（360企業(yè)安全集團）

1 新技術引入新風險

在云計算、大數(shù)據(jù)技術應用飛速發(fā)展的時代，安全事件造成的影響也顯著放大。例如，去年7月，美國三大保險機構之一的Equifax遭遇黑客攻擊，影響人數(shù)超過1.4億美國人。保險公司為此還開發(fā)了一個門戶網(wǎng)站，供民眾查詢自己的信息是否遭到泄露。去年有一個調(diào)查報告認為，2005年至2018年，各種各樣公開場合整理出來的數(shù)據(jù)泄漏事件導致超過10億條的個人信息被泄露。但是這只是冰山一角，還有許多未被曝光的數(shù)據(jù)泄露事件，事實上被泄露的數(shù)據(jù)可能遠遠不止10億條。這些案例告訴我們，大數(shù)據(jù)時代，數(shù)據(jù)的大規(guī)模匯聚融合導致一旦遭受攻擊，數(shù)據(jù)損失也會變得特別大。這些數(shù)據(jù)損失基本上由兩個方面的事件造成：一是外部攻擊，將近60%的事件是由于外部黑客攻擊造成的。二是內(nèi)部攻擊，53%的組織確認在過去的1年內(nèi)遭遇過內(nèi)部攻擊。對于內(nèi)部攻擊，90%的組織承認其無法防御來自于內(nèi)部的威脅。其原因是沒辦法有效識別出內(nèi)部攻擊的手段、發(fā)起者以及攻擊過程。內(nèi)部攻擊的復雜程度比外部攻擊要復雜得多。

而60%的外部攻擊，其中有81%的黑客組織或者人員利用了“弱口令”或者偷來的合法用戶權限。弱口令本身是一個身份安全管理問題，也可以歸結為內(nèi)部安全管理不善造成的。2018年，美國國家安全局（NSA）提出的十大網(wǎng)絡安全緩解措施中，就有一條“建議淘汰基于口令的單因子認證模式”。就是說簡單的用戶名/口令這種身份認證手段已經(jīng)不再安全，需要增加多因子的身份認證。例如：利用移動手機令牌、指紋或者面部識別身份認證等技術，通過這類多因子身份認證技術來增加對口令層面的保護。

新技術的應用帶來了新的安全威脅。在當前社會運用最多的新技術是云計算和大數(shù)據(jù)。2017年，亞馬遜AWS公有云平臺發(fā)生了一些安全事件。這些安全事件的發(fā)生，是由于系統(tǒng)配置不當造成的。造成這些配置不當?shù)脑蚴?，企業(yè)上“云”之后，原有的網(wǎng)絡邊界模糊了，邏輯上的邊界不清晰導致無法有效地把所有安全措施加載在管轄范圍上。一些攻擊面就會或大或小、或多或少的暴露在外面，容易受到網(wǎng)絡攻擊，造成安全事件。

針對大數(shù)據(jù)平臺來說，也存在這樣的問題。包括去年MongoDB事件，黑客可以不通過認證直接訪問數(shù)據(jù)庫的實例，將其鎖死、加密、拷貝，然后勒索錢財。這其實也是一種社會現(xiàn)象，由于云計算技術、大數(shù)據(jù)技術的快速發(fā)展，大家更多的是想著“多快好省”上應用，在過程中沒有同步充分的去思考安全配套，也就出現(xiàn)了安全風險與新技術應用并駕齊驅(qū)的現(xiàn)象。

這些風險存在的原因可以總結為四點：①安全保護思路跟不上。前文提到的先應用后安全，或者只應用不安全就是典型的表現(xiàn)。②安全合規(guī)標準落實不到位。不管是GDPR，還是其它的合規(guī)要求，我們在主觀思想上、客觀技術上能否落實到位。如果不落實，要么業(yè)務無法開展、要么事后打板子。③安全技術手段對不準。這其實是客觀問題，當我們在主觀上有意愿做好安全時，是否有可利用的有效手段？這些手段是否能陪伴業(yè)務一起成長？可怕的是，完全同步的案例幾乎沒有。④安全管理措施覆蓋不全。上文所述的云計算環(huán)境下的安全配置管理覆蓋分析就是很好的證明。

