防御能力已被鎖死　破而后立曉喻新

張元

網絡安全需要的是集中統一編排、研判和處置，而數據通信的環(huán)境現在越來越碎片化，二者的發(fā)展趨勢一個向左、一個向右，而依然還想在同一個網絡平面上試圖同時解決2個方向截然相反的問題。這導致大部分網絡防御手段的安全能力被鎖死，往上提升的空間已經沒有多少了。

碎片化網絡帶來的挑戰(zhàn)

任何一款有價值、有意義的產品，一定是滿足了某些特定需求，或是解決了某些特定問題。做產品就是要找到這種最本質、最核心的問題，也就是我們通常說的0～1的問題。所以，當我們起心動念要去定義一個跟零信任相關的安全產品時，就先得想清楚我們到底要解決什么核心問題？滿足什么核心需求？

隨著云計算、移動互聯網、物聯網和5G等基礎技術的革新，政府和企業(yè)的辦公網、生產網都出現了巨大變化——網絡越來越碎片化了。一個企業(yè)同時使用多個云服務、多個數據中心、多個辦公職場已經非常普遍，再加上移動辦公、分支機構、渠道合作伙伴遠程協同以及遠程連接業(yè)務資源，讓我們的辦公網、生產網變得越來越像是一個私有的互聯網。

在碎片化網絡里，網絡通信本不是問題，有很多技術和方法都可以實現，但安全治理卻出現了很多新的挑戰(zhàn)。

暴露面越來越多

網絡逐漸碎片化，意味著需要通過不可信網絡進行數據傳輸的網絡通道就越來越多，導致不可信網絡的暴露面增多，攻擊者可用來滲透的入口也持續(xù)增多。

統一安全管控變得更難

大多數企業(yè)都有自己的集中身份管理和單點登錄系統等，有些對安全有更高要求的企業(yè)還有終端DLP系統、終端集中管控系統、統一威脅分析系統和態(tài)勢感知系統。在碎片化網絡中如果想全局統一進行管控，就需要讓這些系統跟每一個獨立網絡都能通信，要讓所有分布在各個網絡碎片中的終端可以訪問這些系統，把各類安全數據發(fā)送到這些系統上來，以及從中心系統把安全策略分發(fā)到每個網絡碎片中去，這勢必又要把這些系統暴露在外。這樣雖然實現了統一管控，但暴露面又增加了，安全風險也與日俱增。

在碎片化的網絡里，統一管控和減少暴露面怎么才能共存？這是個很大的挑戰(zhàn)。

網絡IP地址與人的關聯越來越弱

現在的網絡環(huán)境越來越繁雜，在碎片化的網絡中使用了大量的IP地址轉換和動態(tài)IP技術，網絡地址跟人或終端的關聯性越來越弱，這讓原來的網絡安全產品的實際效果大不如前。安全的本質問題是人的問題，但傳統的網絡安全產品大多基于網絡流量進行威脅檢測和阻斷，IP地址現在跟人和終端沒有關聯，即便是檢測到了威脅，僅僅憑借一個源IP，即找不到真正有惡意企圖的人，又不敢直接封禁IP，因為沒準這一封禁，就把一群人都封禁了。

內網互聯網化的過程中，暴露面問題、統一管控問題、網絡地址與人無關問題，是最硬核的需要解決的3個問題。

我們距離零信任還有多遠

零信任是一套安全原則，給出了一個安全網絡應該具備的特k生，比如：隔離、隱藏、白名單模式、以身份為中心的策略、最小授權和動態(tài)信任等，讓安全回歸到人和數據本質。按照這套原則，理論上是已經解決了上述3個問題。但零信任概念里并沒有一個標準的實現方法，這就是零信任讓大家覺得非常認可，但又非常困惑的原因，也是零信任市場目前特別熱鬧的原因。

典型的企業(yè)安全接入方案

大部分企業(yè)在網絡安全接入方面采用的都是這樣一套“全家桶”方案：終端準入+VPN+IAM+SSO+堡壘機（或應用網關）+防火墻+專線+威脅分析系統，IAM分別與準入、VPN、SSO、堡壘機打通，用統一身份進行認證授權。通常已經接入“全家桶”方案的企業(yè)，往往對零信任的理解更容易困惑，為什么已經全副武裝了還要搞零信任？

