征文 | 李磊:企业“零信任”落地实践探索与思考

李磊 OPPO信息安全部

8年安全从业经验,长期负责内部安全建设,探求安全体验与效率并存的安全能力和解决方案建设.熟悉基础安全、网络安全、数据安全及安全运营等领域,擅长企业的信息安全解决方案落地,并有体系规划和安全运营经验,拥有CISSP和PMP认证。聚焦数据安全和安全运营方向。

“零信任”是什么

如果要说2020年哪几个安全名词最火,“零信任”应该可以排上前三甲。从2010年Forrester提出“Zero Trust”概念到2019年NIST发布零信任架构草案,中间业已过去了近10年, 为什么“零信任”好像突然一夜之间大火了?笔者认为,年初的“新冠疫情”,加剧了远程办公的诉求,传统的VPN远程接入模式已不能解决复杂的业务场景需求,转而诉诸零信任能扭转这种局面。那么,到底什么是零信任呢?

笔者认为,首先,零信任不是指代一种技术,而是一种安全管理的理念,同时是基于现有安全管理框架、技术的高度抽象;其次, “零信任”本质是更加聚焦于users(用户)、assets(设备)、resources(资源或数据)的管理,通过更严的权限控制、动态监测、异常联动响应的整合,达到风险可控的目标;所以,企业基于上述“本质”开展的安全建设,一定程度都可以视为“零信任”落地实践,最大的区别在于落地“零信任”理念时企业安全建设成熟度层次差异。

实践--远程办公场景落地探索

谈到“零信任”落地,无法甲方还是乙方,绕不开的场景就是远程办公的趋于常态。不同于以往偶尔临时性远程接入需求,这种场景下,企业面临诸多挑战:

1.大量用户接入,对基础设施的压力,如何快速支撑?

2.网络边界打破,企业资产、应用大量对外开放,如何有效保护?

3.用户便捷的接入诉求,引入BYOD设备,如何解决数据不落地的问题?

4.终端设备多样化,安全性不可控,如何避免给企业内网带来安全风险的问题?

5.如何让用户取得等同于内网办公体验、资源访问诉求和安全管控间的平衡?

以上问题,相信很多企业在年初的应对中一定深有感触。笔者结合个人体会,分享下当时结合“零信任”安全理念设计的《远程办公安全管控框架》和落地。

管控“四原则”

基于企业远程办公下面临的问题,整体管控原则比较容易确立,即:数据不落地、异常可预警、威胁有阻断、全程可追溯。整体管控框架核心也主要围绕“四原则”展开。

管控框架

管控主要从制度、终端、应用和链路、监测四个维度入手,下面重点介绍下后三个维度。

1.终端可信;

远程办公首先要解决的安全问题是数据落地风险和BYOD设备自身的不安全性,所以合规的终端接入是第一步要解决的问题。当然公司终端因为有安全基线和相关安全工具加持,自身安全性可自主进行检测和修复。初始阶段,因为某些特殊历史原因,确定了不允许BYOD设备接入,并通过后台进行监测和预警。在确定非公司终端过程中也是颇有坎坷,这块随后再说。

解决了终端的合规问题,第二步要解决就是不同用户访问资源的问题,当时采取的是基于用户身份,按需授予访问云桌面或应用的权限。第三步,通过对终端外设权限等的控制,确保数据不落在非受控环境中。

通过以上措施实施,基本达到了接入终端的可信目标。

读到此,可能读者会有疑问,如果用户没有公司终端怎么解决呢?确实,当时采取了折中措施,基于用户身份(临时账号),来确定接入个人云桌面或远程PC桌面来解决。目前,这些临时措施早已下线,业已实现通过区分用户终端属性(BYOD与否)、用户身份动态决定访问的资源类型(云桌面/资源池/特定资源/远程桌面等)

 2.链路和应用可控;

链路和应用可控,主要解决终端要访问的资源和资源对外(指面向远程访问)开放安全性的问题。

全链路加密,可以确保数据传输的安全性。

哪些应用/资源可以对外开放?满足什么条件可以对外上线?对外开放中又需要做到什么保护措施?

