3月27日,“京麒”社區(qū)聯(lián)合安全+共同舉辦了一場線上安全沙龍活動,來自京東、騰訊、滴滴、科大訊飛、平安科技、等知名互聯(lián)網(wǎng)公司以及OWASP中國的安全專家,以“零信任框架”為基礎,針對具體問題,深入解析并探討了疫情下的企業(yè)遠程辦公安全防護實踐,為企業(yè)在新的辦公應用場景中落地零信任架構提供了有力借鑒。
沙龍以直播形式,持續(xù)了兩個半小時,總計吸引13000余人次觀看,網(wǎng)友就話題積極參與互動。
議題一
此次疫情來襲時,各位所在的企業(yè)都暴露了哪些關鍵的安全風險
張坤(主持):此次疫情來襲時,各位所在的企業(yè)都暴露了哪些關鍵的安全風險?
鄧二平:從安全角度來看,這次疫情對于很多企業(yè),會產(chǎn)生幾個比較典型的風險:
一、在疫情下邊界的模糊會顯得尤為明顯,由于虛擬化的遠程辦公,傳統(tǒng)的企業(yè)網(wǎng)絡邊界,面臨著越來越大的風險和挑戰(zhàn),內(nèi)網(wǎng)與企業(yè)防護殼這樣的邊界也正在模糊和消失。
二、邊界在某些層面發(fā)生模糊趨勢,比如應用上。對很多企業(yè),特別是大型企業(yè),一般都是采用基線保護、重點保護的思路,通過SDLC來實現(xiàn)整個完整應用生命周期的安全防護。這類方法會優(yōu)先保護對公網(wǎng)、互聯(lián)網(wǎng)以及對合作伙伴開放的系統(tǒng),加強對它應用安全的防護。但是對于內(nèi)部后端、后臺,網(wǎng)絡會更靠后。在邊界模糊的情況下,內(nèi)部的應用安全性,一下就提上了日程,它變的會更加靠外,讓整個企業(yè)存在新的網(wǎng)絡攻擊的可能性,從而導致內(nèi)部有橫向滲透等問題,這對內(nèi)部整體應用安全的管理、保護,提出了一個新的挑戰(zhàn)。
三、企業(yè)內(nèi)部數(shù)據(jù)的流動挑戰(zhàn)會更大,權限的管控也需要更加精細化。對于內(nèi)部數(shù)據(jù)安全,最大的挑戰(zhàn)風險點就是終端安全的管理,這時候允許你的員工自由流,就要有更好的措施去應對它。
徐亮:在疫情發(fā)生時,大部分公司還是沒有零信任的基礎。甚至有的公司,在零信任上還會有安全性的降低。比如以前辦公網(wǎng)絡設備是有準入的,現(xiàn)今情況下準入標準就會有不同程度的降低。成千上萬的私有設備會接入公司網(wǎng)絡,甚至這些設備都未經(jīng)公司的安全管控,這很大程度上,影響了辦公員工的安全性。這個時期,利用疫情的網(wǎng)絡釣魚行為也有所增長,同時由于大部分運營人員和開發(fā)人員技術能力不到位,類似在公網(wǎng)管理后臺等一系列奇葩操作也打破著以往的網(wǎng)絡安全策略。
孟源:最主要的問題是內(nèi)部應用在設計之初沒有考慮到在零信任環(huán)境、無邊界環(huán)境中的應用。比如說傳真、物理電話、攝像頭以及身份識別的硬件設備,純粹做虛擬化的映射實現(xiàn)起來還有問題,對于特定的場景如何解決它的遠程辦公需求?臨時來講,我們是通過做一些應急響應和保障來解決,對于必須在內(nèi)網(wǎng)運營的的場景,核心業(yè)務,也是通過有人職守配套執(zhí)行,所以傳統(tǒng)的應用在新的架構上會有局限性。
張坤(主持):請教孟老師,一般公司需求從五十個激增到五百個的時候,企業(yè)是怎么平滑切換又不會影響員工呢?
