新技術(shù)新規(guī)范下的新安全思考

（360企業(yè)安全集團(tuán)）

1 新技術(shù)引入新風(fēng)險

在云計算、大數(shù)據(jù)技術(shù)應(yīng)用飛速發(fā)展的時代，安全事件造成的影響也顯著放大。例如，去年7月，美國三大保險機(jī)構(gòu)之一的Equifax遭遇黑客攻擊，影響人數(shù)超過1.4億美國人。保險公司為此還開發(fā)了一個門戶網(wǎng)站，供民眾查詢自己的信息是否遭到泄露。去年有一個調(diào)查報告認(rèn)為，2005年至2018年，各種各樣公開場合整理出來的數(shù)據(jù)泄漏事件導(dǎo)致超過10億條的個人信息被泄露。但是這只是冰山一角，還有許多未被曝光的數(shù)據(jù)泄露事件，事實(shí)上被泄露的數(shù)據(jù)可能遠(yuǎn)遠(yuǎn)不止10億條。這些案例告訴我們，大數(shù)據(jù)時代，數(shù)據(jù)的大規(guī)模匯聚融合導(dǎo)致一旦遭受攻擊，數(shù)據(jù)損失也會變得特別大。這些數(shù)據(jù)損失基本上由兩個方面的事件造成：一是外部攻擊，將近60%的事件是由于外部黑客攻擊造成的。二是內(nèi)部攻擊，53%的組織確認(rèn)在過去的1年內(nèi)遭遇過內(nèi)部攻擊。對于內(nèi)部攻擊，90%的組織承認(rèn)其無法防御來自于內(nèi)部的威脅。其原因是沒辦法有效識別出內(nèi)部攻擊的手段、發(fā)起者以及攻擊過程。內(nèi)部攻擊的復(fù)雜程度比外部攻擊要復(fù)雜得多。

而60%的外部攻擊，其中有81%的黑客組織或者人員利用了“弱口令”或者偷來的合法用戶權(quán)限。弱口令本身是一個身份安全管理問題，也可以歸結(jié)為內(nèi)部安全管理不善造成的。2018年，美國國家安全局（NSA）提出的十大網(wǎng)絡(luò)安全緩解措施中，就有一條“建議淘汰基于口令的單因子認(rèn)證模式”。就是說簡單的用戶名/口令這種身份認(rèn)證手段已經(jīng)不再安全，需要增加多因子的身份認(rèn)證。例如：利用移動手機(jī)令牌、指紋或者面部識別身份認(rèn)證等技術(shù)，通過這類多因子身份認(rèn)證技術(shù)來增加對口令層面的保護(hù)。

新技術(shù)的應(yīng)用帶來了新的安全威脅。在當(dāng)前社會運(yùn)用最多的新技術(shù)是云計算和大數(shù)據(jù)。2017年，亞馬遜AWS公有云平臺發(fā)生了一些安全事件。這些安全事件的發(fā)生，是由于系統(tǒng)配置不當(dāng)造成的。造成這些配置不當(dāng)?shù)脑蚴?，企業(yè)上“云”之后，原有的網(wǎng)絡(luò)邊界模糊了，邏輯上的邊界不清晰導(dǎo)致無法有效地把所有安全措施加載在管轄范圍上。一些攻擊面就會或大或小、或多或少的暴露在外面，容易受到網(wǎng)絡(luò)攻擊，造成安全事件。

針對大數(shù)據(jù)平臺來說，也存在這樣的問題。包括去年MongoDB事件，黑客可以不通過認(rèn)證直接訪問數(shù)據(jù)庫的實(shí)例，將其鎖死、加密、拷貝，然后勒索錢財。這其實(shí)也是一種社會現(xiàn)象，由于云計算技術(shù)、大數(shù)據(jù)技術(shù)的快速發(fā)展，大家更多的是想著“多快好省”上應(yīng)用，在過程中沒有同步充分的去思考安全配套，也就出現(xiàn)了安全風(fēng)險與新技術(shù)應(yīng)用并駕齊驅(qū)的現(xiàn)象。

