近日,谷歌宣布完成其內(nèi)部使用的遠(yuǎn)程安全訪問(wèn)零信任方案BeyondCorp的產(chǎn)品化,并在谷歌云服務(wù)上發(fā)布銷售。眾所周知,Google的BeyondCorp項(xiàng)目是最早的零信任方案之一,早在2011年,谷歌就開始在內(nèi)部部署遠(yuǎn)程訪問(wèn)方案BeyondCorp,向員工提供內(nèi)網(wǎng)應(yīng)用的安全訪問(wèn)服務(wù)。
谷歌舉了一個(gè)零信任應(yīng)用在谷歌的用例:外包人力資源招聘人員在家中使用自己的筆記本電腦工作時(shí),可以使用我們基于Web的文檔管理系統(tǒng)(除其他外),但前提是他們使用的是最新版本操作系統(tǒng),并且正在使用諸如安全密鑰之類的防網(wǎng)絡(luò)釣魚身份驗(yàn)證。
谷歌決定在全球新冠疫情肆虐的時(shí)候“火線推出”BeyondCorp,是因?yàn)楣雀枵J(rèn)為全球遠(yuǎn)程辦公人員激增已經(jīng)超出了企業(yè)VPN資源的承受范圍,而且谷歌強(qiáng)調(diào)BeyondCorp的部署也比VPN快得多。
谷歌云安全總經(jīng)理Sunil Patti指出:借助BeyondCorp遠(yuǎn)程訪問(wèn),我們可以在幾天之內(nèi)幫助您完成此工作,而部署傳統(tǒng)VPN解決方案可能要花費(fèi)數(shù)月的時(shí)間。使用BeyondCorp遠(yuǎn)程訪問(wèn),您可以減輕現(xiàn)有VPN部署的壓力,為已經(jīng)擁有訪問(wèn)權(quán)限和最需要訪問(wèn)權(quán)限的用戶節(jié)省關(guān)鍵容量。
目前,BeyondCorp只能對(duì)Web應(yīng)用程序?qū)嵤┰L問(wèn)控制,但可以在本地或包括谷歌自己的云中實(shí)施訪問(wèn)控制。
谷歌并未透露BeyondCorp的價(jià)格,但谷歌已經(jīng)列出了首批客戶名單(包括Airbnb),這些客戶已經(jīng)在生產(chǎn)中使用BeyondCorp來(lái)訪問(wèn)G-Cloud。
在這個(gè)高度不確定性籠罩的年代,零信任是企業(yè)數(shù)字化安全轉(zhuǎn)型和打造可持續(xù)數(shù)字化競(jìng)爭(zhēng)力的最關(guān)鍵的一次“范型轉(zhuǎn)移”和“免疫博弈”,也是網(wǎng)絡(luò)安全和“安全優(yōu)先”倒逼IT改革和業(yè)務(wù)創(chuàng)新的決定性戰(zhàn)役。本期《牛人訪談》我們邀請(qǐng)到了國(guó)內(nèi)較早實(shí)施零信任的企業(yè)——完美世界的高級(jí)安全總監(jiān)何藝,與大家分享零信任之路的風(fēng)雨與彩虹,以下是訪談內(nèi)容:
何藝,現(xiàn)任完美世界高級(jí)安全總監(jiān),負(fù)責(zé)完美集團(tuán)安全工作,從事甲方安全工作十六年,主要專注在企業(yè)安全建設(shè)、安全架構(gòu)、零信任、安全分析和響應(yīng)、APT對(duì)抗和數(shù)據(jù)安全上,在企業(yè)安全上有較多深入體會(huì)。
一、開始話題之前,能否給我們的讀者介紹下什么是零信任?
何藝:好的,安全的本質(zhì)我的理解是信任,零信任其實(shí)也是在試圖解決信任問(wèn)題。
說(shuō)到零信任前,我們先回顧下傳統(tǒng)的邊界安全模型,在傳統(tǒng)邊界安全模型中信任其實(shí)是來(lái)自你的網(wǎng)絡(luò)地址,可以理解為基于IP的信任,IP可信你就是可信的,你的環(huán)境是否安全并不是它考慮對(duì)象,這種架構(gòu)在早期蠕蟲時(shí)代是能解決問(wèn)題的,但隨著攻擊方式和威脅多樣化,已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足安全需求了。
在新的零信任模型下,信任關(guān)系是來(lái)自人、設(shè)備、應(yīng)用(資源)的關(guān)系,通過(guò)這三者建立起信任鏈以及在信任傳遞過(guò)程中進(jìn)行持續(xù)校驗(yàn),一旦信任鏈?zhǔn)?,?quán)限也就被迅速回收,如下圖:
在零信任架構(gòu)下,傳統(tǒng)的邊界已經(jīng)不再重要,即便你在內(nèi)網(wǎng)同樣也是處于“不可信”狀態(tài),每一次對(duì)資源的訪問(wèn),都會(huì)要經(jīng)過(guò)信任關(guān)系的校驗(yàn)和建立,即內(nèi)外是一致的策略。
同時(shí)安全是建立在信任鏈之上,如果信任鏈被打破,那么對(duì)資源的訪問(wèn)權(quán)限則被自動(dòng)取消。這點(diǎn)是零信任和傳統(tǒng)安全最大的區(qū)別,也是比傳統(tǒng)安全更安全的地方。
二、看過(guò)您的公眾號(hào)文章,你們似乎很早就開始做零信任了,這是基于什么考慮,為什么這么早就敢“吃螃蟹”?
