作者 | kirazhou
導讀:在 10000 多公里之外的舊金山,網絡安全盛會 RSAC2020 已經落下了帷幕。而身處杭州的肖力,正在談起今年大會的主題——Human Element。2020 年,從“人”出發,這顆石子將在國內的安全市場池子裏激起怎樣的漣漪?Human Element 的背後隱藏着怎樣的安全洞見?
在 Gartner 的《2020 年規劃指南:身份和訪問管理》報告中,我們看到了 IT 必須推進 IAM(身份和訪問管理)計劃,而身份治理和管理、混合/多雲環境作爲可預見的趨勢,更是已經在風口蓄勢待發。
人、身份和雲端,這三者之間的角力、千絲萬縷和無限可能,正是此次採訪的最大收穫。
Human Element:瞭解人的脆弱性
我們常常談起,“安全的本質在於人與人之間的對抗。”
從***對抗的視角來看,人的因素使得***對抗成爲一個動態的持久過程。***者的手段、工具和策略都在發生變化,而防禦者的安全防護能力也在提升,兩者之間持續對抗,安全水位線一直動態變化。
在整個***對抗過程中,人,既是防禦者,也可能成爲***者,而對抗不僅會發生在企業與外部的對峙中,很多時候也發生在企業內部。
人,是絕對的安全核心,這是今年 RSAC 大會傳遞給我們的訊息。而在關注人的安全技能與能力建設之餘,也要清晰地認知:人的脆弱性使人本身成爲安全中薄弱的一環。因此,企業在應對來自外部***的同時,如何防範來自企業內部人員的威脅同樣關鍵。
2017 年卡巴斯基的調查報告中提出,46% 的 IT 安全事故是由企業員工造成的。現在,這個比例已經上升至 70%~80%,譬如內部開發者由於未遵守安全規範或自身安全能力不足,而導致所研發的應用在設計之初就留下了漏洞,亦或是在職/離職員工由於操作不規範或直接的惡意行爲導致企業安全問題。
“整個安全體系絕對不僅是和自動化蠕蟲做對抗,這只是冰山一角”。
面對“人”帶來的安全影響,肖力認爲問題根源在於企業的安全基線做得不到位。目前,很多企業更注重於威脅檢測與響應,這一部分確實有用,但還不夠。“我們思考的不是出了問題後如何去解決,而是如何不出問題。”因此,事前的安全基線設置比起事後的檢測與響應更爲關鍵。企業安全基線包括了:
- 所有應用系統的統一身份認證與授權
- 安全運營:設置紅線
- 建立應用開發安全流程:確定開發人員培訓、內部安全考試與認證等規範
如果說企業的安全基線是走向安全的基礎 60 分,那麼,只有先做好安全基線再去做事後檢測響應能力的提升,才能讓企業安全體系更爲穩固。其中,“身份”作爲在互聯網中的直觀映像,身份管理對於有效降低內部人員的行爲帶來的安全威脅可以說有着重要作用。
<a name="JkTeJ"></a>
身份:零信任理念下的新舊邊界交替
網絡身份的重要性無需再贅述,而身份如何從安全因素之一轉變爲企業安全防護的“主角”,2010 年是一個隱形的節點。
肖力指出,在過去的 IT 環境中,尤其是 2000~2010 年期間,邊界隔離是企業安全防護的主要手段。但 2010 年後, IT 整體環境發生了巨大的變化:
- IT 架構根源性的變化:隨着移動互聯、lOT 設備的普及,整個內網、辦公網絡都受到了巨大的衝擊,大量的設備接入,導致原來的邊界難以守住;
- 企業數據庫從 IDC 遷移到雲上:隨着雲計算的浪潮,越來越多的企業選擇全站上雲或 50% 業務上雲,導致防護環境發生變化。
- 企業 SaaS 服務發展:企業網盤、釘釘等企業 SaaS 服務的發力,意味着越來越多的企業工作流、數據流和身份都到了外部,而非固定在原本的隔離環境中。
隨着環境因素的變化,傳統的邊界將漸漸消亡,僅依靠傳統的網絡隔離行之無效,這時候,基於零信任理念的統一身份管理爲企業重新築造了“安全邊界”。
基於零信任理念,企業可以構建統一的身份認證與授權系統,將所有賬號、認證、權限統一管理。譬如,離職員工被視爲企業的重要威脅之一。在整個企業安全體系建設的實踐中,必須要做到賬戶對應到應用系統的權限統一,實現每天離職員工的所有身份、賬號權限可以在企業內部系統中一鍵刪除。