這些風(fēng)險存在的原因可以總結(jié)為四點(diǎn)：①安全保護(hù)思路跟不上。前文提到的先應(yīng)用后安全，或者只應(yīng)用不安全就是典型的表現(xiàn)。②安全合規(guī)標(biāo)準(zhǔn)落實(shí)不到位。不管是GDPR，還是其它的合規(guī)要求，我們在主觀思想上、客觀技術(shù)上能否落實(shí)到位。如果不落實(shí)，要么業(yè)務(wù)無法開展、要么事后打板子。③安全技術(shù)手段對不準(zhǔn)。這其實(shí)是客觀問題，當(dāng)我們在主觀上有意愿做好安全時，是否有可利用的有效手段？這些手段是否能陪伴業(yè)務(wù)一起成長？可怕的是，完全同步的案例幾乎沒有。④安全管理措施覆蓋不全。上文所述的云計算環(huán)境下的安全配置管理覆蓋分析就是很好的證明。

2 新規(guī)范帶來新合規(guī)

組織不單單會面臨安全風(fēng)險的壓力，安全合規(guī)也以另一種壓力而存在，我國一些專家在2017年提出了一份《個人信息保護(hù)法（草案）》，將其與GDPR做對應(yīng)比較，可以發(fā)現(xiàn)在主體權(quán)利上，GDPR是七個，草案是九個。在管轄權(quán)上也有區(qū)別，GDPR規(guī)定，只要是影響到歐盟的，無論是物理位置在歐盟還是遠(yuǎn)程為歐盟內(nèi)組織或個人提供數(shù)據(jù)服務(wù)都受GDPR的管轄，草案則區(qū)分了國家機(jī)關(guān)和非國家機(jī)關(guān)兩類，這也是為結(jié)合我們的國情而設(shè)計，也對后期開展工作提供便利性。在對于個人信息數(shù)據(jù)處理過程里面，兩者的要求是基本相同的。從個人數(shù)據(jù)的采集到最后的銷毀，在數(shù)據(jù)生命周期里，都要求采取技術(shù)措施來進(jìn)行有效保護(hù)。當(dāng)發(fā)生安全事件時，還需要采取修補(bǔ)措施來確保影響范圍降低到最小?？v觀全文，兩者釋放的是同樣信號，即數(shù)據(jù)保護(hù)的監(jiān)管會日益加強(qiáng)。組織在進(jìn)行涉及個人信息相關(guān)數(shù)據(jù)處理時一定要小心又小心，避免在合規(guī)層面受創(chuàng)。

3 新思路實(shí)現(xiàn)新安全

傳統(tǒng)安全防護(hù)思路強(qiáng)調(diào)的是內(nèi)外網(wǎng)隔離。在內(nèi)外網(wǎng)隔離保護(hù)思路之下，似乎只要沒有黑客攻擊，網(wǎng)絡(luò)組織安全管理者就會高枕無憂。去年5月份發(fā)生的“永恒之藍(lán)”事件打破了這個神話，隔離網(wǎng)的一系列安全問題也逐漸暴露出來。原因包括，一是針對傳統(tǒng)隔離網(wǎng)安全補(bǔ)丁、各種規(guī)則庫更新不及時；二是隔離網(wǎng)內(nèi)部會按照業(yè)務(wù)劃分安全域，安全域間防護(hù)措施層層加載，而域內(nèi)一般不會定義安全措施，一旦到了這個階段黑客攻擊就是一馬平川，隨心所欲，做橫向移動非常容易；三是隔離網(wǎng)的整體安全管理特別困難。安全域的場景下，統(tǒng)分結(jié)合式管理手段一旦跟不上，就沒法從一體化視角去實(shí)現(xiàn)整網(wǎng)安全管理。從很多安全事件可以發(fā)現(xiàn)，一些安全設(shè)備部署后，最初本意是以安全堡壘的身份存在，但是到了最后由于管理不善或者自身安全缺陷問題，一旦被攻陷，反而成為對方的臥底，成為攻擊中轉(zhuǎn)站。所以需要思考是否需要改進(jìn)甚至顛覆傳統(tǒng)安全架構(gòu)了。