孟源:我們比較重視整個安全生態(tài)的建設,在設備擴容方面得到原廠商大力的支持。我們在每一次放假之前,首先劃定一個期限,我們的設備要滿足全員放假情況下的業(yè)務需求。我們以此為基線,假如發(fā)生更多的并發(fā)情況下,我們可以要求廠商提供設備增加擴容,而且我們本身帶寬資源還比較充足。
黃宇鴻:這次疫情爆發(fā)趕在春節(jié),很多工作還是挺有壓力的,原來一些內(nèi)部的應用,需要開放出去;一些線下的場景,需要切換到線上,在這個過程中,實際上很多工作都很急,也會引入安全風險,需要我們系統(tǒng)的安全進行兜底。
劉傳:前面幾位老師說的都很詳細,一、大家都面臨相同的問題,大量終端接入導致業(yè)務系統(tǒng)響應不及時,通過第三方的平臺或者系統(tǒng)進行傳輸,導致數(shù)據(jù)泄露風險點較大;二、人員造成的風險增加;三、遠程設備安全性,因為遠程設備也會暴露一些高危的漏洞,而軟件設備是否能撐得起這么大量的并發(fā)接入;同時,公司的核心研發(fā),研發(fā)的安全、代碼是如何保護的?這一塊也是我們值得考慮的風險點,在什么樣的框架下保證數(shù)據(jù)、代碼只進不出,對我們是比較大的挑戰(zhàn)。
議題二
在這次疫情之前,企業(yè)是否有基于零信任的建設,主要關注哪些點?而這次疫情期間,建設內(nèi)容又有哪些不同和提升?效果如何?
張坤(主持):第二個問題實際上是第一個問題的補充。在這次疫情之前,企業(yè)是否有基于零信任的建設,主要關注哪些點?而這次疫情期間,建設內(nèi)容又有哪些不同和提升?效果如何?
黃宇鴻:在滴滴信息安全,平時有不少技術積累,在疫情期間還是做了一些整合。我們有自研的LCA產(chǎn)品(叫EagleEye,也在商業(yè)化),這個產(chǎn)品在終端會做安全檢查,具備DLP能力,LCA產(chǎn)品會跟VPN連接做聯(lián)動,使得VPN接入有安全基線。在IAM方面,SSO我們也有卡點,在訪問一些敏感應用時,也會跟前述能力有一些聯(lián)動。零信任方案里有一個基本的設施應用網(wǎng)關,針對疫情期間的釣魚,可以和零信任網(wǎng)關聯(lián)動,提升MTTR。我們安全基本能力差不多都有,這次疫情也是比較好的契機,我們基于遠程辦公的場景做安全能力整合。在零信任這套框架里,從去年到今年,我們很多工作都是在做能力的整合和提升。
孟源:我們雖然也一直推動零信任架構的建設,但是相對來說我們還是處在比較初級的階段。我們現(xiàn)在采取的方法還是身份認證和設備認證,配合應用安全網(wǎng)關的模式,當然重點還是身份認證和設備認證為核心,最顯著的變化,就是安全運維和基礎運維工作量增加,之前我們可以講在安全上做保證,現(xiàn)在更著眼在可用性上。
徐亮:我們公司算是應用零信任方案的,所以在疫情期間,我們認為它和過去傳統(tǒng)在辦公時是有區(qū)別的。實際上大部分零信任都是通過代理轉發(fā)的,以前遠程辦公量級比較少,現(xiàn)在這種情況下,安全策略就要做調整,要分清楚誰是誰。我們對零信任的訪問能力做了一個調整,保證員工使用自己的設備,他能夠不那么痛苦的接入到我們公司網(wǎng)絡里。安全上我們對策略做了審計,也保證了在這種情況下,我們的安全模型也能很好運行,及時發(fā)現(xiàn)安全問題并止損。
鄧二平:京東在這次疫情中并沒有做什么特別有針對性的東西。因為在我們整體可信架構當中,已經(jīng)包含進去了。這次疫情,它帶來的影響和觸動不僅僅是涉及到辦公網(wǎng)安全這部分,也會涉及到自己內(nèi)部應用安全架構和內(nèi)部網(wǎng)絡基礎架構。