如果要找到產品的意義，就不能假設客戶環(huán)境中什么安全措施都沒有，而是需要思考在這種“全副武裝”的環(huán)境下，我們離零信任還有多遠，找到這個差距，也就找到了產品存在的價值。

首當其沖是暴露面問題，很明顯VPN就是一個典型的互聯網暴露面，近幾年VPN的Oday漏洞層出不窮，成為了攻擊熱點。但我們說的暴露面不僅僅是互聯網暴露面，而是指不可信網絡的暴露面，這里還包括內網中的暴露面，其中問題就更多了。

在網絡上，訪問控制一般分成兩層來管控，一個是應用層，可以通過IAM、SSO、堡壘機或應用網關，基于用戶統一身份進行訪問控制和審計;另一個是網絡層，一般通過防火墻進行訪問控制，通過流量日志進行審計。

這其中有個明顯的問題，雖然應用層可以用統一身份進行管控和審計，但網絡層只能基于網絡數據包來進行管控和審計，可網絡協議是不帶身份的，零信任中以身份為中心的原則在這里出現了斷層。攻擊者一旦進入內網，不能指望他按照設計的那樣通過IAM、SSO和堡壘機等，用正常流程來訪問業(yè)務資源，且只在應用層進行攻擊。攻擊者完全可以在網絡層對所有網絡可達的業(yè)務資源或終端進行攻擊，比如直接攻擊IAM、SSO等，沒有任何阻攔。

我們已經部署的各種威脅檢測系統，如：SOC、SIEM、態(tài)勢感知等，它們不能保障網絡的安全嗎？很可惜，這些系統會遇到IP地址與身份無關的問題，無論是模式匹配、上下文分析、行為基線分析、威脅情報分析以及威脅溯源，都只能基于IP地址來做，基于IP的行為數據只代表了一個人的行為片段，無法代表一個人的完整行為，所以在這種環(huán)境下安全分析能力會大打折扣。另外，即便分析出來某個IP有威脅，怎么封禁？封了這個IP，攻擊者下次更換一個IP還是一樣能進來。

問題還可能變得更復雜，上圖所示的網絡中，所有人在訪問業(yè)務資源之前都先接入到總部職場的辦公網中，通過這種犧牲帶寬和體驗的方式強制所有人在訪問業(yè)務的時候都先經過統一身份認證和授權，同時確保認證系統不在互聯網暴露。假設有多個職場，每個職場也有自己的業(yè)務資源，部署在不同的地方，業(yè)務訪問是在多職場之間，多方向同時進行。要讓所有人都能使用統一的身份和管控策略，就不得不把IAM、SSO這些系統都放到互聯網上才行，但這又會產生新的暴露面。

我們的一個客戶，非常關心敏感數據流出的問題，在每個終端上都部署了DLP客戶端，原來都在局域網內使用，可以通過網絡準入系統強制要求入網時DLP客戶端必須開啟，DLP日志服務器也部署在局域網內，能采集到的所有終端的DLP日志。疫情期間，員工都居家辦公了，遠程接入，網絡準入系統失效，怎么才能讓員工在任何地方都必須開啟DLP？同時還能在不暴露DLP日志服務器的前提下，讓分布在任意地方的終端把DLP日志實時傳到日志服務器上？

很顯然，客戶對網絡準入的需求已經發(fā)生了轉變，客戶現在需要的是場景準入，而不再是物理網絡準入。當訪問互聯網時，員工在任意地點都能隨時訪問，當訪問業(yè)務資源時，無論在哪都必須符合安全要求，經過認證授權才可訪問。

實現零信任的關鍵技術問題

可見，要實現零信任，在技術層必須解決2個核心問題：

1.在網絡上，需要同時滿足網絡碎片化、統一安全管控和分析以及網絡零暴露。

2.網絡層也需要身份化，要以統一身份為核心打通認證、授權、接入、網絡層訪問控制、應用層訪問控制、用戶行為分析、敏感數據訪問審計、威脅場景化分析以及帳號終端實時處置全過程。

