12 月 26 日,TGO 鲲鹏会北京年度家宴举办,来自多家企业 CEO、CTO、技术负责人等管理者共聚一堂,独特探讨寰球前沿技术的设想和将来。腾讯平安咨询中心负责人陈颢明发表了《如何重构网络安全信赖体系》的主题演讲,并从 网络信赖体系遇到的挑战、信赖体系重构的思路,以及信赖体系建设 等要害维度,对以后数字化浪潮下的企业所面临的平安信赖建设问题给出了本人的解读和倡议。
随着以后高新技术的疾速落地,数字化已成企业倒退外围驱动力的同时,但也使基于边界的传统网络安全架构无奈满足企业数字化降级之需,企业迫切需要一个反对无边界及云上资源平安拜访的解决方案。
针对如何建设 IT 身份与自然人的信赖关系,陈颢明提出了重构信赖建设体系的新思路。在他看来,身份和信赖体系始终都是企业平安建设的短板,信赖体系重构需重点围绕 辨认爱护对象、梳理依赖关系、人与资产和账号绑定关系、对立账号生命周期治理、强身份认证、无边界访问控制、行为监控和审计、动静受权、资产间拜访管控 等九个重要层面开展,能力一直强化 多因素认证、无边界访问控制、行为监控、动静受权、数字实体 的拜访关系。
其中,防护对象辨认是信赖体系建设的前提,须要对所有数字实体资产(须要细化到数据,服务和接口)进行辨认,注册并标识惟一身份 ID,连同自然人的网络身份 ID,建设人与资产和账号的绑定关系,以此实现人、数字实体和账号的“全因素”信赖管理体系。
在整个信赖体系的建设过程中,能够保障人和证造成强关联,尽可能做到双因素认证,基于依赖关系,进行拜访受权,保障数字实体资产的操作全记录和全监控,从而实现“全因素”平安管控。
最初,陈颢明还联合了腾讯构建的信赖体系架构和能力图谱,提出包含资产全因素和依赖关系梳理、信赖能力梳理、能力差距剖析、信赖场景梳理、布局场景建设门路、实现信赖体系构建 等要害维度的重构门路。企业只有理解信赖建设的能力指标,依据能力视图、业务优先级布局建设场景门路,能力分场景、分阶段实现信赖整体能力体系的建设。
以下为陈颢明演讲实录:
很快乐有这次机会沟通,我自己 20 年来始终做信息安全,咱们做信息安全这么多年,始终在思考一个问题,信赖问题,当然这是咱们信息安全的一个外围的问题。咱们说大家在座的都是技术大佬,网络上 TCP/IP 协定是不够信赖、不够牢靠的一个协定,所以导致咱们有各种各样的平安问题,包含方才主持人说的 DDoS 攻打就是用了 TCP/IP 三次握手这种不够谨严的一个问题导致很多问题,很多信息安全问题跟信赖都有十分大的关系,因为信赖体系建设的不够强健,导致很多平安问题的呈现。
所以,咱们抉择了信赖这个话题,次要当初大家都在提零信赖或者各种信赖体系,尤其往年在疫情期间,大家可能都得在家庭办公、近程办公,导致开始从家里或者在外围连公司企业网。怎么保障信赖问题,这个话题往年提的频次特地高,所以咱们明天谈谈信赖,就是信息安全的信赖问题。
先来盘点一下那些年咱们构建的信赖体系。最早咱们接触的信赖体系是,PKI 和 CA 体系,过后各种加解密、公私钥、认证核心、受权核心,是网络安全最为重要的解决方案。过后我记得很多银行开始上这些 PKI 体系,导致系统异样的简单,因为每笔业务都须要注册证书、发证、受权,加解密等一系列操作。
另外,边界隔离。随着网络日趋复杂化,大家开始思考网络区域划分和隔离,每个网络区域是有信赖关系的,低安全级别的区域不能向高平安区域级别的拜访,把平安域划分好,网络隔离措施做好,就是绝对比拟平安架构,这是另外一种信赖的模式。