“零信任網(wǎng)絡(luò)”最初是由安全公司Forrester在2009年提出的安全概念。同一時期著名的“極光行動”針對微軟、谷歌、亞馬遜這些大型互聯(lián)網(wǎng)企業(yè)開展了APT級別的攻擊，谷歌系統(tǒng)內(nèi)大量的用戶數(shù)據(jù)被泄漏。因此，谷歌在2011年啟動了BeyondCorp項(xiàng)目，BeyondCorp的目標(biāo)是基于零信任架構(gòu)，重新設(shè)計員工與設(shè)備如何訪問內(nèi)部應(yīng)用的安全架構(gòu)，讓員工可以更安全地在任何地點(diǎn)進(jìn)行工作，而不必借助于傳統(tǒng)的VPN。經(jīng)過6年實(shí)踐，谷歌于2017年宣布項(xiàng)目成功實(shí)施。谷歌的成功實(shí)踐帶動了零信任框架的流行。谷歌是不是開發(fā)了新的技術(shù)取代了VPN，比VPN更加方便安全高效地連接到網(wǎng)絡(luò)里呢？其實(shí)并非如此。在BeyondCorp里，把網(wǎng)絡(luò)分為兩部分——公共網(wǎng)絡(luò)和無特權(quán)網(wǎng)絡(luò)。公共網(wǎng)絡(luò)比較好理解，所謂無特權(quán)網(wǎng)絡(luò)就是說，用戶的訪問權(quán)限與訪問的地理位置無關(guān)，即便在谷歌自有的物理建筑內(nèi)、內(nèi)部網(wǎng)絡(luò)中也沒有任何超越他人的訪問特權(quán)。在進(jìn)行網(wǎng)絡(luò)連接和數(shù)據(jù)訪問時，所有的設(shè)備都需進(jìn)行“受控設(shè)備”識別，包括有訪問需求的手機(jī)、電腦等等一切終端設(shè)備。首先要確保發(fā)起訪問的終端設(shè)備是安全可控的，不是受到或可能受到黑客控制的。在確認(rèn)完設(shè)備受控后，系統(tǒng)還需要通過各種技術(shù)手段對訪問者進(jìn)行身份認(rèn)證。在完成設(shè)備認(rèn)證、訪問者身份認(rèn)證后，系統(tǒng)會從訪問控制引擎里獲取應(yīng)該賦予訪問者的權(quán)限結(jié)果。這個權(quán)限的計算充分考慮多維因素，包括組織級安全策略和規(guī)則、訪問者的多維屬性、訪問目標(biāo)的多維屬性、環(huán)境屬性，包括：終端安全屬性、地址位置、歷史行為、多因子認(rèn)證器安全屬性、行為異常性評估等。當(dāng)訪問引擎評估得出的信任等級高于訪問目標(biāo)要求的最低信任等級時，授權(quán)通過。例如：張三今天在國外采用手機(jī)訪問OA服務(wù)器上的財務(wù)數(shù)據(jù)，而昨天同樣是張三，在谷歌大樓內(nèi)使用電腦終端訪問OA服務(wù)器上的低密級公文，這時候訪問控制引擎會綜合判斷終端類型、終端安全狀態(tài)、地理位置、訪問客體密級以及訪問時間、訪問鏈接協(xié)議等等要素，通過多維要素的綜合判斷給出訪問規(guī)則，這個規(guī)則可能只針對一次訪問、一條鏈接有效。當(dāng)訪問規(guī)則給出“允許”的判斷后，訪問主體就可以通過“訪問代理”進(jìn)行內(nèi)網(wǎng)對應(yīng)資源的訪問。我們可以看到，BeyondCorp訪問方式與以往的網(wǎng)絡(luò)可信方式相比較，最大的區(qū)別是不再一馬平川，而是需要結(jié)合安全上下文進(jìn)行動態(tài)評估。

