(yè)管理目錄的復(fù)雜度將提高2-3個(gè)數(shù)量級。我們實(shí)際就遇到過一個(gè)大型企業(yè)，在改造完的目錄中，單單應(yīng)用的訪問控制列表（ACL）有4百萬條左右的規(guī)則，原有的目錄體系已經(jīng)無法支撐和處理這樣的數(shù)據(jù)量級，利用分布式數(shù)據(jù)庫來重新設(shè)計(jì)和搭建統(tǒng)一目錄成為了唯一途徑。

密鑰管理系統(tǒng)KMS

企業(yè)內(nèi)幾乎所有應(yīng)用都需要管理各種各樣的私密信息，從個(gè)人的登陸密碼、到生產(chǎn)環(huán)境的Key以及數(shù)據(jù)庫登錄信息、API認(rèn)證信息等。但傳統(tǒng)做法會將這些秘密信息保存在某個(gè)文件中，這種方式弊端很多，比如跨團(tuán)隊(duì)分享存在安全隱患、文件格式難以維護(hù)、私密信息難以回收等。

密鑰管理系統(tǒng)作為企業(yè)統(tǒng)一的一套系統(tǒng)或工具來處理私密信息的方方面面，大大提高了在零信任模式下企業(yè)這些秘密信息的安全性，需包含但不限于以下設(shè)計(jì)：

1.提供穩(wěn)定成熟的密鑰管理API，讓企業(yè)內(nèi)開發(fā)者輕松添加創(chuàng)建密鑰信息、應(yīng)用程序能獲取和使用私密信息；

2.支持不同策略更新私密信息、適時(shí)回收私密信息；

3.提供基本PKI設(shè)施，為企業(yè)內(nèi)所有的應(yīng)用服務(wù)訪問提供256位SSL加密證書支持，最好全部服務(wù)都是強(qiáng)制HTTPS連接；

4.服務(wù)內(nèi)的敏感信息也只緩存在受保護(hù)的內(nèi)存空間內(nèi)（Security Barrier），而不存在于任何持久化存儲內(nèi)（禁SWAP）。即使黑客攻破服務(wù)器的文件系統(tǒng)也無法獲得有用信息。

風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估往往可能是多個(gè)服務(wù)，例如人工智能評估引擎、威脅評估引擎等，這類服務(wù)基于歷史和當(dāng)前的訪問信息，甚至還有來自企業(yè)的外部數(shù)據(jù)，主動發(fā)現(xiàn)企業(yè)內(nèi)潛在的攻擊行為或漏洞，從而標(biāo)志出高危險(xiǎn)人群、DNS黑名單等，實(shí)時(shí)檢測到有高危風(fēng)險(xiǎn)的用戶行為，自動或根據(jù)設(shè)置調(diào)整用戶的權(quán)限等級，進(jìn)而減少企業(yè)損失。

SIEM與日志審計(jì)

企業(yè)需部署一套審計(jì)系統(tǒng)，永久保留所有內(nèi)部系統(tǒng)的操作日志，可對每位員工、設(shè)備的操作進(jìn)行全時(shí)全方位的審計(jì)：

1.防止任何運(yùn)行時(shí)的敏感數(shù)據(jù)被記錄，嚴(yán)格日志規(guī)范，加入代碼審查；

2.統(tǒng)一的日志系統(tǒng)，可審計(jì)用戶在各個(gè)系統(tǒng)的行為，跨系統(tǒng)檢測異常操作；

3.嚴(yán)格限制內(nèi)部員工訪問權(quán)限，需在足夠授權(quán)下才進(jìn)行訪問或修改。