2 新規(guī)范帶來新合規(guī)

組織不單單會面臨安全風險的壓力，安全合規(guī)也以另一種壓力而存在，我國一些專家在2017年提出了一份《個人信息保護法（草案）》，將其與GDPR做對應比較，可以發(fā)現(xiàn)在主體權利上，GDPR是七個，草案是九個。在管轄權上也有區(qū)別，GDPR規(guī)定，只要是影響到歐盟的，無論是物理位置在歐盟還是遠程為歐盟內(nèi)組織或個人提供數(shù)據(jù)服務都受GDPR的管轄，草案則區(qū)分了國家機關和非國家機關兩類，這也是為結合我們的國情而設計，也對后期開展工作提供便利性。在對于個人信息數(shù)據(jù)處理過程里面，兩者的要求是基本相同的。從個人數(shù)據(jù)的采集到最后的銷毀，在數(shù)據(jù)生命周期里，都要求采取技術措施來進行有效保護。當發(fā)生安全事件時，還需要采取修補措施來確保影響范圍降低到最小。縱觀全文，兩者釋放的是同樣信號，即數(shù)據(jù)保護的監(jiān)管會日益加強。組織在進行涉及個人信息相關數(shù)據(jù)處理時一定要小心又小心，避免在合規(guī)層面受創(chuàng)。

3 新思路實現(xiàn)新安全

傳統(tǒng)安全防護思路強調(diào)的是內(nèi)外網(wǎng)隔離。在內(nèi)外網(wǎng)隔離保護思路之下，似乎只要沒有黑客攻擊，網(wǎng)絡組織安全管理者就會高枕無憂。去年5月份發(fā)生的“永恒之藍”事件打破了這個神話，隔離網(wǎng)的一系列安全問題也逐漸暴露出來。原因包括，一是針對傳統(tǒng)隔離網(wǎng)安全補丁、各種規(guī)則庫更新不及時；二是隔離網(wǎng)內(nèi)部會按照業(yè)務劃分安全域，安全域間防護措施層層加載，而域內(nèi)一般不會定義安全措施，一旦到了這個階段黑客攻擊就是一馬平川，隨心所欲，做橫向移動非常容易；三是隔離網(wǎng)的整體安全管理特別困難。安全域的場景下，統(tǒng)分結合式管理手段一旦跟不上，就沒法從一體化視角去實現(xiàn)整網(wǎng)安全管理。從很多安全事件可以發(fā)現(xiàn)，一些安全設備部署后，最初本意是以安全堡壘的身份存在，但是到了最后由于管理不善或者自身安全缺陷問題，一旦被攻陷，反而成為對方的臥底，成為攻擊中轉(zhuǎn)站。所以需要思考是否需要改進甚至顛覆傳統(tǒng)安全架構了。