去年年中,我們已經(jīng)在開始從多個方面籌劃整個京東可信架構的建設,比如說基礎設施可信計算、整個網(wǎng)絡可信類似的架構等,這些都在原來計劃當中推行。而這次疫情使大家意識到數(shù)字化真的非常近了,京東很多業(yè)務當中已經(jīng)有所體現(xiàn)。我們內(nèi)部業(yè)務方或者很多管理層,能夠更形象去感知這種數(shù)字化下的安全、可信架構安全,對數(shù)字化業(yè)務的必要性和重要性,對我們整個安全工作其實是有觸動加速的作用。在年初時,我們就已經(jīng)在構建京東的紫軍,他可以幫助我們的紅軍快速、高覆蓋面的驗證。所以對于這一次疫情來講,像釣魚以及其他方面,紫軍還是有一些展示的場景,其他日常工作跟大家都差不多,只不過實現(xiàn)的方式會有一些差別而已。
議題三
安全防護的具體措施是什么?(從端,到VPN,再到系統(tǒng),涉及VPN防護、木馬病毒、系統(tǒng)安全加固、產(chǎn)品、權限管控、防護措施等等)
張坤(主持):安全防護的具體措施是什么?(從端,到VPN,再到系統(tǒng),涉及VPN防護、木馬病毒、系統(tǒng)安全加固、產(chǎn)品、權限管控、防護措施等等)
鄧二平:一是常規(guī)意義上的零信任,它解決的對象是從用戶的方式接入到我們的網(wǎng)絡、系統(tǒng)來消費企業(yè)的服務,特別是從人的維度,從賬號到設備。這方面,目前并沒有直接采用Google的方式去做,我們會設計分布式,對于外部網(wǎng)絡接入,會基于設備指紋再加安全基線和終端監(jiān)控配合我們VPN改造,實現(xiàn)這一塊部分的接入。二是這次挑戰(zhàn)最大的應該是數(shù)據(jù),它直接控制了表象權限這方面。對于權限這個事情,雖然BeyondCorp提出了權限統(tǒng)一的健全,但是權限最大的挑戰(zhàn)不在于授權。我們試圖去構建一個安全虛擬UI的能力,安全虛擬UI它最終目標是“數(shù)字化的公共空間”,企業(yè)所有辦公需求,都可以在一個數(shù)字化的工作沙箱里去完成。
徐亮:二平老師講了零信任這一塊對賬號體系和賬戶有很大的要求。谷歌給的內(nèi)容并沒體現(xiàn)出這一部分。我們這邊零信任主要是其他兩個兄弟團隊實現(xiàn)的。我們有很多年關于賬號體系安全的建設經(jīng)驗,不管過去保護QQ也好、微信也好,我們都會對賬號體系有一定的安全建設,這個功能也是迭代式開發(fā)的。最早,騰訊就有通過公網(wǎng)訪問內(nèi)網(wǎng)運營平臺的能力,但一上來就到零信任可能不適合所有企業(yè),特別是那些一開始沒有賬戶權限的保護機制的公司,對準入方面管理公司很難適合。騰訊這一塊零信任更多還是賬戶體系的保護和訪問權限的合法化。
孟源:我們認為基礎是整個賬號體系本身,我們通過自身實踐覺得有以下幾點是一定要做的。一是一定要在組織內(nèi)部有自建或者真正有大量人力去運維的賬號管理體系,這作為資產(chǎn)的一部分。我們講的零信任,我們認為所謂的零信任就是處處要進行認證,處處根據(jù)認證的結果、可信的結果進行通訊,并不是一次認證完之后就可信。所以我們的體會來講,想實現(xiàn)零信任,更多的是對于安全基礎能力的考驗,基本工做的越扎實,高大上的東西實現(xiàn)起來才會更方便一些。另外真正實施過程當中我特別認同二平老師講的,我們認同的一個概念就是安全工作空間,這次疫情來看最難解決的問題就是數(shù)據(jù)不落地的問題。
