零信任落地难不难?看看第一个吃螃蟹的完美世界怎么说
零信任安全的理念在业内越来越流行,但大家实际看到的落地案例并不多。零信任到底是不是企业安全建设的刚需,想要实施零信任架构到底该从何下手,其中关键技术的实现有哪些坑?
面对这些大家关心、困惑的问题,安全419邀请到完美世界安全总监何艺来分享他们从零到闭环建设企业零信任架构的经验,以期为业界带来一些有益的参考。
互联网企业的安全窘境:你永远比黑客慢一步
在2011年以前,何艺就职于某大型涉密机构,那时更为普遍的安全场景都是围绕合规要求展开的。加入完美世界跨进互联网安全领域之后,各种密集、复杂又高级的安全威胁每天都在上演。
“游戏公司的资产是黑客眼里的‘肥肉’,我们会经历真实的APT事件,这些攻击从组织策略到分析工具、技术手段,已经形成完整严谨的产业链,并且长期潜伏难以发觉。”
这一度让何艺感到很无措,原因在于,通过跟安全厂商交流,大家花重金打造的防护体系偏重于旁路监控以及事后应急,考虑的是尽量不要侵入业务,但这种永远落在黑客身后的分析和响应机制,并不能保证内部环境安全无虞。
“我们的分支机构遍布全球,业务系统和员工分散各地,需要监控分析的范围太大了,安全对抗的成本还特别高,关键是起不到真正的保护作用。”
在何艺看来,这是一个互联网公司们会面临的共同难题,当云计算、各种虚拟服务深入应用,随之带来的边界的模糊化和访问路径的多样化,直接导致防火墙、杀毒软件、入侵检测等传统手段无从下手。
采取主动防御之策 自研自建企业零信任架构
为了扭转被动挨打的局面,何艺开始思考和探寻主动防御的企业安全建设方向。
2014到2015年间,谷歌的BeyondCorp计划在自身安全实践上迈出了大胆的一步——拆掉挡在外面的防火墙,不再区分内外网。其基本思路是,边界保护变得越来越难,一旦脆弱的边界被突破,攻击者就很容易访问到企业内部应用,所以干脆一视同仁,用一致的手段去对待。
之所以会有这样的决心,是因为谷歌刚刚经历了名为“极光行动”的APT攻击。公司的一名雇员点击了即时消息中的一条恶意链接,最后引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。
“谷歌的经历和诉求跟我们是一致的,我们当时就是想把安全架构跟公司的IT环境整合到一起,让大家能正常无感地安全办公。”
BeyondCorp组件和访问流程
何艺团队深入调研和评估BeyondCorp计划,其核心是从设备到用户再到应用进行持续动态的安全校验,以此建立信任链条,缩小暴露面和攻击面。对照谷歌强大的IT设施和技术底蕴,在自身企业落地这个庞大的架构似乎不切实际。
通过逐步拆解与摸索,再结合完美世界的具体情况和安全需求,何艺把整体框架分成了一个个具体、实际的关卡:
如何建立设备与用户之间的认证——如何建立用户与应用之间的认证——如何判定、控制用户终端的网络准入——如何对上述三者进行动态的安全分析检测——实现以上功能后,能否形成设备+用户+应用的信任链。
再将这些环节映射到安全系统层面来看,内部并不全是新奇特的技术来支撑的,而是可以通过升级、整合已有的安全技术来实现的。
于是,何艺于2015年在公司内部启动了这个项目,计划用3年时间完成整体建设。那个时候,国内还没有引入所谓的“零信任”概念,何艺团队直接用“BeyondCorp”作为项目代号。
他们设计的整体架构与BeyondCorp一致,建立基于设备、用户、应用这三者的信任链,以及动态的安全评估机制,在架构设计上按照分层思想设计,即在网络层、主机层、应用层上分别设有三套独立的系统,系统可以独立其他系统运行,也可以系统之间进行联动,通过联动来实现更强的安全防护能力。后端服务中有统一的用户目录服务、PKI体系和OTP认证等系统,来支持设备、人、应用的多因素鉴权,结合系统对架构体系闭环。
完美世界零信任架构
图/何艺个人公众号@小议安全
反观当初提出的几个问题:
主机安全管理系统——安装在windows、mac、移动终端上的agent和主机安全网关,实现人和设备的信任关系建立,设备安全状态的检查,漏洞的修复处理等功能;
应用安全管理系统——包含web安全网关、策略服务器,负责对web资源的保护与授权,对符合user->device->appliction信任链的请求放行;
网络安全管理系统——负责网络边界ACL管控和网络准入控制,联动主机安全和应用安全系统,实现经认证的设备的入网和不安全隔离控制;
安全运营平台SOC——将数据转到SOC中并进行集中和联动,之后再进行全局的安全分析工作响应,最后才能够将零信任架构落实到业务上去。
安全效率得到验证 企业实践零信任已有更多路径
实际上,虽然当初提出了3年计划,但在实践过程中遇到了不少挫折,整体建设直到2019年才实现闭环。其中最大的一次踩坑在于,终端agent 1.0版本开发完成即将上线时,团队回顾该版本发现跟预想存在很大差距,不管是系统的效率、跟业务的对接程度以及未来的可扩展性,都只是在当下可用,但不足以支撑未来长期的发展。虽然已经投入了巨大成本,但团队最终还是选择进行重构。
在安全419看来,这不仅是安全团队对系统功能的高要求,企业决策层的支持和信任也是相当重要的保障,在零信任理念没有被广泛认知、国内也没有成功落地样本的情况下,坚持投入需要很大的决心勇气和抗压能力。
到目前为止,完美世界零信任架构覆盖了集团近万名员工、2万台终端、800+应用,实现了整体性的主动防御。
在疫情期间,这套架构也高质量地支撑了公司大规模的远程办公,不仅包括员工们的即时通讯沟通、对内部应用的访问和操作等通用办公需求,还包括开发环境访问、远程系统管理这类特殊需求。
每个员工的远程办公环境和设备都存在不可控的安全风险,短时间大量用户的集中访问也十分考验系统的处理和联动能力,这套体系在整体上经受住了考验,没有出现业务或安全上的事故。
何艺表示,从实际运行效果来看,零信任架构无疑能为企业带来很多好处,改造整个IT环境后不仅提升了安全效率,而且让用户使用也更加简单,是真正可落地、可使用的方案。但同时,零信任架构也会带来新的挑战,一体化、集中化的模式将风险也集中了,给安全运营和安全管理带来更大考验。
随着零信任理念逐渐普及,相关技术逐渐成熟,市场的热情也促使很多乙方厂商来提供相关服务。对于目前实施零信任改造的企业来说,何艺认为,完全自研自建已经不是一个最优解,但需要注意的是,很多新鲜出炉的商业方案并未经过有效的大规模实践,需要仔细权衡和考量。