大家对信赖的摸索始终没有停,起初大家开始思考一个简略的办法,从人下手,管好人的认证,其实就像咱们事实中,人去到什么中央,只有有一个员工卡或者身份证,就能进去,身份管理体系在各个企业开始逐渐推广。也就是说企业要建一个基于用户身份的全生命周期的治理,从他入职到我进入到这个部门,到产生线上的业务,包含我外部的办公利用,通过 IAM 体系对立管起来。起初发现运维人员和高权限的人越来越多,开始思考把这些人通过 CA、堡垒主机治理起来,像银行的数据管理员把握数据太多了,权限太大,用特权账号管理体系来治理。
然而,随着 IT 高新技术最近两年爆发式的改革,云计算、大数据、微服务架构、利用的轻量化包含 5G 包含挪动互联网的产生,发现以前边界的防护体系根本被突破了,大家都在提倡互联互通,原来还绝对牢固的信赖和隔离措施,忽然显得问题多多,甚至是不太实用,用户和利用的关系越来越简单,权限治理失控,包含之前所提倡的 PKI 体系,其实在 IT 改革过程当中遇到很多阻力和问题。
举个实战攻防演练实例,之前咱们提到相干的平安体系该企业都曾经建设了,但红方的攻打队很轻易的能够冲破咱们边界的防护措施,比方说企业 VPN,只有你没有做双因素认证,利用社工库、各种帐号的破解方法它会很疾速的入侵到内网,进入到内网更可怕的是横向挪动,因为咱们说咱们在企业内防守的话南北向防的很严,但东西向,尤其很多企业当初上云了,云的虚拟机之间的访问控制基本上很容易被冲破,再加上外部还有一些账号集权管理系统,如 AD 域、堡垒主机,网管服务器,一旦被冲破,整个外部的利用和零碎根本全副冲破,这就是目前企业在信赖体系的现状。
为什么呢?最要害的外围是身份管理体系建设的还不够强健,很多企业更多的是围绕着基础架构平安,边界防护,平安域划分隔离措施,纵深进攻。但在红蓝反抗或者高级别的攻打反抗场景下很容易冲破的,这外面提到一个问题就是企业如何把信赖体系做的足够强壮,黑客攻击到外部零碎大多的是利用了企业现有比拟单薄的身份和账号管理体系,坑骗了你的认证体系,进到内网进而动员攻打。
直到往年,大家开始提零信赖、SDP、微隔离,这是最近听的最多的三个词,零信赖体系提出来外围还是心愿从对任何用户,任何设施是不信赖的,怎么建设信赖关系,继续认证继续鉴权,这是谷歌最开始提出来的思路,因为他之前蒙受了歹意攻打事件,所有的网络安全措施全副生效,之后他们一狠心,把以前传统的平安建设模式和体系全副改掉,依照全新的信赖体系架构再从新搭建。
零信赖往年尽管很火但大家都不太懂,到底他蕴含哪些具体内容,怎么搭建?有哪些因素形成?以及信赖体系外围是什么?为了究其根源,我也查了一些对于“信赖”的定义,给了我很多启发,也给大家分享一下。信赖这个词在社会学它的解释是信赖是置信对方是诚恳、可信赖、耿直的。另外,信赖是波及交易或替换关系的根底。信赖被认为是一种依赖关系。
信赖是须要建设关系的,如果没有具体的关系很难信赖,这也就是咱们为什么会收到欺骗电话欺骗短信,个别像年轻人可能束之高阁,但老年人不肯定。其实外围就是没有建设信赖关系的分割,其实都能够断掉。通常咱们在信息安全治理过程中,仿佛没有真正思考过这点,就是信赖是一种依赖关系,是有关联,有业务关系或者有依存关系,这是信赖的前提。底下还有比拟重要的一些概念,替换过程两头信赖者要值得信赖的证据,这个证据肯定要证实你是这个自然人或者你是可信的设施,这一点也是要害。