“零信任網(wǎng)絡”最初是由安全公司Forrester在2009年提出的安全概念。同一時期著名的“極光行動”針對微軟、谷歌、亞馬遜這些大型互聯(lián)網(wǎng)企業(yè)開展了APT級別的攻擊，谷歌系統(tǒng)內(nèi)大量的用戶數(shù)據(jù)被泄漏。因此，谷歌在2011年啟動了BeyondCorp項目，BeyondCorp的目標是基于零信任架構，重新設計員工與設備如何訪問內(nèi)部應用的安全架構，讓員工可以更安全地在任何地點進行工作，而不必借助于傳統(tǒng)的VPN。經(jīng)過6年實踐，谷歌于2017年宣布項目成功實施。谷歌的成功實踐帶動了零信任框架的流行。谷歌是不是開發(fā)了新的技術取代了VPN，比VPN更加方便安全高效地連接到網(wǎng)絡里呢？其實并非如此。在BeyondCorp里，把網(wǎng)絡分為兩部分——公共網(wǎng)絡和無特權網(wǎng)絡。公共網(wǎng)絡比較好理解，所謂無特權網(wǎng)絡就是說，用戶的訪問權限與訪問的地理位置無關，即便在谷歌自有的物理建筑內(nèi)、內(nèi)部網(wǎng)絡中也沒有任何超越他人的訪問特權。在進行網(wǎng)絡連接和數(shù)據(jù)訪問時，所有的設備都需進行“受控設備”識別，包括有訪問需求的手機、電腦等等一切終端設備。首先要確保發(fā)起訪問的終端設備是安全可控的，不是受到或可能受到黑客控制的。在確認完設備受控后，系統(tǒng)還需要通過各種技術手段對訪問者進行身份認證。在完成設備認證、訪問者身份認證后，系統(tǒng)會從訪問控制引擎里獲取應該賦予訪問者的權限結果。這個權限的計算充分考慮多維因素，包括組織級安全策略和規(guī)則、訪問者的多維屬性、訪問目標的多維屬性、環(huán)境屬性，包括：終端安全屬性、地址位置、歷史行為、多因子認證器安全屬性、行為異常性評估等。當訪問引擎評估得出的信任等級高于訪問目標要求的最低信任等級時，授權通過。例如：張三今天在國外采用手機訪問OA服務器上的財務數(shù)據(jù)，而昨天同樣是張三，在谷歌大樓內(nèi)使用電腦終端訪問OA服務器上的低密級公文，這時候訪問控制引擎會綜合判斷終端類型、終端安全狀態(tài)、地理位置、訪問客體密級以及訪問時間、訪問鏈接協(xié)議等等要素，通過多維要素的綜合判斷給出訪問規(guī)則，這個規(guī)則可能只針對一次訪問、一條鏈接有效。當訪問規(guī)則給出“允許”的判斷后，訪問主體就可以通過“訪問代理”進行內(nèi)網(wǎng)對應資源的訪問。我們可以看到，BeyondCorp訪問方式與以往的網(wǎng)絡可信方式相比較，最大的區(qū)別是不再一馬平川，而是需要結合安全上下文進行動態(tài)評估。

了解完BeyondCorp之后可以發(fā)現(xiàn)，身份認證與訪問控制是構建系統(tǒng)安全架構的第一道關卡，也是核心，而一體化零信任架構是發(fā)展趨勢，也將成為云計算和大數(shù)據(jù)等新技術平臺安全的基石。本質(zhì)上來說，零信任架構的基本理念是什么？首先始終假設網(wǎng)絡充滿威脅，這個威脅每時每刻都存在，在判斷威脅的時候單純通過網(wǎng)絡位置是內(nèi)部、外部來判斷是片面的，在進行訪問授權時需要考慮對每個設備、用戶、業(yè)務訪問流進行認證和授權，盡可能避免一次認證全面訪問的現(xiàn)象出現(xiàn)。并且，訪問控制策略應該是動態(tài)的，盡量基于多源數(shù)據(jù)計算出來。我們基于這個零信任架構做了可落地應用場景細化設計。首先，設備與用戶的注冊認證時有幾個具體的動作：①設備注冊，主要是了解設備環(huán)境是否安全，做一些病毒查殺、惡意控件刪除等動作，必要時候可以通過虛擬沙箱的方式達到所需安全等級。②用戶注冊，通過讓用戶定義多因子認證方式來確保高安全訪問等級和低安全訪問等級之間的認證差異化，以及一旦單因素泄漏或失效后有修補措施保障用戶賬戶安全。同時不能忽視的是需要把設備和用戶做綁定，形成認證關聯(lián)以增強安全保障。③設備和用戶認證，在兩者認證時需要重點考慮使用體驗和安全保障之間的平衡。從安全角度考慮每一個業(yè)務流都進行一次認證請求，但落實在認證過程上可能會對使用體驗造成影響，因此需要使用單點登錄技術。也就是說，只要一次認證完畢后，后面的權限范圍內(nèi)應用訪問都不需要再次認證。同時，在訪問過程中，持續(xù)采集終端安全狀態(tài)和設備標識/憑證進行持續(xù)安全評估，達到靜默認證的效果。但是對于高安全級別業(yè)務系統(tǒng)、終端長時間不使用、終端存在安全風險，被判決為不可信設備，都需要強制用戶進行再次多因子認證，并且這個強制認證可以是面部識別、指紋識別等簡單操作，讓使用者的業(yè)務訪問盡量不受打擾。舉個例子，使用者在收郵件的時候，一旦郵件中包含高密級文件或者需要跳轉(zhuǎn)到高安全等級站點時就需要加一次指紋認證，來證明使用者的身份具備新訪問的權限。④對用戶來說，到此為止所有的流程已經(jīng)完畢。但是從安全角度考慮，還需要有一系列安全措施，我們將其定義為基于屬性的動態(tài)訪問控制策略。屬性的判斷有幾個重點要素，組織級的訪問控制策略，可以理解為靜態(tài)訪問控制策略；訪問的主客體屬性，主要是主客體環(huán)境、主客體安全狀態(tài)、物理位置等內(nèi)容，前面已經(jīng)做了大量分析。重點在于動態(tài)性，動態(tài)的影響因素主要有訪問行為安全性、訪問目標安全等級變更，這些變化一定要能在靜默狀態(tài)下識別出來，必要時候加載認證動作或者作為安全態(tài)勢分析的源數(shù)據(jù)。

