查看原文
其他

征文 | 李磊:企业“零信任”落地实践探索与思考

李磊 安在 2021-05-14

戳链接了解本期征文详情



李磊 OPPO信息安全部

8年安全从业经验,长期负责内部安全建设,探求安全体验与效率并存的安全能力和解决方案建设.熟悉基础安全、网络安全、数据安全及安全运营等领域,擅长企业的信息安全解决方案落地,并有体系规划和安全运营经验,拥有CISSP和PMP认证。聚焦数据安全和安全运营方向。



“零信任”是什么

如果要说2020年哪几个安全名词最火,“零信任”应该可以排上前三甲。从2010年Forrester提出“Zero Trust”概念到2019年NIST发布零信任架构草案,中间业已过去了近10年, 为什么“零信任”好像突然一夜之间大火了?笔者认为,年初的“新冠疫情”,加剧了远程办公的诉求,传统的VPN远程接入模式已不能解决复杂的业务场景需求,转而诉诸零信任能扭转这种局面。那么,到底什么是零信任呢?





笔者认为,首先,零信任不是指代一种技术,而是一种安全管理的理念,同时是基于现有安全管理框架、技术的高度抽象;其次, “零信任”本质是更加聚焦于users(用户)、assets(设备)、resources(资源或数据)的管理,通过更严的权限控制、动态监测、异常联动响应的整合,达到风险可控的目标;所以,企业基于上述“本质”开展的安全建设,一定程度都可以视为“零信任”落地实践,最大的区别在于落地“零信任”理念时企业安全建设成熟度层次差异。   

 

实践--远程办公场景落地探索


谈到“零信任”落地,无法甲方还是乙方,绕不开的场景就是远程办公的趋于常态。不同于以往偶尔临时性远程接入需求,这种场景下,企业面临诸多挑战:


1.大量用户接入,对基础设施的压力,如何快速支撑? 

2.网络边界打破,企业资产、应用大量对外开放,如何有效保护? 

3.用户便捷的接入诉求,引入BYOD设备,如何解决数据不落地的问题?

4.终端设备多样化,安全性不可控,如何避免给企业内网带来安全风险的问题?

5.如何让用户取得等同于内网办公体验、资源访问诉求和安全管控间的平衡?


以上问题,相信很多企业在年初的应对中一定深有感触。笔者结合个人体会,分享下当时结合“零信任”安全理念设计的《远程办公安全管控框架》和落地。



管控“四原则”


基于企业远程办公下面临的问题,整体管控原则比较容易确立,即:数据不落地、异常可预警、威胁有阻断、全程可追溯。整体管控框架核心也主要围绕“四原则”展开。


管控框架


管控主要从制度、终端、应用和链路、监测四个维度入手,下面重点介绍下后三个维度。


1.终端可信;


远程办公首先要解决的安全问题是数据落地风险和BYOD设备自身的不安全性,所以合规的终端接入是第一步要解决的问题。当然公司终端因为有安全基线和相关安全工具加持,自身安全性可自主进行检测和修复。初始阶段,因为某些特殊历史原因,确定了不允许BYOD设备接入,并通过后台进行监测和预警。在确定非公司终端过程中也是颇有坎坷,这块随后再说。


解决了终端的合规问题,第二步要解决就是不同用户访问资源的问题,当时采取的是基于用户身份,按需授予访问云桌面或应用的权限。第三步,通过对终端外设权限等的控制,确保数据不落在非受控环境中。


通过以上措施实施,基本达到了接入终端的可信目标。


读到此,可能读者会有疑问,如果用户没有公司终端怎么解决呢?确实,当时采取了折中措施,基于用户身份(临时账号),来确定接入个人云桌面或远程PC桌面来解决。目前,这些临时措施早已下线,业已实现通过区分用户终端属性(BYOD与否)、用户身份动态决定访问的资源类型(云桌面/资源池/特定资源/远程桌面等)


 2.链路和应用可控;


链路和应用可控,主要解决终端要访问的资源和资源对外(指面向远程访问)开放安全性的问题。


全链路加密,可以确保数据传输的安全性。


哪些应用/资源可以对外开放?满足什么条件可以对外上线?对外开放中又需要做到什么保护措施?