先來看看第一個問題?，F在面臨的是既要在物理網絡上碎片化，又在安全策略編排上集中化的問題。什么技術能實現與物理位置無關、同時又能集中編排？答案是云計算。

用云的思維解決物理位置無關和集中管控問題

云的本質是虛擬化，是一種通過虛擬化實現資源共享的技術。云把多個位于不同物理位置的服務器虛擬化，構建在一個Overlay網絡中，租戶在這個Overlay網絡中集中對資源進行編排，但實際業(yè)務分布在不同的物理服務器上，數據傳輸也實際在物理網絡中傳輸。對于租戶而言，無需再考慮物理資源和物理網絡。

我們對云的理解太狹隘了，云一定是在遠端嗎？云一定都是服務資源的虛擬化嗎？PC端、手機端、物聯網終端不能是云的一部分嗎？云不能無處不在嗎？我們自己不能身在云中嗎？按照這個思路，我們可以把虛擬化的范圍再擴大一下，不僅僅是把IDC的服務器資源云化，而是把分布在各種云上、IDC、自建機房的業(yè)務資源，以及在任意位置PC端、手機端都云化，構建在一個Overlay網絡中，那會是個什么景象？這樣的方式使得所有終端、所有業(yè)務資源的物理位置已經不再重要，傳統的內網已經被云化了。

云化后的內網會變成一個與物理位置無關，極簡的端到端網絡，在這個網絡里只聚焦跟安全相關的3個對象：人、終端、業(yè)務，所有策略、分析研判都基于這3個關鍵對象來制定和執(zhí)行。

端到端的極簡網絡

終端是人的延伸，具體的人和具體的終端構成一個網絡實體。這個網絡里存在3種通信關系：人與業(yè)務、業(yè)務與業(yè)務、人與人。（需要認識到，在網絡中訪問方向不是“十”字型，而是“工”字型，東西向流量有2種方式，即人與人、業(yè)務與業(yè)務。）

這些關系的編排就是授權策略，統一在控制中心進行授權編排和細粒度策略實時計算，細粒度策略實時分發(fā)到端和業(yè)務側，用分布式策略引擎來執(zhí)行。

內網互聯網化與集中管控共存的問題解決了，構造的云化網絡可以跨越整個互聯網，連接任何位置的業(yè)務資源和終端，同時可以集中統一的對策略進行編排。接下來，再看如何將這個網絡打造成私有的隱匿網絡。

在SDP的架構里實現網絡隱身使用的是SPA單包授權技術，這是一種在會話建立前通過一個UDP單向包來實現身份驗證和會話開關的技術，也是SDP最關鍵的技術。

在構建的網絡里實現隱身，可以做到比SDP更徹底、更簡潔，因為在網絡層、應用層都是完全可控的，沒必要一定在上層來實現隱身，完全可以在更底層來實現。

在網絡層實現網絡隱身不是什么新鮮事，幾乎每個人每天都可以接觸到，例如：每個家庭網絡就是隱匿網絡，每個家里都有家庭路由器，家里的電腦、電視都是通過這個路由器接入互聯網，但是不用擔心有人會從互聯網主動連接到家里的電腦或者電視上，因為我們并沒有在路由器上開放任何內部IP地址和端口，這是個單向訪問網絡。那用同樣的方式，我們把原來開放的IP和端口停掉，把業(yè)務資源所在的業(yè)務局域網也都改造成這樣的單向訪問網絡，不就實現了網絡層的隱身嗎？而且這種隱身方式更為徹底，不光是業(yè)務資源隱藏起來了，零信任控制器、零信任網關都隱藏起來了，不光是應用層隱藏了，網絡層也隱藏了。

另外，SPA又被稱為敲門協議。

不是說好了要“永遠不信任，始終在驗證”嗎？既然在TLS會話建立過程中，可以通過一個UDP單向包來實現身份驗證和會話開關，那我們不如再徹底一點，把所有業(yè)務訪問數據包都改造成UDP單向包，使用逐包認證、逐包加密的方式來實現網絡隱藏，讓未經過認證授權的終端，連3次握手的SYN包都發(fā)不過來。對，小姑娘可以進來，大漢們必須全堵在門外。

這樣第一個問題就解決了，再來看看如何破解第二個問題。

上文提到，對于政府和企業(yè)的辦公網、業(yè)務網來說，統一身份管理并不缺，網絡準入、VPN接入、應用層的訪問控制已經可以實現用統一身份進行管控，但網絡層基于統一身份的訪問控制是缺失的，零信任原則里以身份為中心的訪問管控在網絡層出現了斷層，而原因就是因為網絡協議本身都不帶身份屬性。