黃宇鴻:零信任我覺得首先是在身份安全方面有較好提升,零信任的要求是去判斷當前會話身份認證可信的程度,僅僅通過賬號密碼去認證,可信就會低一些,設備系統(tǒng)不是最新的版本,可信也會低一些;另外要對后臺的應用進行分級,相關的要對應用的數(shù)據(jù)和權限進行分級,是否敏感數(shù)據(jù);然后基于會話的可信程度和應用分級進行訪問策略管理;所以零信任在身份安全和權限管理方面有很大的靈活性。我們在考慮零信任這套體系和原來的IAM如何融合,兩個系統(tǒng)它的邊界在哪里,目前想法是用零信任解決能否訪問應用的問題,偏安全對抗;訪問到應用以后,用戶能訪問到哪些數(shù)據(jù),能做哪些操作,由原來的權限管理系統(tǒng)來管理,偏內(nèi)部規(guī)范,由各個系統(tǒng)管理員來管理。
這里面其實也有很多挑戰(zhàn),例如應用的分級,它是動態(tài)的,和數(shù)據(jù)和操作權限相關;數(shù)據(jù)級別需要自動化去識別,在操作權限方面,比如說錢相關的操作權限是較敏感的,但數(shù)據(jù)上特征不明顯,比較難自動化識別。我們目前有比較大的FT團隊去維護權限,這里會有安全的人員以及業(yè)務系統(tǒng)的管理員一起去定義操作權限級別。
劉傳:我們在疫情階段面臨比較大的挑戰(zhàn)就是研發(fā)安全這一塊,有些研發(fā)人員安全數(shù)據(jù)代碼如何防護?如何達到看得見拿不走,拿走也打不開的方式?我們這一塊也嘗試建設零信任,同時也產(chǎn)生了一些效果。現(xiàn)在目前要結合零信任使用,這樣在授權終端落地會有更好的保障,我們在安全檢測這一塊,一個態(tài)勢感知我們可以實施檢測,這一塊會有外部的一些點,還有一些基礎的以及攻擊類型。
態(tài)勢感知這一塊會有危險情報,但是傳統(tǒng)這一塊是沒有危險情報體系。我們零信任可以基于一些用戶行為分析,結合一些危險情報的相關規(guī)則做一些判斷和預警,這一塊危險情報是一個亮點。
議題四
從這次疫情的安全防護來看,對企業(yè)安全建設有哪些安全建議和思考?
張坤(主持):
從這次疫情的安全防護來看,對企業(yè)安全建設有哪些安全建議和思考?
黃宇鴻:
還是說VPN擴容說起,在擴容時候不是很方便,另外安全策略這塊,在大量員工VPN訪問背景下會加很多安全策略,不是很靈活,過程中還出現(xiàn)VPN的安全策略有長度的限制,所以加著加著就超長了;所以第一個建議還是安全建設要有彈性(軟件方式堆疊服務器是比較好的方式),策略要有靈活性。第二個在自動化和工具能力方面需要積累,疫情發(fā)展很快,所以會涉及到很多線下辦公的場景要改到線上,有一些內(nèi)部的應用要開放出來,這里會帶來很多安全風險。這種情況下安全怎么能夠比較快速兜底,這個能力實際上是需要平時積累的,所以平時自動化和工具化多積累,碰到特殊的情況能更從容一些吧。
孟源:
我們覺得在安全建設方面,我們看中兩個方向的發(fā)展。一個是基礎,我們在企業(yè)運營里,一個是組織的規(guī)模越大,其實最基本的技術工作越不是很到位。舉個例子,比如說我們的賬號管理,是不是針對每一個入職或者相關的人員賬號授權,從制度上、流程上都有保證?另外像宇鴻老師說的對自動化工具的使用,包括像現(xiàn)在看上去大量信息的接入,包括我們的日志云、各個應用系統(tǒng)的風險埋點以及風險決策埋點,這種自動化的編排工具、配套平臺,需要更多的引入進來。大規(guī)模靠人力堆疊上去,對一些單點比較復雜的場景用人工是沒有問題的。但是更多這種普世性、篩查的,或者對業(yè)務模式進行學習的,可能要有一些自動化工具,不排除用機器學習等。
鄧二平:
其實不同行業(yè)、不同規(guī)模的企業(yè)遇到了問題,可能打法都會有所不一樣,所以說今天我大概去說一下像京東或者滴滴、騰訊包括平安這種類型的大型公司有兩個工作需要重點關注。
第一點,在安全攻防、安全落地的過程當中,有大量業(yè)務技術人員、業(yè)務運營人員,他們都會一塊跟我們協(xié)同,從基礎架構到應用的編碼開發(fā)、權限管理等。我們還面臨著一個很大的挑戰(zhàn),安全怎么樣能夠賦能給自己的業(yè)務伙伴,這其實會直接影響到未來我們整個安全工作是不是能夠落地,是不是能夠建起一個強大的真正意義上的縱深防御的體系。
第二點,京東面臨整個數(shù)字化轉型的壓力越來越大,不僅僅是體現(xiàn)在此次疫情所看到的IT遠程辦公的數(shù)字化需求,還包括電商、零售的數(shù)字化演進,這些都會帶來一些新的挑戰(zhàn),如果我們今天還用現(xiàn)在的手段去應對它,我們會變的越來越被動,這也是為什么京東愿意花精力去重塑安全架構最主要的原因,今天我們面臨挑戰(zhàn)很多,無論是可信計算方面、可信網(wǎng)絡方面,還是可信數(shù)據(jù)方面,我們都存在很多挑戰(zhàn)。我覺得應該有勇氣和責任去嘗試去努力去改變它。
徐亮:
這次疫情過程中感覺比較明顯的是對于我們安全策略的快速響應和運營人員提出了更多的要求,我也比較期望后續(xù)關于安全策略的調整,它可以更智能一些。可能會有像現(xiàn)在的意外讓網(wǎng)絡訪問方式發(fā)生變化。
這里舉個很簡單的例子,零信任會導致很多東西通過同樣的來源來訪問,例如不受安全管控的主機接入公司網(wǎng)絡。大家可以想象,用原來管控內(nèi)的策略去運營私有電腦是很痛苦的,可能有些網(wǎng)絡并不是有木馬或者病毒,只是跟你原有的策略是沖突的,短時間內(nèi)這些沖突的策略可能會非常得多,如何更智能更AI化調整運營策略?這是后面需要思考的問題。
劉傳:
對于這次疫情的數(shù)據(jù)安全性,需要對數(shù)據(jù)進行分級分類,站在數(shù)據(jù)生命周期的每個階段進行安全防護。
議題五
對未來遠程服務的價值與風險點的看法?
張坤(主持):
對未來遠程服務的價值與風險點的看法?
徐亮:
我個人的想法,遠程辦公這么強的需求,可能不會是一個常態(tài),它可能是疫情下的爆款。通過這次疫情,我相信很多中小型企業(yè)或者大型企業(yè)也意識到了,之前流通的網(wǎng)絡遠程訪問主要依賴的是VPN,VPN在擴容和使用門檻以及安全性上都有不同程度的挑戰(zhàn)。后續(xù)我們要思考下遠程辦公,將來用什么樣的方式,讓自己的員工更好接入公司的網(wǎng)絡。同時在安全策略上保障其安全性。前面各位老師提到過數(shù)據(jù)安全性,比如在會場是會有保安管理的,但是現(xiàn)在這場會議安全性就很難保障,我們這次是公開的。如果說是私有會議,我們很多地方都會懷疑,比如說網(wǎng)絡傳輸是不是安全的,會不會有人電腦中了木馬?這都是很難預期的問題。遠程辦公下帶來新的問題,就是如何信任你的生產(chǎn)創(chuàng)造的東西是安全的,不會被人拿走,這是一個新的風險點。
孟源:
我們首先覺得無邊界網(wǎng)絡接入這個趨勢是沒有辦法避免的,尤其是隨著萬物互聯(lián)的開始,不管愿意也好不愿意也好,傳統(tǒng)基于邊界防護包括內(nèi)部可信的體系,基本成為影響業(yè)務發(fā)展的短板,很多情況下我們會發(fā)現(xiàn)業(yè)務部門和安全部門的矛盾,更多也是基于這個方面來產(chǎn)生的。隨著這些場景的普及,這種長流量的加密、端到端的加密也是不可避免的選擇。