何藝:我們啟動(dòng)零信任項(xiàng)目是2015年的時(shí)候,其實(shí)當(dāng)時(shí)并沒(méi)有叫零信任架構(gòu),因?yàn)槲沂窃?015年對(duì)google beyondcorp進(jìn)行了調(diào)研和分析,當(dāng)時(shí)零信任概念雖然有了,但并不熱門,google的白皮書里面也沒(méi)有類似的說(shuō)法,所以內(nèi)部我們一直叫beyondcorp項(xiàng)目,直到最近兩年零信任概念火了后,才統(tǒng)一了叫法。
當(dāng)時(shí)做這個(gè)項(xiàng)目主要考慮是下面幾個(gè)原因:
1防黑客入侵需求
我們公司主營(yíng)業(yè)務(wù)是在線游戲,游戲行業(yè)內(nèi)的黑客入侵比絕大多數(shù)互聯(lián)網(wǎng)公司要來(lái)的嚴(yán)峻的多,原因是游戲行業(yè)內(nèi)可獲利的資產(chǎn)很多,這個(gè)是遠(yuǎn)超一般行業(yè)的。很多行業(yè)可能最有價(jià)值的就是用戶數(shù)據(jù)了,而這類數(shù)據(jù)多數(shù)情況下不需要用到過(guò)多的資源即可弄到,比如暗網(wǎng)交易,而游戲行業(yè)內(nèi)可兌現(xiàn)的數(shù)據(jù)非常多,不管是代碼還是系統(tǒng)權(quán)限都可以獲取暴利。
結(jié)果就是會(huì)遇到很多高水準(zhǔn)的APT攻擊事件,進(jìn)行長(zhǎng)期滲透與潛伏,給整個(gè)行業(yè)帶了極大的損失。那么對(duì)抗難度不一樣,僅僅通過(guò)檢測(cè)方式來(lái)對(duì)抗已經(jīng)不能滿足我們的防護(hù)需求了,所以這個(gè)是我們首要考慮因素。
2IT基礎(chǔ)環(huán)境整固
我們之前的IT基礎(chǔ)環(huán)境并不是特別好,存在很多技術(shù)債,對(duì)安全的影響也比較大。比如不清楚有多少資產(chǎn)、不清楚攻擊暴露面、不清楚管理員、離職賬號(hào)權(quán)限不回收等等問(wèn)題。這些問(wèn)題看似都比較瑣碎也比較低層次,但實(shí)際會(huì)對(duì)安全工作造成比較大的負(fù)面影響,比如說(shuō):
·不清楚多少資產(chǎn):資產(chǎn)不清楚導(dǎo)致往往被攻擊很久后都得不到響應(yīng),或是成為長(zhǎng)期的滲透入口;
·不清楚攻擊暴露面:比如失效的防火墻策略,內(nèi)網(wǎng)業(yè)務(wù)對(duì)公網(wǎng)暴露等等,這些都是攻擊面,并且因?yàn)槭俏粗谋┞叮踩远己懿?,很容易被攻擊成功?/p>
·不清楚管理員:導(dǎo)致即便檢測(cè)到安全事件,由于不清楚管理員會(huì)讓響應(yīng)時(shí)間過(guò)慢,錯(cuò)失很多時(shí)機(jī),不能及時(shí)止損;
·離職賬號(hào)權(quán)限不回收:公司有成百上千個(gè)系統(tǒng),這些系統(tǒng)的權(quán)限大多數(shù)在離職后都難以得到回收,并且又存在大量的弱口令等問(wèn)題,這些都會(huì)成為以后的攻擊跳板。
上面這些問(wèn)題急需有統(tǒng)一的方式來(lái)進(jìn)行規(guī)整,梳理,這點(diǎn)也是我考慮做零信任的一個(gè)重要因素,通過(guò)零信任將IT基礎(chǔ)環(huán)境進(jìn)行改造。
3安全投入成本考慮
我們是個(gè)不算很小的公司,也沒(méi)有到巨頭的體量,這種情況如果只是單純?nèi)ベI商業(yè)解決方案,從投入產(chǎn)出比上來(lái)看并非很合適,主要有幾下幾點(diǎn):
·2015年的時(shí)候,乙方安全產(chǎn)品大都不能滿足我們需求,不能解決我們的實(shí)際問(wèn)題;
·通過(guò)商業(yè)產(chǎn)品進(jìn)行定制開發(fā)的成本過(guò)高,后期的維護(hù)代價(jià)也很高,很容易被乙方綁架,不利于自主控制;
·業(yè)務(wù)發(fā)展的過(guò)程,商業(yè)解決方案會(huì)導(dǎo)致總成本不斷增加,并且每隔幾年存在換代問(wèn)題,不利于長(zhǎng)久的投入;
·通過(guò)自建方式可以比較好解決信任問(wèn)題,不管是老板對(duì)安全的信任,還是業(yè)務(wù)對(duì)安全的信任,以及內(nèi)在的信任。
三、能否介紹下你們的零信任項(xiàng)目的實(shí)施過(guò)程?有哪些可被借鑒的地方?