而英文对 Trust 的定义是,置信这个人是好的,诚恳的,还有一个要害的点,这个事儿是平安靠谱的。也就是说,信赖,不光要思考对人的信赖,还得思考对的资产和行为的信赖。咱们所有的实体,咱们说当初有一个词叫数字实体,其实这个词很要害,也就是说因为咱们之前了解的 IT 资产很简略,服务器、终端包含咱们的利用,可能就到这个粒度了。实际上,随着云计算的倒退,包含微服务的倒退,你会发现每一个利用、服务、利用的接口,这应该都属于数字实体,咱们做身份治理须要把这些所有的数字实体都得思考进去。
同样咱们说所有的数字实体,腾讯提了一个概念叫做“全因素”。咱们要重构信赖体系,须要思考全因素身份体系的定义,其中包含身份体系的关联关系,也就是全因素之间的关联关系,以及全因素的安全控制体系。
当然,咱们加一个 IT 层面要思考的问题,就是把IT 或者说数字实体的资源和自然人要关联起来,而且是严密关联起来,以上这些都应该是咱们思考信赖体系重构的要害因素。
咱们把方才字面意思的解读失去的一些启发再放到整个网络环境外面,第一个因素自然人,人肯定是咱们平安管控的外围,人要依附终端、用身份 ID、通过帐号、获取认证拿到受权,去操作相应的资产,记录下日志和监控。在整个人到资产之间的拜访链条来看,黑客会从哪边儿动手呢?就是帐号,他从帐号动手会把你后面的链条全副切断,我间接用你的帐号获取认证,进行操作,你溯源的话只是溯源到帐号,实际上你很难抓到他相干的其余内容,你就会发现如果在整个帐号体系和前端没有买通的环境下,咱们的溯源工作根本就失败了,这个就是咱们目前很多站点被黑客攻击,实际上很难溯源,抓不到源头,因为和自然人、相干 IT 身份没有真正强绑定,这外面有些问题出在,比方有些企业多人共用帐号,一个人多个 ID,帐号和自然人没有真正实体绑定,帐号体系没有是对立的管理体系,这些都是造成这些方面的一些起因。
认证,在整个这个过程中还是重中之重,人和证肯定要强关联,当初有很多人脸核身、物证核身技术,咱们举荐企业客户肯定要做账号的双因素认证,外围就是要人和帐号体系肯定要强绑定,或者死绑定,这个能力确保你的安全性。
另外一个比较严重的问题是,攻击者只有拿到内网的权限,横向挪动简直是畅通无阻的。这里的问题通常是,受权粒度不够,没有达到资源级受权,不足流量和行为审计,不足违规操作辨认和管控,资产间访问控制粒度不够。数字实体全因素资产的操作须要有全记录和全监控,腾讯在这点做的比拟好,所有利用的操作日志以及网络流量全副记录下来,为前面溯源包含做安全事件剖析做好短缺的筹备。
总体来讲,建设一个残缺的信赖体系,身份帐号的治理,包含咱们的自然人和帐号的,人脸核身和认证,包含后续对于你对实体的操作包含权限管制须要做残缺和严格的管控体系。
前面就是把后面所思考的点做一个汇总,做好一个信赖体系,我总结了 9 点:
第一是辨认爱护对象。爱护对象就是方才提到的所有数字实体全因素的资产要辨认分明,到底在体系内有多少是数字资产,是要害的数字实体,这块要真正的辨认分明。以前只管人或者只管服务器设施、终端、数据库。但在云时代下,这个治理颗粒度还须要细化到数据,服务甚至是利用接口。
第二是梳理依赖关系。这是之前提到的关键点,当这两个连贯在业务上没有充沛依赖关系的话,就不要让它连起来,但在理论场景下,连贯和拜访关系异样简单,平安管理者基本不晓得谁和谁有关系,他们自在的连贯,真正是“互联互通”,但我感觉作为信息安全管理者或者说信息管理者,如果二者之间没有依赖关系,就能够思考不要连贯。
