12月26日,TGO鯤鵬會北京年度家宴舉辦,來自多家企業CEO、CTO、技術負責人等管理者共聚一堂,共同探討全球前沿技術的想象和未來。騰訊安全咨詢中心負責人陳顥明發表了《如何重構網絡安全信任體系》的主題演講,并從網絡信任體系遇到的挑戰、信任體系重構的思路,以及信任體系建立等關鍵維度,對當前數字化浪潮下的企業所面臨的安全信任建設問題給出了自己的解讀和建議。
隨著當前高新技術的快速落地,數字化已成企業發展核心驅動力的同時,但也使基于邊界的傳統網絡安全架構無法滿足企業數字化升級之需,企業迫切需要一個支持無邊界及云上資源安全訪問的解決方案。
針對如何建立IT身份與自然人的信任關系,陳顥明提出了重構信任建設體系的新思路。在他看來,身份和信任體系一直都是企業安全建設的短板,信任體系重構需重點圍繞識別保護對象、梳理依賴關系、人與資產和賬號綁定關系、統一賬號生命周期管理、強身份認證、無邊界訪問控制、行為監控和審計、動態授權、資產間訪問管控等九個重要層面展開,才能不斷強化多因素認證、無邊界訪問控制、行為監控、動態授權、數字實體的訪問關系。
其中,防護對象識別是信任體系建設的前提,需要對所有數字實體資產(需要細化到數據,服務和接口)進行識別,注冊并標識唯一身份ID,連同自然人的網絡身份ID,建立人與資產和賬號的綁定關系,以此實現人、數字實體和賬號的“全要素”信任管理體系。
在整個信任體系的建設過程中,可以保證人和證形成強關聯,盡可能做到雙因素認證,基于依賴關系,進行訪問授權,保證數字實體資產的操作全記錄和全監控,從而實現“全要素”安全管控。
最后,陳顥明還結合了騰訊構建的信任體系架構和能力圖譜,提出包括資產全要素和依賴關系梳理、信任能力梳理、能力差距分析、信任場景梳理、規劃場景建設路徑、完成信任體系構建等關鍵維度的重構路徑。企業只有了解信任建設的能力目標,根據能力視圖、業務優先級規劃建設場景路徑,才能分場景、分階段完成信任整體能力體系的建設。
以下為陳顥明演講實錄:
很高興有這次機會溝通,我本人20年來一直做信息安全,我們做信息安全這么多年,一直在思考一個問題,信任問題,當然這是我們信息安全的一個核心的問題。我們說大家在座的都是技術大佬,網絡上TCP/IP協議是不夠信任、不夠可靠的一個協議,所以導致我們有各種各樣的安全問題,包括剛才主持人說的DDoS攻擊就是用了TCP/IP三次握手這種不夠嚴謹的一個問題導致很多問題,很多信息安全問題跟信任都有非常大的關系,因為信任體系建立的不夠強壯,導致很多安全問題的出現。
所以,我們選擇了信任這個話題,主要現在大家都在提零信任或者各種信任體系,尤其今年在疫情期間,大家可能都得在家庭辦公、遠程辦公,導致開始從家里或者在外圍連公司企業網。怎么保證信任問題,這個話題今年提的頻次特別高,所以我們今天談談信任,就是信息安全的信任問題。
先來盤點一下那些年我們構建的信任體系。最早我們接觸的信任體系是,PKI和CA體系,當時各種加解密、公私鑰、認證中心、授權中心,是網絡安全最為重要的解決方案。當時我記得很多銀行開始上這些PKI體系,導致系統異常的復雜,因為每筆業務都需要注冊證書、發證、授權,加解密等一系列操作。
另外,邊界隔離。隨著網絡日趨復雜化,大家開始考慮網絡區域劃分和隔離,每個網絡區域是有信任關系的,低安全級別的區域不能向高安全區域級別的訪問,把安全域劃分好,網絡隔離措施做好,就是相對比較安全架構,這是另外一種信任的模式。