何藝:項(xiàng)目剛啟動(dòng)的時(shí)候,我們的資源非常有限,所以在做規(guī)劃的時(shí)候并沒(méi)有想做一步到位的方案,而是將整個(gè)體系拆解成不同的模塊,分階段來(lái)實(shí)施,并且在實(shí)施的過(guò)程中不斷試錯(cuò),引入了類似敏捷開發(fā)的思路。
零信任的核心思想之一是用戶+設(shè)備+應(yīng)用的信任鏈,基于這個(gè)核心思想,我們進(jìn)行了拆分系統(tǒng),分步驟實(shí)施,最后進(jìn)行閉環(huán),總體上我們分了三個(gè)階段:
1基礎(chǔ)系統(tǒng)階段
這個(gè)階段我們主要是解決了一些核心的基礎(chǔ)系統(tǒng)的開發(fā)和部署,比如集中化的統(tǒng)一認(rèn)證架構(gòu)解決了OTP認(rèn)證問(wèn)題,以及集中化鑒權(quán)問(wèn)題。另外還有一個(gè)核心系統(tǒng)是應(yīng)用網(wǎng)關(guān)的開發(fā)和部署,通過(guò)它解決了業(yè)務(wù)的接入和集中管控問(wèn)題,很好的收攏了攻擊面。這兩個(gè)基礎(chǔ)系統(tǒng)部署完后,賬號(hào)基本也就同步梳理完了,實(shí)現(xiàn)了統(tǒng)一賬號(hào)、統(tǒng)一認(rèn)證、統(tǒng)一鑒權(quán)的目標(biāo)。
2擴(kuò)展系統(tǒng)階段
這個(gè)階段我們主要做了擴(kuò)展工作,包括零信任APP中的工作臺(tái),安全資產(chǎn)庫(kù)、SOC等系統(tǒng),通過(guò)這些系統(tǒng)可以實(shí)現(xiàn)資產(chǎn)管控,告警分析,移動(dòng)辦公集成等功能,大幅擴(kuò)展了架構(gòu)能力。
3架構(gòu)閉環(huán)
第三個(gè)階段我們windows、mac端的agent,網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)等模塊全部開發(fā)完畢,實(shí)現(xiàn)了零信任中最重要的一環(huán),用戶+設(shè)備+應(yīng)用的信任連建立,可以對(duì)特定業(yè)務(wù)啟用高強(qiáng)度的防護(hù)策略,以及設(shè)備的網(wǎng)絡(luò)準(zhǔn)入等控制,實(shí)現(xiàn)了全端、全鏈路的防護(hù)。
四、從過(guò)來(lái)人的角度,你怎么看待零信任架構(gòu)給企業(yè)帶來(lái)的價(jià)值?
何藝:我覺(jué)得任何事情都有正負(fù)兩方面的效果,安全方案也是這樣,一個(gè)安全方案的實(shí)施除了帶了正面效果外,一定會(huì)引入新的問(wèn)題,帶來(lái)一些負(fù)面效果,零信任架構(gòu)也是如此,它并不是銀彈,同樣有正負(fù)價(jià)值:
1正面價(jià)值
正面價(jià)值上,通過(guò)零信任我們把IT基礎(chǔ)架構(gòu)進(jìn)行了大幅改造,涉及用戶賬號(hào)、網(wǎng)絡(luò)、終端、業(yè)務(wù)應(yīng)用、認(rèn)證授權(quán)、資產(chǎn)管控等等,通過(guò)安全的推動(dòng)將IT基礎(chǔ)環(huán)境的能力往前推進(jìn)了一大步,變得更像一個(gè)現(xiàn)代化的互聯(lián)網(wǎng)公司架構(gòu)了,安全在某些方面甚至帶來(lái)了效率的提升。
2負(fù)面價(jià)值
但另外一方面來(lái)說(shuō),通過(guò)零信任也大大將風(fēng)險(xiǎn)集中了,不管是單點(diǎn)風(fēng)險(xiǎn)帶來(lái)的隱患,安全運(yùn)營(yíng)和管理能力帶來(lái)的挑戰(zhàn)也大幅增強(qiáng),安全的責(zé)任也變得更加重大,并且存在因?yàn)榘踩芾聿簧茖?dǎo)致業(yè)務(wù)中斷的風(fēng)險(xiǎn),這些都是零信任架構(gòu)帶來(lái)的新挑戰(zhàn)。
五、零信任的實(shí)施成本如何,投入大嗎,采用何種方式實(shí)施較好?