包括近一段時間安全圈內熱議的微盟員工刪庫事件,從身份認證與管理的技術角度來看,也是完全可以避免的。肖力認爲:
- 一方面,企業在實施 IAM(身份和訪問管理)時,秉持最小權限原則,通過帳號的權限分級,給到員工應有的權限即可,而類似“刪庫”的特權賬號不應該給到任何一個員工;
- 其次,哪怕員工下發了批量數據刪除的指令,企業也可以通過內部異常行爲檢測,識別出該類指令基本不會發生在正常的生產環境中,從而不執行該指令。
除了技術層面的實現,身份認證與管理的本質依舊是安全基線。同時肖力指出,安全團隊在企業中的位置與影響力則決定了基線能否被確定、切實地落實到業務中去。判斷安全團隊在企業、業務中的影響力大小,最直觀的就是組織架構:安全團隊是否爲獨立部門,直接彙報給 CTO 甚至 CEO。
未來,IAM 應該還會向零信任架構推進,並基於零信任理念衍生出多應用場景下的身份治理方案,打通“身份認證”與雲安全產品,構建雲上零信任體系。
<a name="pReee"></a>
基於雲原生安全的 IAM
身份管理提供商 SailPoint 的首席執行官兼聯合創始人 Mark McClain 曾經說過:“治理的世界是有關誰有權限訪問什麼東西,誰應該訪問什麼東西,以及如何正確使用這些權限的世界。但現實是,大多數消費者距離前兩條都差得很遠,更不用說第三條了。”幸運的是,現在的 IAM 工具/服務越來越易用,並且加快延伸至雲端環境。
肖力指出,雲原生的安全紅利是可見的。“常態化”的雲幾乎成爲了企業操作系統,涉及 IaaS 層、PaaS 層和 SaaS 層。各個雲服務商在安全上注入鉅額投資,以規模化的人力物力打磨雲安全產品和技術,讓企業開始嚐到雲原生技術帶來的安全紅利。
普通企業不必重複造輪子,搭載上阿里雲等雲服務廠商的航母,就能在雲計算浪潮裏前行,享受高等的安全水位。<br />其次,雲化帶來的 6 大雲原生安全能力:全方位網絡安全隔離管控、全網實時情報驅動自動化響應、基於雲的統一身份管理認證、默認底層硬件安全與可信環境、DevSecOps 實現上線即安全,讓企業脫離原本複雜的安全管理模式,從“碎片化”到“統一模式”。
隨着企業上雲趨勢日益明顯。IT 基礎設施雲化、核心技術互聯網化,最終讓企業架構發生變革。而“雲化”的過程中,越來越多的企業開始思考混合和多雲環境下的 IAM(身份和訪問管理)問題。
混合雲:場內工作+公有云環境服務的使用;
多雲:多個公有云服務商服務的使用。
關於混合雲,基於企業上雲後的統一管理模式,可以在複雜的混合雲環境下直接實現統一的身份接入,將企業雲上與雲下身份打通,並且基於對雲端上的用戶環境做評估,動態地授於不同人以不同權限,從而讓任何人在任何時間、地點,都可以正確地訪問內部資源。而多雲的環境則可以利用活動目錄的工作負載實現身份管理。
雲上的環境,賦予了統一身份管理更多的可行性,而進一步探索混合和多雲 IAM 實現方案將成爲企業戰略的新方向。
最後,由身份管理衍生的數據安全問題,同樣值得關注。2019 年,數據安全絕對是最熱的話題之一,不管是高發的動輒上億級別的數據泄露,或是陸續出臺的數據隱私法規,都在反覆強調數據安全的重要性。
在採訪的尾聲,肖力同樣談到了今年 RSAC 的創新沙盒冠軍 Securiti.ai。有意思的是,過去 3 年創新沙盒冠軍中有 2 年都是做數據安全的,似乎給網絡安全企業的下一步發展提出了一個非常明確的方向。
首先,數據安全本身的命題就很大,數據的流動性使得數據安全問題橫跨各個安全技術領域,並出現在企業的各個環節中;其次,市場需求大。企業對於如何保障內部數據安全、保障客戶的數據隱私安全有着迫切的需求。如此看來,“說不定明年的冠軍也是做數據安全的呢。”
因此,在未來的 5~10 年,如果安全公司可以通過核心的產品和技術突破幫助用戶解決數據安全問題,比如依靠技術摸清底盤,瞭解用戶隱私數據在哪裏有哪些,必然可以在市場分得很大一塊蛋糕。
肖力最後指出,需求正在倒逼技術的發展。數據安全領域亟需通過技術突破迎來爆發。
“阿里巴巴雲原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐,做最懂雲原生開發者的公衆號。”