我們的解決方法非常簡單粗暴，但是很高效，我們直接在所有網絡層數據包都上加上了身份信息，讓網絡五元組變成網絡六元組，在網絡層每一個數據包里都增加一個身份的維度。

降維打擊分2種，一種是讓對手降低維度，另一種是自己升高維度。既然我們無法讓攻擊者降維，那我們就在網絡底層給自己升維。

這也就意味著，在這個能覆蓋全球的網絡的任何一個位置，我們都能看到是什么人、用什么終端、對什么業(yè)務、收發(fā)了什么數據包。也就是說，在網絡上任意一個點都可以基于帳號、終端、業(yè)務進行權限控制和行為干預。

通過這種升維，基于身份的全鏈路管控能力就有了，實現零信任的各種安全原則，就有了一個身份化的網絡基礎設施。

網絡流量包含了所有人對業(yè)務和數據的訪問行為，所以我們都想通過網絡流量來捕獲到所有威脅行為，但通過網絡數據進行威脅分析存在2個不足：

網絡數據包不帶身份信息，所以通過網絡流量不可能做到真正基于人或者終端的行為分析，無論是上下文關聯，還是用機器學習的方式找到人的行為基線，幾乎都不可能。

這個問題我們通過在網絡數據包上加身份信息的方式已經解決了。我們從網絡上捕獲到的流量日志無論是網絡層還是應用層都會帶上身份信息，這樣所有采集到的數據都基于身份做了聚合，然后再基于這些聚合后的信息進行基于人或終端的行為分析，不需要關心源IP是什么，所有分析結果都可溯源到人和端。

業(yè)務資源可能會在應用層加密，在網絡流量上看到的是加密后的數據，無法識別具體內容。在某些場景下可以用應用網關，用SSL證書對流量進行卸載，雖可以做一些內容識別，但是交付復雜，識別率也差強人意。

這個問題可以通過用瀏覽器解決。我們在終端Agent上內置一個安全瀏覽器，可以設置策略，要求終端用戶必須用內置瀏覽器訪問一些特殊業(yè)務資源，禁止用其他瀏覽器訪問。瀏覽器是人與數據交互的末端，瀏覽器里全是明文信息，通過瀏覽器識別敏感數據可以無視所有網絡加密手段，因為人總是要用明文進行信息傳遞的（用密文傳遞信息的人是無間道、是余則成，這里不做討論）。

通過這種方式可以輕松了解到：誰、用什么終端、在哪、訪問了什么業(yè)務資源、看到了什么敏感數據，反過來也能看到都有哪些敏感數據，都存儲在在哪些業(yè)務系統上，它們的整個數據流動過程是怎樣的。然后基于這些基礎數據，結合機器學習算法，識別異常的敏感數據訪問行為。

舉個例子：某企業(yè)全國有上百個銷售渠道，上千銷售人員每天都在使用CRM和工單系統銷售企業(yè)的產品或服務，銷售員需要錄入客戶的手機號、姓名、銀行賬號這些個人隱私信息。通過剛才說的方式，我們可以看到每個人都在哪、什么時間段、通過什么方式、訪問了哪些數據、訪問頻率以及數據量都是多少，然后用機器學習算法，計算每個人的敏感數據訪問行為基線。當某個銷售員某天對敏感數據的訪問行為發(fā)生較大偏差時，比如：對于銷售員來說日常寫入敏感數據比較多，突然有一天他的讀取敏感數據的行為增加了，或者說對某單一類型數據訪問量過大，系統會自動讓這個帳號暫時退出網絡，對終端和人進行多因素的二次身份校驗，再次確認身份;或者直接禁用這個帳號，那這個帳號無論在什么地方，使用什么終端，都無法再訪問這些業(yè)務資源。

安全云網能力結構

講到這里，產品的功能架構基本就清晰了，如下圖，這就是整個安全云網的功能結構。

從能力分層上，至下而上分為4層：

底層是—套基于SDN技術的端到端隱匿網絡。讓業(yè)務資源和終端擺脫物理網絡限制，讓內網互聯網化，構建一個跨多個網絡的隱匿內網，同時讓網絡層數據包具備身份維度，可以基于身份在任意網絡節(jié)點進行管控或者行為捕獲，為上層能力提供基礎支撐。

