2019(第二届)中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上,深信服科技股份有限公司移动安全产品研发总监郭炳梁带来了主题为《从零信任到精益信任,金融数字化转型时代的新安全理念》的演讲。

郭炳梁

一、零信任

“零信任”是约翰金德维首席分析师提出的,提出三个关键原则:一是不应该区分网络位置,二是所有的访问控制都应该是最小权限且严格限制,三是所有的访问都应当被记录和跟踪。他提出之后,在2011-2017年之间谷歌在自己的企业网进行了零信任的实现。2014年12月谷歌发表多篇论文阐述自身零架构的实施情况和相关方式。到2017年时,谷歌beyondCorp全面落地,在这个时间点业界大厂商看到明确在谷歌巨型企业落地的案例,然后快速跟进,包括思科、亚马逊、微软等这些举头企业。2018年开始到现在,我们的中央部委、国家机关和中大型企业也开始探索和实践零信任安全架构。

为什么需要零信任?谷歌的痛点在哪里?可以从机构业务发展历程去看:传统安全理念是构建一个边界,专注于边界防护就好了,因为边界之内是安全的。

在这样传统安全理念之下,业务发展简单的情况下安全是好建设的,但是业务不是一成不变的,企业和机构需要建设越来越多的办事处或者子公司,或者门店以及网点。这种情况下相当于原来的边界不再纯粹,上面有更多出口。同时,因为我们分支或者办事处等安全人员从业意识和安全技能是参差不齐,分布的安全设备和总部也不尽相同,这种其他下如何做好分公司分布层面上统一安全建设成为了一个有难度的命题。

我们也看到近些年来比如移动金融应用类白皮书证明了这点。移动应用在金融行业几乎成为了标配,典型的是手机银行。移动办公和移动生产越来越多,我们遇到典型业务是金融的信用卡开卡、保险办理等等。

还有一个比较关键的点是数据中心的云化,我们看到头部大型金融机构会建设自己的金融私有云,同时它会利用安全和技术的先进优势去建设金融行业云,提供给这些中小金融机构去使用,帮助它们去做金融业务的发展,这也有利的辅助了我们在移动互联时代金融业务的创新与发展。

我们看到传统的边界不再纯粹了,它变得模糊甚至趋于破碎,这种情况下传统的安全架构难以适应企业的快速发展。以金融行业为例,像“十三五”规划里提到,后续还会有像区块链、物联网、人工智能等,这些新的金融科技也会促使带来更多安全问题。

谷歌在2011年决定建beyondCorp,在那前后它到底遇到什么问题?它遇到几个问题:

第一个痛点,它不仅自身还有多点分支机构的建设。同时谷歌是全球最有名的并购狂魔,从2006年到现在并购近200家公司,2010年一年就达48家——比较典型的有YouTube、摩托罗拉这种。

第二个痛点,谷歌的移动办公,包括业务系统移动化,也就是移动应用,使得它她入终端的类型和接入终端的位置变得非常复杂,传统边界出口越来越多,非常难管理。

第三个痛点,对它当时冲击比较大的是APT攻击。现在我们大家对APT都有了解,它是一种攻击理念,不是单纯的攻击方法或者攻击技术,攻击者有组织有纪律的利用武器库去入侵,摸着我们企业开放越来越多的边界,去入侵到企业内部,然后潜伏下来,去寻找或者窥视更有价值的业务系统或者相关企业生产资料及资源,去做盗窃或者破坏行动。

比如近几年APT网络武器库泄露也使得网络武器从军工级别走向民用化,比如“永恒之蓝”直接导致勒索病毒和挖矿病毒大范围横行。2009年谷歌遇到“极光行动”,员工从终端里入侵进去,后面又入侵了gmail服务器,盗取了邮件服务器机密长达数月之久。最关键的是谷歌安全体系难以回答清楚到底能不能防御住下一次“极光行动”。

我们回过头来看看传统的安全架构到底有什么问题:

传统企业网安全架构是通过网络位置划分性能区域,比如分成办公区、访客区等,但总体有一个原则是一致的,就是外部不受信任,区域内部属于信任特权网络,意味着只要他一旦渗透到信任里面就可以一路畅通无阻。另外,企业内网部署大量安全设备,但是设备与设备间缺乏信息共享和安全联动,不仅带来运维困难,而且还会导致设备大量堆叠,但是安全在实质上是处于一种割裂的状态。

谷歌是比较有个性的公司,解决问题时纠其本质从头再来,比如安卓操作系统。当它遇到问题时也在思考到底该怎么解决问题,既然可信网络和不可信网络混杂,没有办法很好的安全控制,为什么不能化繁为简,只允许网络中只有可信的流量才能通过,问题迎刃而解。

所以零信任网络安全架构主要由三大理念和五大基本原则组成:

1、信任最小化,所有用户、设备和网络流量都应该被认证、授权和加密。

2、网络无特权化,不管是内网还是外网,始终都是充满威胁的,不应该依据网络位置去信任。

3、权限动态化。主张应该基于尽量多的数据源,比如用户、设备、环境、信息、行为等。

谷歌建立了全生命周期的数据清单数据库以及用户群组数据库,通过全生命周期数据库的建设,把不管在谷歌大楼内部还是在星巴克咖啡店等,都相同的需要通过访问代理跟身份认证系统进行对接,判断用户身份以及终端环境,然后再来去确认它的访问的权限,然后在过程中动态的做相关的调整,实现无边界的网络。

我们看到前面传统的安全架构存在两大问题,第一,模糊甚至破碎的边界,第二,割裂的安全。零信任架构通过全面身份化、多源信任评估、动态访问控制解决了边界模糊和边界破碎的问题,但是安全问题不是一个方案、一个产品能够完全解决的,深信服精益信任的理念认为,我们应该在零信任基础上和各种安全设备进行融合和联动,形成统一互补的安全体系,构建统一安全

二、深信服精益信任统一安全架构

精益信任aTrunst平台架构其中最重要是两部分:安全控制中心和安全控制网管。所有用户访问都统一通过安全接入网关检测,以及终端做判定,最后授予相应的权限。

aTrunst在业务访问过程中主张先访问资源再验证身份,转变为先验证身份再访问资源。比如一个业务系统开放给5个部门里的20个人使用,传统的方式是把这5个部门里的2000个人都可以访问到这个业务系统,只不过他没有用户名和密码,这访问面和攻击面是非常巨大的,带来了巨大的威胁。统一身份认证组件上提供了统一身份认证、身份管理和单点登陆sso能力,更重要的是和aTrunst联动,基于全生命周期的管理,比如一个员工进入离职中的状态,他的安全策略就会进行相应调整,达到更高的安全系数,降低安全风险。

全面身份化还会遇到一个巨大的难题,就是谁应该访问哪些业务系统是很难搞清楚的,可以基于用户访问行为和全面身份化流量,通过智能生成ACL访问报告,帮助管理员做权限细化。

多源信任评估实现动态访问信任授权,安全评估基于多维度漏斗,基本是几个层次:一个是相对传统的基于特征的识别方式,还有一个是无特征的利用深度学习和机器学习的方式,以及沙盒,利用大数据的优势跟大数据分析平台进行联动,实现更强的秒级威胁情报的响应和检测。行为检测分析层面上通过对流量进行分析,能够做到内网的各种访问,包括攻击行为和用户访问行为进行更实时的、更可视的监控,同时,对于用户长期的行为进行基线建设,发现更多衍生风险。

动态权限基于主体、环境、身份这三个部分。比如用户密码是60%的身份,用户名密码加短信是80%,加上生物识别是百分之百的身份。身份确认之后,对于环境的层面上,你的终端是不是安全,有没有打补丁,有没有漏洞和木马,在身份和环境可信之后非常重要的是行为,有没有做扫描和攻击的行为,有没有大量下载财务系统或者研发图纸系统里的文件资料等等行为。基于三个可信评估出来的信任等级,再结合资源应用分级精密等级能够实现动态访问控制。

在统一安全层面上aTrunst架构主张能够和各个安全产品进行联动,保持非常开放、灵活的架构,包括并不仅能够和LDAP等进行联动,促使安全从割裂走向融合。我们将内网流量逐步身份化、可视化之后,使安全从黑盒走向可视可控。

aTrunst主张零信任不应当是一个巨无霸,也不应当是一个一蹴而就的东西,它应该和机构及企业各个业务发展阶段结合起来去匹配,按需提供。比如基本的包含控制中心和可信代理两个组件,如果有移动办公可以增加移动办公相关的安全组件,包括终端安全威胁以及内网行为分析等等都是可以自由的去做调整。最后能够和机构、企业共同发展业务,相辅相成,能够一起为客户的业务做保驾护航。

今天我的分享就到这里!

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2022-01-26 11:31:39
云安全 Fortinet 全球零信任态势报告:超半数企业组织在搭建零信任架构时面临挑战
调查显示,当组织面临这些挑战时,绝大部分情况源自于在构建零信任战略的进程中,缺少优质提供商为组织提供全面、完善的解决方案。 <详情>
2021-11-29 17:08:14
市场情报 从“持续验证”到“持续保护”,腾讯牵头全球首个零信任国际标准发布
传统基于防火墙的物理边界防御方式已不再适用,而基于IT无边界化趋势下兴起的零信任安全理念则成为大势所趋。 <详情>
2021-09-14 17:13:53
市场情报 高校信息化进入新阶段,腾讯零信任iOA助力解决安全后顾之忧
腾讯iOA和零信任安全架构就已全面应用在整个腾讯企业内部网络架构中,支撑全网7W员工、10W终端的全类型办公。 <详情>
2021-09-10 11:47:39
云技术 “零信任”防御云计算信任危机
未来,零信任与云与云原生深度融合将成为一种趋势。 <详情>