數(shù)字化時(shí)代，企業(yè)如何重構(gòu)網(wǎng)絡(luò)安全信任體系？

　　12月26日，TGO鯤鵬會北京年度家宴舉辦，來自多家企業(yè)CEO、CTO、技術(shù)負(fù)責(zé)人等管理者共聚一堂，共同探討全球前沿技術(shù)的想象和未來。騰訊安全咨詢中心負(fù)責(zé)人陳顥明發(fā)表了《如何重構(gòu)網(wǎng)絡(luò)安全信任體系》的主題演講，并從網(wǎng)絡(luò)信任體系遇到的挑戰(zhàn)、信任體系重構(gòu)的思路，以及信任體系建立等關(guān)鍵維度，對當(dāng)前數(shù)字化浪潮下的企業(yè)所面臨的安全信任建設(shè)問題給出了自己的解讀和建議。

　　隨著當(dāng)前高新技術(shù)的快速落地，數(shù)字化已成企業(yè)發(fā)展核心驅(qū)動力的同時(shí)，但也使基于邊界的傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)無法滿足企業(yè)數(shù)字化升級之需，企業(yè)迫切需要一個(gè)支持無邊界及云上資源安全訪問的解決方案。

　　針對如何建立IT身份與自然人的信任關(guān)系，陳顥明提出了重構(gòu)信任建設(shè)體系的新思路。在他看來，身份和信任體系一直都是企業(yè)安全建設(shè)的短板，信任體系重構(gòu)需重點(diǎn)圍繞識別保護(hù)對象、梳理依賴關(guān)系、人與資產(chǎn)和賬號綁定關(guān)系、統(tǒng)一賬號生命周期管理、強(qiáng)身份認(rèn)證、無邊界訪問控制、行為監(jiān)控和審計(jì)、動態(tài)授權(quán)、資產(chǎn)間訪問管控等九個(gè)重要層面展開，才能不斷強(qiáng)化多因素認(rèn)證、無邊界訪問控制、行為監(jiān)控、動態(tài)授權(quán)、數(shù)字實(shí)體的訪問關(guān)系。

　　其中，防護(hù)對象識別是信任體系建設(shè)的前提，需要對所有數(shù)字實(shí)體資產(chǎn)(需要細(xì)化到數(shù)據(jù)，服務(wù)和接口)進(jìn)行識別，注冊并標(biāo)識唯一身份ID，連同自然人的網(wǎng)絡(luò)身份ID，建立人與資產(chǎn)和賬號的綁定關(guān)系，以此實(shí)現(xiàn)人、數(shù)字實(shí)體和賬號的“全要素”信任管理體系。

　　在整個(gè)信任體系的建設(shè)過程中，可以保證人和證形成強(qiáng)關(guān)聯(lián)，盡可能做到雙因素認(rèn)證，基于依賴關(guān)系，進(jìn)行訪問授權(quán)，保證數(shù)字實(shí)體資產(chǎn)的操作全記錄和全監(jiān)控，從而實(shí)現(xiàn)“全要素”安全管控。

　　最后，陳顥明還結(jié)合了騰訊構(gòu)建的信任體系架構(gòu)和能力圖譜，提出包括資產(chǎn)全要素和依賴關(guān)系梳理、信任能力梳理、能力差距分析、信任場景梳理、規(guī)劃場景建設(shè)路徑、完成信任體系構(gòu)建等關(guān)鍵維度的重構(gòu)路徑。企業(yè)只有了解信任建設(shè)的能力目標(biāo)，根據(jù)能力視圖、業(yè)務(wù)優(yōu)先級規(guī)劃建設(shè)場景路徑，才能分場景、分階段完成信任整體能力體系的建設(shè)。