我们确立的资源/应用对外开放原则为核心不对外(即某些绝密级资产不面向远程办公开放)、基础资源包默认对外、扩展资源面向特定人员按需授权开放。这样既保证了基本的办公诉求,又可以满足不同业务、部门人员的特殊常态业务需求,可以避免权限的过大化。

对外上线的应用遵循最小开放和安全测试通过原则,同时核心应用需接入WAF防护。端口最小开放,应用本身开放最少化。得益于内部应用SDL建设,上线安全测试和WAF接入覆盖尚可,这块处理起来就快捷很多。

威胁情报,也是已有建设和运营。整体在链路和应用做到可控。

3.实时监测、预警与响应。

2019年,内部已着手建设安全预警分析平台,基于“防泄密、防特权和防攻击”构建了一系列风险预警模型和联动处置场景。此时主要针对一些特例快速进行了预警增强,再结合自动化和人工审计,使风险处于可控范围内。

思考--如何更好落地“零信任”

远程办公算既是对“零信任”的一次试水,也是对企业安全建设的一次考验,所以,经历了“大考”,企业如何结合自身需求,更好健全安全建设,落地“零信任”呢?

笔者认为,可以考虑从以下三个方面入手:

一、资产管理建设;

资产(亦或称之为“数据”)是企业保护的对象,核心资产更是管控的重中之重。所以做好资产管理建设是落地“零信任”的起点。

1.终端资产:终端安全基线标准化、标签属性(BYOD 或企业终端)、终端命名标准化、多类型终端资产管控(MAC、Windows、移动端)

2.数据资产:分类分级、发现与识别、、、、、、

数据资产的管理是一个长期建设的过程,可以先从核心入手,逐步覆盖。终端资产的管理相对来说会较容易,也是落地“零信任”时首先可以突破的入口。

前文笔者提到,初始远程办公是不允许私人终端接入的,技术上有一定原因,但终端资产属性难以区分也占有较大的因素。没有明确的终端标签属性,就无法结合终端属性、账号自动匹配控制访问的资源范围。

二、安全技术建设;

1.账号

一方面,账号管理,是技术管控的根基,建设统一的SSO认证是必不可少的。另一方面,如果有条件的话,可以建设统一的权限管理平台,利于后期安全运营自动化。

当然,像账号多因素认证等细节也是需要留意的。

2.安全工具

主机层(终端/服务器)、网络层、应用层的安全工具也必不可少,主要是基于纵深、多维安全防护思路,这块的建设理念相对成熟,不做重点介绍。主要针对企业落地远程办公场景下的“零信任”给甲方和乙方提供些许建议供参考:

2.1甲方


对甲方而言(主要指终端产品多以商用为主的企业,自研产品的互联网企业除外),内网接入用准入,外网接入用VPN,各种安全工具杀毒、DLP…你一个我一个,给企业安全管理和用户体验或多或少都会带来影响。所以落地“零信任”,首要须解决多工具接入问题,实现终端安全产品统一且轻量化,真正打通内外边界。

2.2乙方


对乙方而言,推介新的“零信任”产品方案,除了给出推荐的落地路线,更多时候还是要兼顾甲方的业务诉求和场景。同时,客观说明落地前需要提前准备的工作,最后就是自家产品一定要有足够的开放性。产品开放性是多数大型企业方案选型的必考点,新的产品一定是与企业现有安全管控体系互融,并成为其中可以联动共生的一环。

千万不要出现“放心,你们装上我家产品Agent,可以快速部署上线,实现XX万人快速接入”的现象,可能你连对方的业务诉求还没完全摸清。如果对方希望实现的不仅仅是基于角色授权,而是希望基于用户身份真正的动态授权模式;抑或对方不但要解决国内接入问题,而且还要解决海外接入问题,可能某些“零信任”方案全球的接入体验就层次不齐了。

3.安全平台

安全平台在落地“零信任”理念中扮演举足轻重的角色。试想,已经接入的终端安全性如何持续评估,如何通过后台持续做到动态监测,又如何快速响应联动?所以,要实现这些目标,企业需要一系列安全平台支撑,真正打通 “上下游”。无论是前面提到的统一权限管理平台还是S-CMDB、安全预警分析平台或安全态势感知平台,最终要实现的是通过实时监测分析,动态进行权限控制,异常联动降低风险。

三、安全运营能力建设。

关于安全运营,业内大佬们蓝星安全四杰都提出了自己的“安全运营”理念,值得好好拜读,这里我就不班门弄斧了。

简要说一句,安全运营是打通安全建设最后一公里的必由之路。通过数字化分析,发现安全问题或风险,并推动闭环,此乃我理解的安全运营,愿能解昔日Carmen之疑惑。

写在最后

“零信任”不是第一个更不会是最后一个高度抽象概括的安全理念,其是企业安全建设和行业发展到一定阶段必然追求的结果。从某个层面来看,“零信任”更像是一种理想的安全运营终极状态 。但是,“零信任”理念的兴起,也提醒了企业安全建设,解决主要风险的同时,更要聚焦练好基本功。

(0)

相关推荐