了解完BeyondCorp之后可以發(fā)現(xiàn)，身份認(rèn)證與訪問控制是構(gòu)建系統(tǒng)安全架構(gòu)的第一道關(guān)卡，也是核心，而一體化零信任架構(gòu)是發(fā)展趨勢，也將成為云計算和大數(shù)據(jù)等新技術(shù)平臺安全的基石。本質(zhì)上來說，零信任架構(gòu)的基本理念是什么？首先始終假設(shè)網(wǎng)絡(luò)充滿威脅，這個威脅每時每刻都存在，在判斷威脅的時候單純通過網(wǎng)絡(luò)位置是內(nèi)部、外部來判斷是片面的，在進(jìn)行訪問授權(quán)時需要考慮對每個設(shè)備、用戶、業(yè)務(wù)訪問流進(jìn)行認(rèn)證和授權(quán)，盡可能避免一次認(rèn)證全面訪問的現(xiàn)象出現(xiàn)。并且，訪問控制策略應(yīng)該是動態(tài)的，盡量基于多源數(shù)據(jù)計算出來。我們基于這個零信任架構(gòu)做了可落地應(yīng)用場景細(xì)化設(shè)計。首先，設(shè)備與用戶的注冊認(rèn)證時有幾個具體的動作：①設(shè)備注冊，主要是了解設(shè)備環(huán)境是否安全，做一些病毒查殺、惡意控件刪除等動作，必要時候可以通過虛擬沙箱的方式達(dá)到所需安全等級。②用戶注冊，通過讓用戶定義多因子認(rèn)證方式來確保高安全訪問等級和低安全訪問等級之間的認(rèn)證差異化，以及一旦單因素泄漏或失效后有修補(bǔ)措施保障用戶賬戶安全。同時不能忽視的是需要把設(shè)備和用戶做綁定，形成認(rèn)證關(guān)聯(lián)以增強(qiáng)安全保障。③設(shè)備和用戶認(rèn)證，在兩者認(rèn)證時需要重點(diǎn)考慮使用體驗(yàn)和安全保障之間的平衡。從安全角度考慮每一個業(yè)務(wù)流都進(jìn)行一次認(rèn)證請求，但落實(shí)在認(rèn)證過程上可能會對使用體驗(yàn)造成影響，因此需要使用單點(diǎn)登錄技術(shù)。也就是說，只要一次認(rèn)證完畢后，后面的權(quán)限范圍內(nèi)應(yīng)用訪問都不需要再次認(rèn)證。同時，在訪問過程中，持續(xù)采集終端安全狀態(tài)和設(shè)備標(biāo)識/憑證進(jìn)行持續(xù)安全評估，達(dá)到靜默認(rèn)證的效果。但是對于高安全級別業(yè)務(wù)系統(tǒng)、終端長時間不使用、終端存在安全風(fēng)險，被判決為不可信設(shè)備，都需要強(qiáng)制用戶進(jìn)行再次多因子認(rèn)證，并且這個強(qiáng)制認(rèn)證可以是面部識別、指紋識別等簡單操作，讓使用者的業(yè)務(wù)訪問盡量不受打擾。舉個例子，使用者在收郵件的時候，一旦郵件中包含高密級文件或者需要跳轉(zhuǎn)到高安全等級站點(diǎn)時就需要加一次指紋認(rèn)證，來證明使用者的身份具備新訪問的權(quán)限。④對用戶來說，到此為止所有的流程已經(jīng)完畢。但是從安全角度考慮，還需要有一系列安全措施，我們將其定義為基于屬性的動態(tài)訪問控制策略。屬性的判斷有幾個重點(diǎn)要素，組織級的訪問控制策略，可以理解為靜態(tài)訪問控制策略；訪問的主客體屬性，主要是主客體環(huán)境、主客體安全狀態(tài)、物理位置等內(nèi)容，前面已經(jīng)做了大量分析。重點(diǎn)在于動態(tài)性，動態(tài)的影響因素主要有訪問行為安全性、訪問目標(biāo)安全等級變更，這些變化一定要能在靜默狀態(tài)下識別出來，必要時候加載認(rèn)證動作或者作為安全態(tài)勢分析的源數(shù)據(jù)。