　　以下為陳顥明演講實(shí)錄：

　　很高興有這次機(jī)會溝通，我本人20年來一直做信息安全，我們做信息安全這么多年，一直在思考一個(gè)問題，信任問題，當(dāng)然這是我們信息安全的一個(gè)核心的問題。我們說大家在座的都是技術(shù)大佬，網(wǎng)絡(luò)上TCP/IP協(xié)議是不夠信任、不夠可靠的一個(gè)協(xié)議，所以導(dǎo)致我們有各種各樣的安全問題，包括剛才主持人說的DDoS攻擊就是用了TCP/IP三次握手這種不夠嚴(yán)謹(jǐn)?shù)囊粋�(gè)問題導(dǎo)致很多問題，很多信息安全問題跟信任都有非常大的關(guān)系，因?yàn)樾湃误w系建立的不夠強(qiáng)壯，導(dǎo)致很多安全問題的出現(xiàn)。

　　所以，我們選擇了信任這個(gè)話題，主要現(xiàn)在大家都在提零信任或者各種信任體系，尤其今年在疫情期間，大家可能都得在家庭辦公、遠(yuǎn)程辦公，導(dǎo)致開始從家里或者在外圍連公司企業(yè)網(wǎng)。怎么保證信任問題，這個(gè)話題今年提的頻次特別高，所以我們今天談?wù)勑湃�，就是信息安全的信任問題。

　　先來盤點(diǎn)一下那些年我們構(gòu)建的信任體系。最早我們接觸的信任體系是，PKI和CA體系，當(dāng)時(shí)各種加解密、公私鑰、認(rèn)證中心、授權(quán)中心，是網(wǎng)絡(luò)安全最為重要的解決方案。當(dāng)時(shí)我記得很多銀行開始上這些PKI體系，導(dǎo)致系統(tǒng)異常的復(fù)雜，因?yàn)槊抗P業(yè)務(wù)都需要注冊證書、發(fā)證、授權(quán)，加解密等一系列操作。

　　另外，邊界隔離。隨著網(wǎng)絡(luò)日趨復(fù)雜化，大家開始考慮網(wǎng)絡(luò)區(qū)域劃分和隔離，每個(gè)網(wǎng)絡(luò)區(qū)域是有信任關(guān)系的，低安全級別的區(qū)域不能向高安全區(qū)域級別的訪問，把安全域劃分好，網(wǎng)絡(luò)隔離措施做好，就是相對比較安全架構(gòu)，這是另外一種信任的模式。

　　大家對信任的探索一直沒有停，后來大家開始考慮一個(gè)簡單的方法，從人下手，管好人的認(rèn)證，其實(shí)就像我們現(xiàn)實(shí)中，人去到什么地方，只要有一個(gè)員工卡或者身份證，就能進(jìn)去，身份管理體系在各個(gè)企業(yè)開始逐步推行。也就是說企業(yè)要建一個(gè)基于用戶身份的全生命周期的管理，從他入職到我進(jìn)入到這個(gè)部門，到產(chǎn)生線上的業(yè)務(wù)，包括我內(nèi)部的辦公應(yīng)用，通過IAM體系統(tǒng)一管起來。后來發(fā)現(xiàn)運(yùn)維人員和高權(quán)限的人越來越多，開始考慮把這些人通過CA、堡壘主機(jī)管理起來，像銀行的數(shù)據(jù)管理員掌握數(shù)據(jù)太多了，權(quán)限太大，用特權(quán)賬號管理體系來管理。

　　然而，隨著IT高新技術(shù)最近兩年爆發(fā)式的變革，云計(jì)算、大數(shù)據(jù)、微服務(wù)架構(gòu)、應(yīng)用的輕量化包括5G包括移動互聯(lián)網(wǎng)的產(chǎn)生，發(fā)現(xiàn)以前邊界的防護(hù)體系基本被打破了，大家都在倡導(dǎo)互聯(lián)互通，原來還相對牢固的信任和隔離措施，突然顯得問題多多，甚至是不太適用，用戶和應(yīng)用的關(guān)系越來越復(fù)雜，權(quán)限管理失控，包括之前所倡導(dǎo)的PKI體系，其實(shí)在IT變革過程當(dāng)中遇到很多阻力和問題。