大家對信任的探索一直沒有停,后來大家開始考慮一個簡單的方法,從人下手,管好人的認證,其實就像我們現實中,人去到什么地方,只要有一個員工卡或者身份證,就能進去,身份管理體系在各個企業開始逐步推行。也就是說企業要建一個基于用戶身份的全生命周期的管理,從他入職到我進入到這個部門,到產生線上的業務,包括我內部的辦公應用,通過IAM體系統一管起來。后來發現運維人員和高權限的人越來越多,開始考慮把這些人通過CA、堡壘主機管理起來,像銀行的數據管理員掌握數據太多了,權限太大,用特權賬號管理體系來管理。
然而,隨著IT高新技術最近兩年爆發式的變革,云計算、大數據、微服務架構、應用的輕量化包括5G包括移動互聯網的產生,發現以前邊界的防護體系基本被打破了,大家都在倡導互聯互通,原來還相對牢固的信任和隔離措施,突然顯得問題多多,甚至是不太適用,用戶和應用的關系越來越復雜,權限管理失控,包括之前所倡導的PKI體系,其實在IT變革過程當中遇到很多阻力和問題。
舉個實戰攻防演練實例,之前我們提到相關的安全體系該企業都已經建立了,但紅方的攻擊隊很輕易的可以突破我們邊界的防護措施,比方說企業VPN,只要你沒有做雙因素認證,利用社工庫、各種帳號的破解辦法它會很快速的入侵到內網,進入到內網更可怕的是橫向移動,因為我們說我們在企業內防守的話南北向防的很嚴,但東西向,尤其很多企業現在上云了,云的虛擬機之間的訪問控制基本上很容易被突破,再加上內部還有一些賬號集權管理系統,如AD域、堡壘主機,網管服務器,一旦被突破,整個內部的應用和系統基本全部突破,這就是目前企業在信任體系的現狀。
為什么呢?最關鍵的核心是身份管理體系建立的還不夠強壯,很多企業更多的是圍繞著基礎架構安全,邊界防護,安全域劃分隔離措施,縱深防御。但在紅藍對抗或者高級別的攻擊對抗場景下很容易突破的,這里面提到一個問題就是企業如何把信任體系做的足夠健壯,黑客攻擊到內部系統大多的是利用了企業現有比較薄弱的身份和賬號管理體系,欺騙了你的認證體系,進到內網進而發動攻擊。
直到今年,大家開始提零信任、SDP、微隔離,這是最近聽的最多的三個詞,零信任體系提出來核心還是希望從對任何用戶,任何設備是不信任的,怎么建立信任關系,持續認證持續鑒權,這是谷歌最開始提出來的思路,因為他之前遭受了惡意攻擊事件,所有的網絡安全措施全部失效,之后他們一狠心,把以前傳統的安全建設模式和體系全部改掉,按照全新的信任體系架構再重新搭建。
零信任今年雖然很火但大家都不太懂,到底他包含哪些具體內容,怎么搭建?有哪些要素構成?以及信任體系核心是什么?為了究其根源,我也查了一些對于“信任”的定義,給了我很多啟發,也給大家分享一下。信任這個詞在社會學它的解釋是信任是相信對方是誠實、可信賴、正直的。另外,信任是涉及交易或交換關系的基礎。信任被認為是一種依賴關系。
信任是需要建立關系的,如果沒有具體的關系很難信任,這也就是我們為什么會收到詐騙電話詐騙短信,一般像年輕人可能置之不理,但老年人不一定。其實核心就是沒有建立信任關系的聯系,其實都可以斷掉。通常我們在信息安全管理過程中,似乎沒有真正考慮過這點,就是信任是一種依賴關系,是有關聯,有業務關系或者有依存關系,這是信任的前提。底下還有比較重要的一些概念,交換過程中間信任者要值得信任的證據,這個證據一定要證明你是這個自然人或者你是可信的設備,這一點也是關鍵。