零信任架構的特點可以總結為以下三點：一是無邊界設計，信任的建立不能簡單的基于網(wǎng)絡位置，設備和人，需要先認證才能訪問業(yè)務。這一點非常符合BYOD、云計算等當前各類新技術發(fā)展趨勢。二是情景感知，訪問權限取決于系統(tǒng)對用戶和設備的了解。架構需要具備對于訪問主客體、訪問過程的全環(huán)境進行情景感知的能力。感知完情景以后，賦予訪問控制策略，訪問控制策略充分考慮多維環(huán)境因素，位置、時間、網(wǎng)絡、安全級別等。三是動態(tài)訪問控制，基于多維屬性產(chǎn)生動態(tài)ACL，所有訪問都必須被認證、授權和加密。用戶只能看到授權訪問的資源、基于情景因子自適應訪問、基于持續(xù)情景變化更新訪問控制策略。在規(guī)則下發(fā)以后，一旦情景感知出風險，動態(tài)調(diào)整訪問規(guī)則。比如，在訪問的時候會彈出一個認證框進行再次認證。

最后，關于零信任架構還有兩個開放性問題。一是零信任在云計算場景應用時的思考。身份認證是零信任架構的核心，但是在云計算下環(huán)境實際是一個M2M（Machine to Machine）的訪問環(huán)境。這個時候，身份認證怎么做？最初訪問者身份的信任傳遞還是其它認證邏輯？另外，在云計算環(huán)境下，動態(tài)規(guī)則會變得非常復雜。這是因為云計算環(huán)境里面有大量的系統(tǒng)漂移以及計算資源與物理機器的松耦合，諸如此類的場景會對部署在其之上的訪問控制策略帶來新要求。二是大數(shù)據(jù)場景下零信任架構的應用問題。原先非大數(shù)據(jù)場景下業(yè)務應用是獨立的，數(shù)據(jù)實例也是相對獨立的。加載訪問控制規(guī)則后，數(shù)據(jù)處理者能看到的數(shù)據(jù)是縱向固定的，很少會和別人交叉，相互之間數(shù)據(jù)不可見。但是在大數(shù)據(jù)環(huán)境下，由于多了匯聚和存儲的交互過程，就可能把以前互相隔離的數(shù)據(jù)匯總在一起，這時候原先的訪問控制規(guī)則不一定還適用或者存在數(shù)據(jù)泄漏的可能性。我們是否可以通過建立一個“訪問代理”，而且這個“訪問代理”最好能做到數(shù)據(jù)級的細粒度授權和訪問控制，這樣對我們的大數(shù)據(jù)環(huán)境來說可能會適當解決相關安全問題。