　　舉個(gè)實(shí)戰(zhàn)攻防演練實(shí)例，之前我們提到相關(guān)的安全體系該企業(yè)都已經(jīng)建立了，但紅方的攻擊隊(duì)很輕易的可以突破我們邊界的防護(hù)措施，比方說企業(yè)VPN，只要你沒有做雙因素認(rèn)證，利用社工庫、各種帳號的破解辦法它會很快速的入侵到內(nèi)網(wǎng)，進(jìn)入到內(nèi)網(wǎng)更可怕的是橫向移動，因?yàn)槲覀冋f我們在企業(yè)內(nèi)防守的話南北向防的很嚴(yán)，但東西向，尤其很多企業(yè)現(xiàn)在上云了，云的虛擬機(jī)之間的訪問控制基本上很容易被突破，再加上內(nèi)部還有一些賬號集權(quán)管理系統(tǒng)，如AD域、堡壘主機(jī)，網(wǎng)管服務(wù)器，一旦被突破，整個(gè)內(nèi)部的應(yīng)用和系統(tǒng)基本全部突破，這就是目前企業(yè)在信任體系的現(xiàn)狀。

　　為什么呢?最關(guān)鍵的核心是身份管理體系建立的還不夠強(qiáng)壯，很多企業(yè)更多的是圍繞著基礎(chǔ)架構(gòu)安全，邊界防護(hù)，安全域劃分隔離措施，縱深防御。但在紅藍(lán)對抗或者高級別的攻擊對抗場景下很容易突破的，這里面提到一個(gè)問題就是企業(yè)如何把信任體系做的足夠健壯，黑客攻擊到內(nèi)部系統(tǒng)大多的是利用了企業(yè)現(xiàn)有比較薄弱的身份和賬號管理體系，欺騙了你的認(rèn)證體系，進(jìn)到內(nèi)網(wǎng)進(jìn)而發(fā)動攻擊。

　　直到今年，大家開始提零信任、SDP、微隔離，這是最近聽的最多的三個(gè)詞，零信任體系提出來核心還是希望從對任何用戶，任何設(shè)備是不信任的，怎么建立信任關(guān)系，持續(xù)認(rèn)證持續(xù)鑒權(quán)，這是谷歌最開始提出來的思路，因?yàn)樗�之前遭受了惡意攻擊事件，所有的網(wǎng)絡(luò)安全措施全部失效，之后他們一狠心，把以前傳統(tǒng)的安全建設(shè)模式和體系全部改掉，按照全新的信任體系架構(gòu)再重新搭建。

　　零信任今年雖然很火但大家都不太懂，到底他包含哪些具體內(nèi)容，怎么搭建?有哪些要素構(gòu)成?以及信任體系核心是什么?為了究其根源，我也查了一些對于“信任”的定義，給了我很多啟發(fā)，也給大家分享一下。信任這個(gè)詞在社會學(xué)它的解釋是信任是相信對方是誠實(shí)、可信賴、正直的。另外，信任是涉及交易或交換關(guān)系的基礎(chǔ)。信任被認(rèn)為是一種依賴關(guān)系。

　　信任是需要建立關(guān)系的，如果沒有具體的關(guān)系很難信任，這也就是我們?yōu)槭裁磿�收到詐騙電話詐騙短信，一般像年輕人可能置之不理，但老年人不一定。其實(shí)核心就是沒有建立信任關(guān)系的聯(lián)系，其實(shí)都可以斷掉。通常我們在信息安全管理過程中，似乎沒有真正考慮過這點(diǎn)，就是信任是一種依賴關(guān)系，是有關(guān)聯(lián)，有業(yè)務(wù)關(guān)系或者有依存關(guān)系，這是信任的前提。底下還有比較重要的一些概念，交換過程中間信任者要值得信任的證據(jù)，這個(gè)證據(jù)一定要證明你是這個(gè)自然人或者你是可信的設(shè)備，這一點(diǎn)也是關(guān)鍵。