而英文對Trust的定義是,相信這個人是好的,誠實的,還有一個關鍵的點,這個事兒是安全靠譜的。也就是說,信任,不光要考慮對人的信任,還得考慮對的資產和行為的信任。我們所有的實體,我們說現在有一個詞叫數字實體,其實這個詞很關鍵,也就是說因為我們之前理解的IT資產很簡單,服務器、終端包括我們的應用,可能就到這個粒度了。實際上,隨著云計算的發展,包括微服務的發展,你會發現每一個應用、服務、應用的接口,這應該都屬于數字實體,我們做身份管理需要把這些所有的數字實體都得考慮進去。
同樣我們說所有的數字實體,騰訊提了一個概念叫做“全要素”。我們要重構信任體系,需要考慮全要素身份體系的定義,其中包括身份體系的關聯關系,也就是全要素之間的關聯關系,以及全要素的安全控制體系。
當然,我們加一個IT層面要考慮的問題,就是把IT或者說數字實體的資源和自然人要關聯起來,而且是緊密關聯起來,以上這些都應該是我們考慮信任體系重構的關鍵要素。
我們把剛才字面意思的解讀得到的一些啟發再放到整個網絡環境里面,第一個要素自然人,人一定是我們安全管控的核心,人要依靠終端、用身份ID、通過帳號、獲取認證拿到授權,去操作相應的資產,記錄下日志和監控。在整個人到資產之間的訪問鏈條來看,黑客會從哪邊兒入手呢? 就是帳號,他從帳號入手會把你前面的鏈條全部切斷,我直接用你的帳號獲取認證,進行操作,你溯源的話只是溯源到帳號,實際上你很難抓到他相關的其他內容,你就會發現如果在整個帳號體系和前端沒有打通的環境下,我們的溯源工作基本就失敗了,這個就是我們目前很多站點被黑客攻擊,實際上很難溯源,抓不到源頭,因為和自然人、相關IT身份沒有真正強綁定,這里面有些問題出在,比如有些企業多人共用帳號,一個人多個ID,帳號和自然人沒有真正實體綁定,帳號體系沒有是統一的管理體系,這些都是造成這些方面的一些原因。
認證,在整個這個過程中還是重中之重,人和證一定要強關聯,現在有很多人臉核身、人證核身技術,我們推薦企業客戶一定要做賬號的雙因素認證,核心就是要人和帳號體系一定要強綁定,或者死綁定,這個才能確保你的安全性。
另外一個比較嚴重的問題是,攻擊者只要拿到內網的權限,橫向移動幾乎是暢通無阻的。這里的問題通常是,授權粒度不夠,沒有達到資源級授權,缺乏流量和行為審計,缺乏違規操作識別和管控,資產間訪問控制粒度不夠。數字實體全要素資產的操作需要有全記錄和全監控,騰訊在這點做的比較好,所有應用的操作日志以及網絡流量全部記錄下來,為后面溯源包括做安全事件分析做好充足的準備。
總體來講,建立一個完整的信任體系,身份帳號的管理,包括我們的自然人和帳號的,人臉核身和認證,包括后續對于你對實體的操作包括權限控制需要做完整和嚴格的管控體系。
后面就是把前面所思考的點做一個匯總,做好一個信任體系,我總結了9點:
第一是識別保護對象。保護對象就是剛才提到的所有數字實體全要素的資產要識別清楚,到底在體系內有多少是數字資產,是關鍵的數字實體,這塊要真正的識別清楚。以前只管人或者只管服務器設備、終端、數據庫。但在云時代下,這個管理顆粒度還需要細化到數據,服務甚至是應用接口。
第二是梳理依賴關系。這是之前提到的關鍵點,當這兩個連接在業務上沒有充分依賴關系的話,就不要讓它連起來,但在實際場景下,連接和訪問關系異常復雜,安全管理者根本不知道誰和誰有關系,他們自由的連接,真正是“互聯互通”,但我覺得作為信息安全管理者或者說信息管理者,如果二者之間沒有依賴關系,就可以考慮不要連接。