第三是人、资产和帐号的强绑定。某些互联网企业在这方面做得十分好,作为自然人的员工进入到企业有企业微信,企业微信有 Open ID 这个惟一标识的 ID,再和其余利用帐号再关联,和企业 HR 的信息间接关联,所以它会通过 Open ID 把所有帐号包含个人信息全副关联起来,最初不论是做了任何事件,都能够通过 Open ID 去检索和查问,永远能溯到源头。
第四是帐号的全生命周期治理。因为很多企业当初帐号体系比拟扩散,有可能一个企业是多个 IAM 零碎,还没有做后盾数据的买通,各自为政,这外面就存在一个人可能多个帐号,而且一个人在多个不同的 IAM 平台外面,这外面治理会有很大的问题。
这里咱们强调是新一代的 IAM,因为 IAM 是比拟老的体系,但它要适应当初新的 IT 基础设施,目前咱们也发现很多企业在降级 IAM,次要关键点是哪些点?一个是它得撑持所有数字实体,以前身份管理体系不会思考微服务或者 API 接口,这些可能不在他的思考范畴之内,所以当初要反对这些,还有多方的认证协定,咱们认证协定曾经变的形形色色,而且各种生物辨认技术,协定反对要跟得上。还有就是常提到的原生平安,以及还有当初我把身份治理变成一个云服务,须要兼容这些特色。以前咱们身份治理更多的是依赖于 AD、LDAP 做身份数据的治理,其实当初大家都在用开源数据库做整个身份数据对立的治理。所以这都是古代 IAM 典型的特色,大家能够思考下在现有 IAM 体系外面怎么做一些降级和晋升。
第五是强身份的认证,这就是常说的双因素或多因素认证,其外围目标就是把自然人和帐号建设强绑定关系。
第六是无边界的访问控制,当初的网络环境曾经突破了原有互联网的边界,区域防护,原来特地严格的平安域划分,都是对于自在拜访的,所以无边界的访问控制也是当初企业必须思考的一个新的方向。包含利用暗藏,单包受权和动静端口以及双向加密通信,通过无边界访问控制,实现外网利用暗藏,当攻击者找不到利用就很难对它造成攻打,防守成果显著。
第七是严格的行为监控和审计。大家当初曾经开始做行为建模,群体和单体的建模,之间做一些比拟,做相似于 UEBA 的技术钻研,尤其是建设不同权限用户的失常行为模型,去剖析违规操作,用户行为这块其实思考的是正常人,但它帐号体系包含信赖体系建设完当前,用户可能在外部做违规操作,这些全靠监控和审计零碎进行用户行为剖析了。
第八是继续的动静受权。依据用户权限的变动要做一些受权的扭转,这就是要借助于人工智能要做一些权限动静的调配。基于用户行为的监控和审计剖析,一旦发现有违规和异样操作,实时进行动静调整拜访权限,及时阻断操作。
第九是资产之间的访问控制,也就是说数字实体之间拜访怎么管制 ,一个是 API 网关,调用通过 API 网关对利用间拜访和调用进行对立的认证,受权和访问控制;还有微隔离技术, 其实也是通过在容器上,包含在虚拟主机上做一些微隔离管制,实现东西向细粒度管制,这是目前各企业网络安全防护的短板。
最初,咱们联合以上这些点残缺的构建了腾讯信赖体系的架构和能力图谱。实际上,咱们在一些场合也做了一些测试,包含在线上做了一个零碎的基于能力图谱的评估,能够对这个基于能力图谱对现有信赖体系做一个整体的自评估,看看本人在哪些畛域哪些局部当初做到什么水平,而后去思考将来整个网络信赖体系如何去重构或者如何晋升。
因为工夫关系我明天就讲这些,感激大家!