零信任架構(gòu)的特點(diǎn)可以總結(jié)為以下三點(diǎn)：一是無邊界設(shè)計，信任的建立不能簡單的基于網(wǎng)絡(luò)位置，設(shè)備和人，需要先認(rèn)證才能訪問業(yè)務(wù)。這一點(diǎn)非常符合BYOD、云計算等當(dāng)前各類新技術(shù)發(fā)展趨勢。二是情景感知，訪問權(quán)限取決于系統(tǒng)對用戶和設(shè)備的了解。架構(gòu)需要具備對于訪問主客體、訪問過程的全環(huán)境進(jìn)行情景感知的能力。感知完情景以后，賦予訪問控制策略，訪問控制策略充分考慮多維環(huán)境因素，位置、時間、網(wǎng)絡(luò)、安全級別等。三是動態(tài)訪問控制，基于多維屬性產(chǎn)生動態(tài)ACL，所有訪問都必須被認(rèn)證、授權(quán)和加密。用戶只能看到授權(quán)訪問的資源、基于情景因子自適應(yīng)訪問、基于持續(xù)情景變化更新訪問控制策略。在規(guī)則下發(fā)以后，一旦情景感知出風(fēng)險，動態(tài)調(diào)整訪問規(guī)則。比如，在訪問的時候會彈出一個認(rèn)證框進(jìn)行再次認(rèn)證。

最后，關(guān)于零信任架構(gòu)還有兩個開放性問題。一是零信任在云計算場景應(yīng)用時的思考。身份認(rèn)證是零信任架構(gòu)的核心，但是在云計算下環(huán)境實(shí)際是一個M2M（Machine to Machine）的訪問環(huán)境。這個時候，身份認(rèn)證怎么做？最初訪問者身份的信任傳遞還是其它認(rèn)證邏輯？另外，在云計算環(huán)境下，動態(tài)規(guī)則會變得非常復(fù)雜。這是因?yàn)樵朴嬎悱h(huán)境里面有大量的系統(tǒng)漂移以及計算資源與物理機(jī)器的松耦合，諸如此類的場景會對部署在其之上的訪問控制策略帶來新要求。二是大數(shù)據(jù)場景下零信任架構(gòu)的應(yīng)用問題。原先非大數(shù)據(jù)場景下業(yè)務(wù)應(yīng)用是獨(dú)立的，數(shù)據(jù)實(shí)例也是相對獨(dú)立的。加載訪問控制規(guī)則后，數(shù)據(jù)處理者能看到的數(shù)據(jù)是縱向固定的，很少會和別人交叉，相互之間數(shù)據(jù)不可見。但是在大數(shù)據(jù)環(huán)境下，由于多了匯聚和存儲的交互過程，就可能把以前互相隔離的數(shù)據(jù)匯總在一起，這時候原先的訪問控制規(guī)則不一定還適用或者存在數(shù)據(jù)泄漏的可能性。我們是否可以通過建立一個“訪問代理”，而且這個“訪問代理”最好能做到數(shù)據(jù)級的細(xì)粒度授權(quán)和訪問控制，這樣對我們的大數(shù)據(jù)環(huán)境來說可能會適當(dāng)解決相關(guān)安全問題。