　　而英文對Trust的定義是，相信這個(gè)人是好的，誠實(shí)的，還有一個(gè)關(guān)鍵的點(diǎn)，這個(gè)事兒是安全靠譜的。也就是說，信任，不光要考慮對人的信任，還得考慮對的資產(chǎn)和行為的信任。我們所有的實(shí)體，我們說現(xiàn)在有一個(gè)詞叫數(shù)字實(shí)體，其實(shí)這個(gè)詞很關(guān)鍵，也就是說因?yàn)槲覀冎�前理解的IT資產(chǎn)很簡單，服務(wù)器、終端包括我們的應(yīng)用，可能就到這個(gè)粒度了。實(shí)際上，隨著云計(jì)算的發(fā)展，包括微服務(wù)的發(fā)展，你會發(fā)現(xiàn)每一個(gè)應(yīng)用、服務(wù)、應(yīng)用的接口，這應(yīng)該都屬于數(shù)字實(shí)體，我們做身份管理需要把這些所有的數(shù)字實(shí)體都得考慮進(jìn)去。

　　同樣我們說所有的數(shù)字實(shí)體，騰訊提了一個(gè)概念叫做“全要素”。我們要重構(gòu)信任體系，需要考慮全要素身份體系的定義，其中包括身份體系的關(guān)聯(lián)關(guān)系，也就是全要素之間的關(guān)聯(lián)關(guān)系，以及全要素的安全控制體系。

　　當(dāng)然，我們加一個(gè)IT層面要考慮的問題，就是把IT或者說數(shù)字實(shí)體的資源和自然人要關(guān)聯(lián)起來，而且是緊密關(guān)聯(lián)起來，以上這些都應(yīng)該是我們考慮信任體系重構(gòu)的關(guān)鍵要素。

　　我們把剛才字面意思的解讀得到的一些啟發(fā)再放到整個(gè)網(wǎng)絡(luò)環(huán)境里面，第一個(gè)要素自然人，人一定是我們安全管控的核心，人要依靠終端、用身份ID、通過帳號、獲取認(rèn)證拿到授權(quán)，去操作相應(yīng)的資產(chǎn)，記錄下日志和監(jiān)控。在整個(gè)人到資產(chǎn)之間的訪問鏈條來看，黑客會從哪邊兒入手呢? 就是帳號，他從帳號入手會把你前面的鏈條全部切斷，我直接用你的帳號獲取認(rèn)證，進(jìn)行操作，你溯源的話只是溯源到帳號，實(shí)際上你很難抓到他相關(guān)的其他內(nèi)容，你就會發(fā)現(xiàn)如果在整個(gè)帳號體系和前端沒有打通的環(huán)境下，我們的溯源工作基本就失敗了，這個(gè)就是我們目前很多站點(diǎn)被黑客攻擊，實(shí)際上很難溯源，抓不到源頭，因?yàn)楹妥匀蝗恕⑾嚓P(guān)IT身份沒有真正強(qiáng)綁定，這里面有些問題出在，比如有些企業(yè)多人共用帳號，一個(gè)人多個(gè)ID，帳號和自然人沒有真正實(shí)體綁定，帳號體系沒有是統(tǒng)一的管理體系，這些都是造成這些方面的一些原因。

　　認(rèn)證，在整個(gè)這個(gè)過程中還是重中之重，人和證一定要強(qiáng)關(guān)聯(lián)，現(xiàn)在有很多人臉核身、人證核身技術(shù)，我們推薦企業(yè)客戶一定要做賬號的雙因素認(rèn)證，核心就是要人和帳號體系一定要強(qiáng)綁定，或者死綁定，這個(gè)才能確保你的安全性。