第三是人、資產和帳號的強綁定。某些互聯網企業在這方面做得非常好,作為自然人的員工進入到企業有企業微信,企業微信有Open ID這個唯一標識的ID,再和其他應用帳號再關聯,和企業HR的信息直接關聯,所以它會通過Open ID把所有帳號包括個人信息全部關聯起來,最后不管是做了任何事情,都可以通過Open ID去檢索和查詢,永遠能溯到源頭。
第四是帳號的全生命周期管理。因為很多企業現在帳號體系比較分散,有可能一個企業是多個IAM系統,還沒有做后臺數據的打通,各自為政,這里面就存在一個人可能多個帳號,而且一個人在多個不同的IAM平臺里面,這里面管理會有很大的問題。
這里我們強調是新一代的IAM,因為IAM是比較老的體系,但它要適應現在新的IT基礎設施,目前我們也發現很多企業在升級IAM,主要關鍵點是哪些點?一個是它得支撐所有數字實體,以前身份管理體系不會考慮微服務或者API接口,這些可能不在他的考慮范圍之內,所以現在要支持這些,還有多方的認證協議,我們認證協議已經變的五花八門,而且各種生物識別技術,協議支持要跟得上。還有就是常提到的原生安全,以及還有現在我把身份管理變成一個云服務,需要兼容這些特征。以前我們身份管理更多的是依賴于AD、LDAP做身份數據的管理,其實現在大家都在用開源數據庫做整個身份數據統一的管理。所以這都是現代IAM典型的特征,大家可以思考下在現有IAM體系里面怎么做一些升級和提升。
第五是強身份的認證,這就是常說的雙因素或多因素認證,其核心目的就是把自然人和帳號建立強綁定關系。
第六是無邊界的訪問控制,現在的網絡環境已經打破了原有互聯網的邊界,區域防護,原來特別嚴格的安全域劃分,都是對于自由訪問的,所以無邊界的訪問控制也是現在企業必須考慮的一個新的方向。包括應用隱藏,單包授權和動態端口以及雙向加密通信,通過無邊界訪問控制,實現外網應用隱藏,當攻擊者找不到應用就很難對它造成攻擊,防守效果明顯。
第七是嚴格的行為監控和審計。大家現在已經開始做行為建模,群體和單體的建模,之間做一些比較,做類似于UEBA的技術研究,尤其是建立不同權限用戶的正常行為模型,去分析違規操作,用戶行為這塊其實考慮的是正常人,但它帳號體系包括信任體系建立完以后,用戶可能在內部做違規操作,這些全靠監控和審計系統進行用戶行為分析了。
第八是持續的動態授權。根據用戶權限的變化要做一些授權的改變,這就是要借助于人工智能要做一些權限動態的分配。基于用戶行為的監控和審計分析,一旦發現有違規和異常操作,實時進行動態調整訪問權限,及時阻斷操作。
第九是資產之間的訪問控制,也就是說數字實體之間訪問怎么控制,一個是API網關,調用通過API網關對應用間訪問和調用進行統一的認證,授權和訪問控制;還有微隔離技術,其實也是通過在容器上,包括在虛擬主機上做一些微隔離控制,實現東西向細粒度控制,這是目前各企業網絡安全防護的短板。
最后,我們結合以上這些點完整的構建了騰訊信任體系的架構和能力圖譜。實際上,我們在一些場合也做了一些測試,包括在線上做了一個系統的基于能力圖譜的評價,可以對這個基于能力圖譜對現有信任體系做一個整體的自評估,看看自己在哪些領域哪些部分現在做到什么程度,然后去考慮未來整個網絡信任體系如何去重構或者如何提升。
因為時間關系我今天就講這些,感謝大家!