后面我們匯集了未來可見的安全攻防的主戰(zhàn)場,從網(wǎng)絡網(wǎng)關的節(jié)點會轉到端上來,也包括手機、電腦、云端數(shù)據(jù)化節(jié)點。我們認為處理好硬件可行計算接入準入之后,對于認證以及操作意愿真實性,這是未來的挑戰(zhàn)趨勢。另外各位老師也說過了,整個系統(tǒng)也會越來越復雜,處理的數(shù)據(jù)量會大量的增加。所以分析的工作、自動編排的工作需要機器學習支持。后來慢慢真的可能變成AI協(xié)助下的攻防對抗,安防不光是自己層面發(fā)展,更多是要和業(yè)務、人工智能等協(xié)同部門來產(chǎn)生并發(fā)的效益。
鄧二平:
我比較認同孟源老師的觀點。這次疫情可能只是一個導火索或者出發(fā)點,我認為我們數(shù)字化世界或者叫數(shù)字經(jīng)濟,離我們會越來越近,這個東西不會因為我們想或者不想,就會發(fā)生整個逆轉,從我個人的判斷來講,這應該會成為大的趨勢,并且很快會能夠來到,因此會引發(fā)實體世界和虛擬世界整個安全的挑戰(zhàn)。我個人最主要的觀點。就是說數(shù)字化的世界就在我們眼前了,我們的安全是否做好準備?是否有迎接整個數(shù)字化體系和數(shù)字化架構下的能力?
黃宇鴻:
第一,我覺得從趨勢看傳統(tǒng)的純邊界防御防不住,零信任方案是在這個背景下,提出從原來在邊界重兵把守,轉變成以身份認證為中心的防護方式。遠程服務的首要要點是身份識別,遠程時不知道對方是誰,因為看不到,即使看到了也未必是真的;所以身份認證是基礎,身份識別也是后續(xù)權限管理的基礎,身份識別錯了就都錯了。
第二,遠程服務肯定會涉及到各種數(shù)據(jù)的傳輸,這個過程當中你是不是采用可靠的協(xié)議,數(shù)據(jù)是否加密和校驗,數(shù)據(jù)的機密性和完整性如何保證?這也是比較常見的風險。
第三,需要做各種安全能力的整合和聯(lián)動,安全趨勢越來越體系化了,零信任它不是一個簡單產(chǎn)品,我覺得它是一套框架,或者相對復雜的方案。在這個框架里涉及到終端的安全,服務端安全,以及應用網(wǎng)關。它實際上是把我們原來很多分散的安全能力整合在一起了,底層數(shù)據(jù)打通,在各個環(huán)節(jié)上可以起到互相交驗的作用。
最后,數(shù)據(jù)安全這一塊,數(shù)據(jù)安全也是遠程服務面臨的棘手問題。數(shù)據(jù)在整個生命周期里如何去管理,在數(shù)據(jù)生成、存儲、使用以及到最后的銷毀,所有的過程中都會面臨泄露的風險。數(shù)據(jù)安全從國家來說也比較重視,像隱私數(shù)據(jù)保護,如果保護不好還是需要承擔挺大的責任。
劉傳:
我就延續(xù)孟老師講的人工智能這一塊。科大訊飛是亞太地區(qū)知名的人工智能上市企業(yè)。現(xiàn)在基于人工智能這一塊,真正以后遠程辦公是不是真實的人,也許是機器人,這一塊安全性如何保障?如何鑒別是不是第三方或者外部的間諜?第二點,風險最大的是人員的管理,針對權限和審計的安全意識。
“京麒”社區(qū)是由京東安全聯(lián)合業(yè)界和互聯(lián)網(wǎng)公司發(fā)起的甲方企業(yè)安全社區(qū),聚焦企業(yè)安全建設的熱點話題、技術突破、運營管理、標準規(guī)范建設等,與此次沙龍的合作伙伴安全+一樣,均是致力于促進企業(yè)的安全建設交流與合作、共建健康發(fā)展的互聯(lián)網(wǎng)安全生態(tài)。希望此次“京麒”與安全+所舉辦的本次沙龍,能為零信任在新辦公場景上的運用起到拋磚引玉的作用,使更多信安工作者得到借鑒和創(chuàng)新。