　　另外一個(gè)比較嚴(yán)重的問題是，攻擊者只要拿到內(nèi)網(wǎng)的權(quán)限，橫向移動幾乎是暢通無阻的。這里的問題通常是，授權(quán)粒度不夠，沒有達(dá)到資源級授權(quán)，缺乏流量和行為審計(jì)，缺乏違規(guī)操作識別和管控，資產(chǎn)間訪問控制粒度不夠。數(shù)字實(shí)體全要素資產(chǎn)的操作需要有全記錄和全監(jiān)控，騰訊在這點(diǎn)做的比較好，所有應(yīng)用的操作日志以及網(wǎng)絡(luò)流量全部記錄下來，為后面溯源包括做安全事件分析做好充足的準(zhǔn)備。

　　總體來講，建立一個(gè)完整的信任體系，身份帳號的管理，包括我們的自然人和帳號的，人臉核身和認(rèn)證，包括后續(xù)對于你對實(shí)體的操作包括權(quán)限控制需要做完整和嚴(yán)格的管控體系。

　　后面就是把前面所思考的點(diǎn)做一個(gè)匯總，做好一個(gè)信任體系，我總結(jié)了9點(diǎn)：

　　第一是識別保護(hù)對象。保護(hù)對象就是剛才提到的所有數(shù)字實(shí)體全要素的資產(chǎn)要識別清楚，到底在體系內(nèi)有多少是數(shù)字資產(chǎn)，是關(guān)鍵的數(shù)字實(shí)體，這塊要真正的識別清楚。以前只管人或者只管服務(wù)器設(shè)備、終端、數(shù)據(jù)庫。但在云時(shí)代下，這個(gè)管理顆粒度還需要細(xì)化到數(shù)據(jù)，服務(wù)甚至是應(yīng)用接口。

　　第二是梳理依賴關(guān)系。這是之前提到的關(guān)鍵點(diǎn)，當(dāng)這兩個(gè)連接在業(yè)務(wù)上沒有充分依賴關(guān)系的話，就不要讓它連起來，但在實(shí)際場景下，連接和訪問關(guān)系異常復(fù)雜，安全管理者根本不知道誰和誰有關(guān)系，他們自由的連接，真正是“互聯(lián)互通”，但我覺得作為信息安全管理者或者說信息管理者，如果二者之間沒有依賴關(guān)系，就可以考慮不要連接。

　　第三是人、資產(chǎn)和帳號的強(qiáng)綁定。某些互聯(lián)網(wǎng)企業(yè)在這方面做得非常好，作為自然人的員工進(jìn)入到企業(yè)有企業(yè)微信，企業(yè)微信有Open ID這個(gè)唯一標(biāo)識的ID，再和其他應(yīng)用帳號再關(guān)聯(lián)，和企業(yè)HR的信息直接關(guān)聯(lián)，所以它會通過Open ID把所有帳號包括個(gè)人信息全部關(guān)聯(lián)起來，最后不管是做了任何事情，都可以通過Open ID去檢索和查詢，永遠(yuǎn)能溯到源頭。

　　第四是帳號的全生命周期管理。因?yàn)楹芏嗥髽I(yè)現(xiàn)在帳號體系比較分散，有可能一個(gè)企業(yè)是多個(gè)IAM系統(tǒng)，還沒有做后臺數(shù)據(jù)的打通，各自為政，這里面就存在一個(gè)人可能多個(gè)帳號，而且一個(gè)人在多個(gè)不同的IAM平臺里面，這里面管理會有很大的問題。

　　這里我們強(qiáng)調(diào)是新一代的IAM，因?yàn)镮AM是比較老的體系，但它要適應(yīng)現(xiàn)在新的IT基礎(chǔ)設(shè)施，目前我們也發(fā)現(xiàn)很多企業(yè)在升級IAM，主要關(guān)鍵點(diǎn)是哪些點(diǎn)?一個(gè)是它得支撐所有數(shù)字實(shí)體，以前身份管理體系不會考慮微服務(wù)或者API接口，這些可能不在他的考慮范圍之內(nèi)，所以現(xiàn)在要支持這些，還有多方的認(rèn)證協(xié)議，我們認(rèn)證協(xié)議已經(jīng)變的五花八門，而且各種生物識別技術(shù)，協(xié)議支持要跟得上。還有就是常提到的原生安全，以及還有現(xiàn)在我把身份管理變成一個(gè)云服務(wù)，需要兼容這些特征。以前我們身份管理更多的是依賴于AD、LDAP做身份數(shù)據(jù)的管理，其實(shí)現(xiàn)在大家都在用開源數(shù)據(jù)庫做整個(gè)身份數(shù)據(jù)統(tǒng)一的管理。所以這都是現(xiàn)代IAM典型的特征，大家可以思考下在現(xiàn)有IAM體系里面怎么做一些升級和提升。

