身份認證安全的 AI 化,是未來的一個大的趨勢。相信很多安全從業人員對最近兩年IDaaS在業界的興起都耳熟能詳。它是Gartner中區別傳統IAM產品的一個定義,全稱是IDentity as a Service,主要是指雲化的身份認證服務。今天,我們就來聊聊身份認證安全如何爲遠程辦公抗疫保駕護航。
行業趨勢
本次2019-nCoV病毒的爆發,加速了辦公上雲和移動的演變過程。無數企業今年的開工都轉到了線上,幾萬人的直播,這種臨時性的波峯需求能良好的適配非雲莫屬。這場突如其來的變故,也催熟了移動辦公的需求。員工都在家裏,通過自己的移動設備來參與工作。
即使沒有這些,IDaaS專注的密碼技術的安全挑戰在過去也是與日俱增的。如果說通過對稱算法的賬戶密碼方式容易被撞庫,今天,即使用非對稱技術生成的短期令牌,也仍然受到了挑戰。通過發一個釣魚的宏文件,或是一張有惡意腳本的圖片,都可以竊取你的會話憑證的,無論它有多少個字節長。企業能做的,就是啓用更復雜的安全策略,但是在用戶體驗上,又帶來了更多的詬病。
如上所述,企業很快發現更細粒度的去驗證用戶看起來並不可行。未來,通過引入AI技術,對所有對內和對外的業務系統的訪問進行全面分析計算,動態檢查和更新現有的安全策略,然後利用適當的自動安全控制,通過後臺來決定是否允許對核心系統的訪問,會大行其道。所有這些努力都是既安全又不會讓用戶煩惱。
AI技術發展到今天,除了BostonDynamic那個機器人的驚豔後空翻,在這次抗疫過程中也是大顯身手。儘管機場車站人來人往,但是測溫設備已經能快速甄別出發熱人員。
ESG年度研究報告指出,2020年安全性投資的前4個重點領域排在首位的是:使用AI/ML進行威脅檢測的人工智能網絡安全技術(32%)。原因很簡單,未來的數據是海量的,靠人工去篩選,效率是個大問題。如果不能及時捕獲異常,就不能及時響應。
國內趨勢
2019年,國內的安全廠商也從自己擅長的技術點紛紛切入零信任安全。一撥是傳統的VPN廠商提供軟件定義邊界SDP產品,減少互聯網暴露面作爲賣點的。值得一提的是,離開了身份爲核心的零信任安全是不完整的。身份和邊界必須充分結合起來纔是完整的零信任,不能盲人摸象。
本次抗疫暴露了不少問題,一方面,形勢需要,另一方面,倉促上陣。很多企業,還停留在傳統的VPN遠程辦公上。它能滿足領導和運維人員已經很好了,上萬人開視頻會議肯定掛。某國內頂級銀行,對基礎設施投資數億每年,但是面對目前海量的在家辦公需求,還是卡頓,不得不尋求新的解決方案。
可以預見的是,疫情對行業的影響也將是深遠的。遠程辦公,在線教育都會成爲熱點。IT圈子對圍繞身份認證授權的零信任網絡也會有更高的熱情。但是,羅馬不是一天建成的。谷歌自2013年開始,前後花了6年推出了BeyondCorp,企業是不可能在一夜之間將原有的體系推倒,從零搭建零信任體系的。更務實的做法是儘早開始嘗試,哪怕一開始是簡單的模型,社會事件和安全事件都是很好的推手,加速產業成熟。
IDaaS解決方案
以IDaaS(統一身份認證服務)爲核心,阿里云云盾提供的零信任安全解決方案基本完整,類似谷歌的BeyondCorp簡化版本。通過Agent終端管控,SPG(Service Provide Gateway)應用接入,和IDaaS身份認證齊頭並進,可以提供靈活的組合方案從而滿足企業的要求。
身份爲核心的零信任模型
如上圖,公有方式IDaaS和SPG部署在阿里雲上,通過VPN隧道,可以接入到企業的內網。這樣,在防火牆上只需要配置SPG一個入口IP的ACL規則,從而確保所有能進入企業內網的流量,都是經過阿里雲WAF、IPS等清洗過的。
釘釘整合
抗疫戰鬥中,釘釘很好的扮演了在終端上作爲應用門戶入口的角色。
這次在家遠程辦公的要求之高之急對很多的IT人是沒有心理準備的。釘釘連續兩天擴容1萬多臺服務器,就表明了受歡迎程度還是很高的。初期,對釘釘的應用還是淺的,主要是直播會議等。未來,當釘釘真正成爲辦公入口的時候,內網應用開放給釘釘會帶來更大的安全挑戰。
展望與總結
抗疫過程中,阿里巴巴集團秉承自身的To B基因,除了有全球採購物資等社會擔當,同時也展現了很多的技術能力。
真正的零信任安全構建體系化,從端到雲,需要全鏈路的保護。終端、接入、AI和雲原生是阿里雲的核心競爭力。雲原生的核心優勢在於雲上架構可以從IaaS、PaaS、SaaS自下而上構建可信鏈條,第三方安全廠商是很難中間植入的。
除了IDaaS,雲盾DDOS, WAF, SDDP,風控,實人,SSL證書等有用武之地,阿里巴巴集團的阿里郎,釘釘,RAM,VPN,SAG,達摩院的AI等等,未來都是整合出更豐富的安全解決方案的彈藥儲備。
最後,不管你樂意不樂意看見,以身份爲邊界的零信任安全是大勢所趨。
疫情,讓這個春天雲和移動的需求迎面撞來,對應的安全防護也越來越外延化。移動終端設備,公有云服務器,都挪到了企業傳統的安全邊界防火牆的外面,原來的雞蛋殼式安全模式被打破。如果說20年前的邊界主要是圍繞IP來構建ACL,防火牆(包括NGFW)需求爆發;10年前WEB2.0帶來了WAF的長足發展;那麼,零信任也必將帶來IDaaS等以身份爲新邊界的安全需求增長。而此類市場動向,會以重視安全的政府和金融用戶爲先鋒驅動,讓我們拭目以待。