何藝:因?yàn)槲覀儗?shí)施的時(shí)候并沒(méi)有現(xiàn)成的商業(yè)解決方案,所以主要靠自研的方式,采用的是以時(shí)間換空間的做法,所以耗時(shí)很長(zhǎng),投入還是比較大的。
所以從我們的過(guò)去經(jīng)驗(yàn)來(lái)看,如果是要完全自研的方式來(lái)做,涉及的系統(tǒng)和組件還是不少,包括踩坑這些會(huì)導(dǎo)致時(shí)間周期很長(zhǎng),如果你希望盡快見(jiàn)效,自研未必是一個(gè)特別好的選擇。
這兩年尤其是今年也多了很多商業(yè)解決方案,這部分我了解并不是很多,不好過(guò)多評(píng)估,但需要留意的是很多商業(yè)方案并未經(jīng)過(guò)大規(guī)模的實(shí)踐,所以可能會(huì)變成小白鼠,并且零信任上去容易下來(lái)難,這點(diǎn)可能要適當(dāng)注意下。
六、你們?cè)趯?shí)施的過(guò)程中,有遇到一些坑嗎?
何藝:坑還是挺多的,基本上每個(gè)系統(tǒng),每個(gè)實(shí)施環(huán)境都會(huì)遇到坑,有些是提前可以預(yù)料的,有些是完全預(yù)料不到的,比如核心業(yè)務(wù)程序假死、網(wǎng)絡(luò)存儲(chǔ)只讀、用戶小白看不懂手冊(cè),這些都是坑。
所以遇到是坑是一定的,重要的是對(duì)遇到的坑要有快速解決的能力以及一定的抗壓能力和公司領(lǐng)導(dǎo)層的信任和支持,這些是能否把坑踏平踩過(guò)去的關(guān)鍵因素。
七、你是怎么看待最近兩年零信任突然火了起來(lái),它會(huì)給安全行業(yè)帶來(lái)哪些影響?
何藝:我想零信任的火爆,既有外部因素也有內(nèi)在內(nèi)涵,從外部因素來(lái)說(shuō),越來(lái)越多的業(yè)務(wù)入網(wǎng),外部環(huán)境對(duì)抗加強(qiáng),這些都是現(xiàn)實(shí)因素。從內(nèi)在內(nèi)涵上來(lái)看,傳統(tǒng)安全架構(gòu)的失效,合規(guī)安全的流于表面,企業(yè)內(nèi)在安全需求增強(qiáng),這些因素都導(dǎo)致了對(duì)安全的要求越來(lái)越高。
這樣也推動(dòng)安全不能再停留在救火隊(duì)長(zhǎng)或是邊緣部門的角色上,而零信任在google等大型互聯(lián)網(wǎng)企業(yè)中的落地,這些無(wú)疑給企業(yè)安全建設(shè)提供了新的思想,勢(shì)必會(huì)導(dǎo)致一些有能力的團(tuán)隊(duì)追隨,同時(shí)安全市場(chǎng)也會(huì)受到刺激,催生出更多的乙方來(lái)提供服務(wù),給不具備能力的團(tuán)隊(duì)使用。
我想零信任在未來(lái)應(yīng)該會(huì)長(zhǎng)期發(fā)展下去,不會(huì)只是曇花一現(xiàn),但需要注意的是,零信任架構(gòu)也是一個(gè)強(qiáng)運(yùn)營(yíng)的安全架構(gòu),企業(yè)是否能夠控制好架構(gòu)自身的風(fēng)險(xiǎn),是否具備能力或是由行業(yè)提供能力來(lái)支持,也是值得觀察的事情。
責(zé)任編輯:gt
-
谷歌
+關(guān)注
關(guān)注
27文章
6104瀏覽量
104780 -
筆記本電腦
+關(guān)注
關(guān)注
9文章
1392瀏覽量
47851 -
應(yīng)用程序
+關(guān)注
關(guān)注
37文章
3223瀏覽量
57504
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論