　　第五是強(qiáng)身份的認(rèn)證，這就是常說的雙因素或多因素認(rèn)證，其核心目的就是把自然人和帳號建立強(qiáng)綁定關(guān)系。

　　第六是無邊界的訪問控制，現(xiàn)在的網(wǎng)絡(luò)環(huán)境已經(jīng)打破了原有互聯(lián)網(wǎng)的邊界，區(qū)域防護(hù)，原來特別嚴(yán)格的安全域劃分，都是對于自由訪問的，所以無邊界的訪問控制也是現(xiàn)在企業(yè)必須考慮的一個(gè)新的方向。包括應(yīng)用隱藏，單包授權(quán)和動態(tài)端口以及雙向加密通信，通過無邊界訪問控制，實(shí)現(xiàn)外網(wǎng)應(yīng)用隱藏，當(dāng)攻擊者找不到應(yīng)用就很難對它造成攻擊，防守效果明顯。

　　第七是嚴(yán)格的行為監(jiān)控和審計(jì)。大家現(xiàn)在已經(jīng)開始做行為建模，群體和單體的建模，之間做一些比較，做類似于UEBA的技術(shù)研究，尤其是建立不同權(quán)限用戶的正常行為模型，去分析違規(guī)操作，用戶行為這塊其實(shí)考慮的是正常人，但它帳號體系包括信任體系建立完以后，用戶可能在內(nèi)部做違規(guī)操作，這些全靠監(jiān)控和審計(jì)系統(tǒng)進(jìn)行用戶行為分析了。

　　第八是持續(xù)的動態(tài)授權(quán)。根據(jù)用戶權(quán)限的變化要做一些授權(quán)的改變，這就是要借助于人工智能要做一些權(quán)限動態(tài)的分配�；�于用戶行為的監(jiān)控和審計(jì)分析，一旦發(fā)現(xiàn)有違規(guī)和異常操作，實(shí)時(shí)進(jìn)行動態(tài)調(diào)整訪問權(quán)限，及時(shí)阻斷操作。

　　第九是資產(chǎn)之間的訪問控制，也就是說數(shù)字實(shí)體之間訪問怎么控制，一個(gè)是API網(wǎng)關(guān)，調(diào)用通過API網(wǎng)關(guān)對應(yīng)用間訪問和調(diào)用進(jìn)行統(tǒng)一的認(rèn)證，授權(quán)和訪問控制；還有微隔離技術(shù)，其實(shí)也是通過在容器上，包括在虛擬主機(jī)上做一些微隔離控制，實(shí)現(xiàn)東西向細(xì)粒度控制，這是目前各企業(yè)網(wǎng)絡(luò)安全防護(hù)的短板。

　　最后，我們結(jié)合以上這些點(diǎn)完整的構(gòu)建了騰訊信任體系的架構(gòu)和能力圖譜。實(shí)際上，我們在一些場合也做了一些測試，包括在線上做了一個(gè)系統(tǒng)的基于能力圖譜的評價(jià)，可以對這個(gè)基于能力圖譜對現(xiàn)有信任體系做一個(gè)整體的自評估，看看自己在哪些領(lǐng)域哪些部分現(xiàn)在做到什么程度，然后去考慮未來整個(gè)網(wǎng)絡(luò)信任體系如何去重構(gòu)或者如何提升。

　　因?yàn)闀r(shí)間關(guān)系我今天就講這些，感謝大家!