我们确立的资源/应用对外开放原则为核心不对外(即某些绝密级资产不面向远程办公开放)、基础资源包默认对外、扩展资源面向特定人员按需授权开放。这样既保证了基本的办公诉求,又可以满足不同业务、部门人员的特殊常态业务需求,可以避免权限的过大化。


对外上线的应用遵循最小开放和安全测试通过原则,同时核心应用需接入WAF防护。端口最小开放,应用本身开放最少化。得益于内部应用SDL建设,上线安全测试和WAF接入覆盖尚可,这块处理起来就快捷很多。


威胁情报,也是已有建设和运营。整体在链路和应用做到可控。


3.实时监测、预警与响应。


2019年,内部已着手建设安全预警分析平台,基于“防泄密、防特权和防攻击”构建了一系列风险预警模型和联动处置场景。此时主要针对一些特例快速进行了预警增强,再结合自动化和人工审计,使风险处于可控范围内。



思考--如何更好落地“零信任”


远程办公算既是对“零信任”的一次试水,也是对企业安全建设的一次考验,所以,经历了“大考”,企业如何结合自身需求,更好健全安全建设,落地“零信任”呢?


笔者认为,可以考虑从以下三个方面入手:


一、资产管理建设;


资产(亦或称之为“数据”)是企业保护的对象,核心资产更是管控的重中之重。所以做好资产管理建设是落地“零信任”的起点。


1.终端资产:终端安全基线标准化、标签属性(BYOD 或企业终端)、终端命名标准化、多类型终端资产管控(MAC、Windows、移动端)


2.数据资产:分类分级、发现与识别、、、、、、


数据资产的管理是一个长期建设的过程,可以先从核心入手,逐步覆盖。终端资产的管理相对来说会较容易,也是落地“零信任”时首先可以突破的入口。


前文笔者提到,初始远程办公是不允许私人终端接入的,技术上有一定原因,但终端资产属性难以区分也占有较大的因素。没有明确的终端标签属性,就无法结合终端属性、账号自动匹配控制访问的资源范围。


二、安全技术建设;


1.账号


一方面,账号管理,是技术管控的根基,建设统一的SSO认证是必不可少的。另一方面,如果有条件的话,可以建设统一的权限管理平台,利于后期安全运营自动化。

当然,像账号多因素认证等细节也是需要留意的。


2.安全工具


主机层(终端/服务器)、网络层、应用层的安全工具也必不可少,主要是基于纵深、多维安全防护思路,这块的建设理念相对成熟,不做重点介绍。主要针对企业落地远程办公场景下的“零信任”给甲方和乙方提供些许建议供参考:


2.1甲方



对甲方而言(主要指终端产品多以商用为主的企业,自研产品的互联网企业除外),内网接入用准入,外网接入用VPN,各种安全工具杀毒、DLP…你一个我一个,给企业安全管理和用户体验或多或少都会带来影响。所以落地“零信任”,首要须解决多工具接入问题,实现终端安全产品统一且轻量化,真正打通内外边界。


2.2乙方



对乙方而言,推介新的“零信任”产品方案,除了给出推荐的落地路线,更多时候还是要兼顾甲方的业务诉求和场景。同时,客观说明落地前需要提前准备的工作,最后就是自家产品一定要有足够的开放性。产品开放性是多数大型企业方案选型的必考点,新的产品一定是与企业现有安全管控体系互融,并成为其中可以联动共生的一环。


千万不要出现“放心,你们装上我家产品Agent,可以快速部署上线,实现XX万人快速接入”的现象,可能你连对方的业务诉求还没完全摸清。如果对方希望实现的不仅仅是基于角色授权,而是希望基于用户身份真正的动态授权模式;抑或对方不但要解决国内接入问题,而且还要解决海外接入问题,可能某些“零信任”方案全球的接入体验就层次不齐了。