第2層是安全接入和控制層。這一層遵循零信任原則來設計，用身份打通任意位置入網、網絡層控制、應用層控制，細粒度授權和動態(tài)授權等零信任相關的能力，同時開放各種接口，對接已建的安全系統。（BTW：安全云網不是一種零信任產品，而是一種符合零信任安全原則的云化安全網絡，未來所有安全產品都會依據自身定位，多多少少地滿足零信任安全原則，不存在獨立的零信任產品）

第3層是威脅檢測層。這里利用云網數據包身份化的優(yōu)勢，匯集各種帶有身份的數據，以人、端為中心對數據進行聚合，同時利用機器學習算法對異常行為、威脅行為進行研判、驗證和處置。

第4層是智能化運營層。云化網絡也好，零信任也好，威脅檢測也好，都不是安全的最終目標。安全不是一個功能，不是一種狀態(tài)，而是一個持續(xù)且有周期的運營過程，智能化運營層就是在構建這樣一個自適應安全運營過程。在這一層里我們整合下面每一層的能力，讓我們對整個網絡具備全面感知、全面管控的能力，對每一個網絡實體進行實時的安全風險評估，基于威脅場景自動化的對各類數據進行關聯、溯源和研判?！?/p>

部署案例

這樣一整套安全云網，看起來功能不少，但如果構建這么一個安全云網需要中斷業(yè)務、需要改造應用、需要冒著風險，這套方案也就失去了實際應用的意義。

選擇用Overlay的方式構建云化網絡的主要目的就是要讓安全運營與數據通信徹底分離。網絡安全需要的是集中統一編排、研判和處置，而數據通信的環(huán)境現在卻越來越碎片化，這二者的發(fā)展趨勢一個向左、一個向右，而我們非得在同一個網絡平面上把他們倆湊一塊，就會出現各種各樣的問題。大部分的網絡安全設備正是因為這個原因，導致安全能力被鎖死，再往上提升的空間已經沒有多少。

通過構建一個全新的云化網絡，在虛擬網絡里做安全的事情，在物理網絡上做數據通信的事情，這就是信域安全云網。

以下是—個部署案例：

這是一個相對比較大的網絡，接近一萬員工、上千業(yè)務資源、多個云、多個數據中心以及多個異地職場。全網采用高可用多活架構設計：控制平臺異地高可用集群，在2個數據中心同時為所有終端用戶服務，每個物理區(qū)域都部署多個網關，每個業(yè)務資源同時由多個網關代理接入云網，終端根據鏈路質量自動選擇最優(yōu)路徑。

整個云化網絡構建耗時也就兩三個小時，并且是在工作日辦公時間完成部署，業(yè)務毫無感知。

云化網絡除了可以輕松突破物理位置限制、改造底層協議、編排所有策略，還可以輕松實現對業(yè)務無感知、全網高可用、彈性、交付簡單等，基本上云的優(yōu)勢全都繼承過來了。

對網絡的認知需要升級了

在過往的認知里，網絡就是由各種網線光纖、路由器、交換機、防火墻構建成的網狀的數據通道，就像高速公路一樣將不同的服務器、終端連接在一起，完成數據的流通，在流動中讓數據產生價值。

未來的網絡需要面對業(yè)務互聯網化的趨勢，需要突破物理網絡限制，隨時隨地可以安全接入，同時它應該是個身份化的隱匿網絡，能開放地對接各種安全能力，甚至為其他安全能力賦能，是持續(xù)安全運營的安全網絡底座。

未來的網絡會進化成一個智能的分布式生命體，網線光纖、路由器和交換機組成了這個生命體的骨架和脈絡。每一個終端、每一個資源就像是這個生命體的神經元，承載了人的意識和有價值的數據。集中的控制中心就像小腦，用策略控制整個網絡的數據流通，以及對每個網絡實體的實時響應。分析中心就像大腦，通過每一個神經元感知整個網絡世界的所有活動，具備場景化的研判和處置邏輯，自動發(fā)現這個網絡世界里存在的異常和威脅，自動生成響應策略，并向控制中心發(fā)出指令，對異常或威脅點實時處置。

是時候向智能云網絡進化了！