3.安全平台


安全平台在落地“零信任”理念中扮演举足轻重的角色。试想,已经接入的终端安全性如何持续评估,如何通过后台持续做到动态监测,又如何快速响应联动?所以,要实现这些目标,企业需要一系列安全平台支撑,真正打通 “上下游”。无论是前面提到的统一权限管理平台还是S-CMDB、安全预警分析平台或安全态势感知平台,最终要实现的是通过实时监测分析,动态进行权限控制,异常联动降低风险。


三、安全运营能力建设。


关于安全运营,业内大佬们蓝星安全四杰都提出了自己的“安全运营”理念,值得好好拜读,这里我就不班门弄斧了。

 简要说一句,安全运营是打通安全建设最后一公里的必由之路。通过数字化分析,发现安全问题或风险,并推动闭环,此乃我理解的安全运营,愿能解昔日Carmen之疑惑。


写在最后

“零信任”不是第一个更不会是最后一个高度抽象概括的安全理念,其是企业安全建设和行业发展到一定阶段必然追求的结果。从某个层面来看,“零信任”更像是一种理想的安全运营终极状态 。但是,“零信任”理念的兴起,也提醒了企业安全建设,解决主要风险的同时,更要聚焦练好基本功。






2019征文合集





三月主题:《数据安全面面观》


征文 | 顾伟:关于中国数据跨境传输合规之思考征文 | 赵锐:云端数据安全浅谈征文 | 蔚晨:数据驱动的安全防控体系探究征文 | 张喆:在开放共享环境下的数据安全安在征文,3月月奖是谁胜出?

四月主题:《一个人的安全》


征文 | 周逸传:一个人的安全?我笑了征文 | 武鑫:一个人的安全,在变化中促成长征文 | 陈欣炜:一个人的安全,或许你要扛起整个公司征文 | 黄猛:一个人的安全?你不是一个人在战斗!征文 | 顾伟:一个信息安全从业者的自我修养安在征文,4月月奖是谁胜出?


五月主题:《网络安全“值钱”吗》


征文 | 陈欣炜:联合起来,让网络安全创造价值征文 | 顾伟:网络安全“值钱”吗?征文 | 赵锐 :从网络安全转向业务安全的价值实现安在征文,5月月奖是谁胜出?


七月主题:《社工记》


征文 | 沈青:网络安全社会工程学起源与应用征文 | 陈欣炜:邮件钓鱼测试和合规性要求征文 | 顾伟:从社会工程学到信息安全文化模型的创建征文 | 赵锐:无所不在的社会工程学安在征文,7月月奖是谁胜出?

十月主题:《攻防演练实务》


征文 | 黄乐:网络安全的矛与盾——企业视角看攻防演练征文 | 顾伟:攻防之道,红蓝对抗征文 | 叶翔:在企业内部搞攻防比赛,很难吗?征文 | 赵锐 :从漏扫到攻防演练,甲方如何选择安全测试?安在征文,10月月奖是谁胜出?

十一月主题:《不会做规划,怎么做安全》


征文 | 侯大鹏:利用5W1H方法,做企业信息安全规划征文 | 陈皓:年度安全规划–“我们不一样”征文 | 舒胤明:结构化分析,让5W2H贯穿信息安全规划全程
2020征文


六月主题:《红蓝对抗中的心理博弈》


征文 | 王振东:红蓝对抗中的心理博弈

九~十月主题:《POC轶事》


征文 | 杨博涵:浅谈全流量安全分析系统POC测试征文 | 黄乐:安全产品POC那些事征文 | 金国峰:POC,不仅笑话与故事征文 | 李磊:安全运营视角下的POC测试征文 |蒋琼:从雾里看花到揭开面纱,新兴领域安全产品POC之我见“POC轶事”,安在征文大奖揭晓!

   ▼加入诸子云




你怎么这么好看


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存