完美世界何艺:零信任架构的开发和落地
“在这个过程中会遇到很多你想不到的问题,或者你以为的小问题,对公司上万台终端来说,哪怕1%的概率也要花很大的成本来解决这个问题。”
何艺,十六年甲方安全经验,现任完美世界高级安全总监,负责集团的安全工作,专注企业安全建设,安全平台设计,安全分析与检测,自15年开始研究零信任架构,并以自研方式在集团内落地和闭环。在各大安全会议上有过多次议题分享经历,有个人公众号“小议安全”,也欢迎大家搜索关注。
近几年,“传统安全边界逐渐失效”的论调不绝于耳,随着攻击手段的复杂化、多样化,边界防护日渐衰微。此次邀请完美集团高级安全总监何艺来分享在传统安全架构逐渐失效的背景下,利用零信任架构建设企业安全的实践经验。
传统的安全架构,主要思想在于边界安全防护,将资源投入到边界上去。而如今的边界正在“模糊化”,不像传统边界那样清晰,比如BYOD自带设备、业务上云、远程办公等等。
过去,传统边界模型对于以往一些传统的安全事件来说是很有效的,比如蠕虫,阻断端口即可将其防御在外。但是,随着现在攻击方式的进步,比如APT攻击、网络钓鱼、社会工程学等方式,往往就可以进入企业内部,而内部的检测和防护能力较弱,这就导致了传统边界安全的失效。因此,再在边界上下功夫,那么企业的安全防护自然也难以应对新的安全问题。
2014年,谷歌的一篇论文彻底打破了内外网之别,其“不再区分内外网”的做法震惊世界,那时推出的Beyondcorp项目将“零信任架构”推入人们的视线中。
我们当时15年的时候,其实之前很多精力是放在检测这个方面,但是当时已经觉得检测越来越不能够应对当前的一些问题,正在设计主动防护方案,这个时候看到谷歌这条新闻被国内报道,当时很多朋友圈其实都在转发,那个时候很多人觉得挺不可思议,太超前了。
在企业安全实践之路上,零信任架构又或者说零信任理念,这是大胆的一步。
回看国内零信任架构建设,完美集团的零信任架构搭建和落地具有一定的参考和借鉴意义。而何艺对零信任架构具有多年的研究经验,深耕安全行业多年,带领安全团队从一开始只是启发到后面的落地闭环,一步一步结合业务分阶段地构建企业的网络安全架构。
在何艺看来,企业搭建网络安全架构往往要根据企业的业务现状来决定,比如传统企业,业务大部分都处在线下,未来也没有往线上发展的打算,那么网络威胁和挑战对这类企业则没有太大的影响。然而,现实情况是在第四次工业革命的大背景环境下,传统企业逐渐转型、逐渐上云,将自身业务转向线上,比如制造业或者是基于网络化的智能型产业。
在这种情况下,网络安全架构则十分重要。一个好的架构不仅是企业安全保障的基础,而且可以起到事半功倍的作用,以较小的投资得到较大的收益。此外,好的安全架构是能够适应未来发展的,比如遇到新的问题、新的威胁,能不能在这个架构之上快速增加一些新的模块,或者是做一些变化和调整来应对威胁,这个问题对于好的安全架构来说,至关重要。
从各自为政到安全一体化
企业安全建设离不开安全理念的支撑。何艺在采访中提及,在安全行业这些年中,不断学习和成长,逐渐形成了“安全一体化”的思想。
在2004年,当时何艺还在CERT任职,担任网络安全组组长,当时应用的还是传统的安全解决方法,很多是依赖于乙方及其提供的安全解决方案和安全产品,基本上也都偏向合规类。
这种传统的安全解决方案,包括一些安全场景,可能主要还是以合规为主,而不是真正去关心是否能够解决企业的安全问题。
2011年,在进入完美世界之后,何艺企业建设安全理念的种子开始发芽。在过去的传统安全中,安全产品之间往往都是各自为政,系统中的某一个地方遭受攻击之后,其他地方或者其他系统并不能感知到此次攻击。然而,对于黑客来说,他们背后的这些力量、资源或者是产业,都是互通的。黑客之间进行一些利益交换,共享是很容易的,他们是集中优势力量来发动进攻。
这种情况下,对于企业而言,传统的安全方案就会特别被动,所以说那时候就萌生了要做这种一体化安全平台的想法。
出于早期资源有限以及方便切入,何艺及其安全团队一开始用开源系统去搭建集中化的安全分析平台,用开源的方式去做分析的平台,收到了好的效果但还远远不够。因为这种分析平台是基于事中和事后,缺乏主动防御,依然是无法解决安全问题的,比如在APT对抗中,仅仅只是这样一种分析类的一体化平台,永远是滞后的、无法有效地进行自我保护。
我们后来开始做零信任架构,从15年开始研究,以分层分模块方式,一边开放一边落地,同时进行修正和迭代,一直到现在零信任架构闭环落地,然后推广到各个业务中。
一体化安全平台理念是搭建零信任架构的一部分,在未来,这种理念还将和业务更加紧密地结合,比如像服务器之间的最小化权限,业务之间API的一些调用等,将这些延伸到业务中去,才能切实验证和发挥理念优势。
零信任架构搭建及难点
零信任架构是一种典型的主动防护性质的架构,可以和以前的企业架构结合在一起,既有防护又有检测。结合一体平台化思想搭建零信任架构,当平台一方遭受攻击之后,其他系统也可以感应得到,平台所有数据相通,可以互相联动。
安全解决方案往往是就是一个新的方案去解决一个安全风险的时候,可能会带来另外一些新的风险,这里面其实也是一个取舍问题。
在集中化的这个过程中会产生一些结构化风险,比如当核心节点被攻击时,影响的面积会比之前大。所以其实又回到了安全投入产出比的问题上,因为集中化,可以以较少的资源投入到这些集中的地方进行防护,因此也会更加有效。安全方案在解决一些风险时往往也会带来一些新的风险,而方案优良与否、适合与否,有个大的考量在于能否接受这个新的风险,或者是,权衡之下,能否防控住这种新的风险。
从一开始从谷歌得到启发,经过多个阶段的摸索和尝试,到最后架构的闭环、落地,完美世界集团的零信任架构在安全防护和应用上已经颇见成效。
我觉得零信任架构内部其实并没有黑科技,这不是一个完全全新的东西,相反,这更像是一个多种技术集成的事物。
基于此,何艺将零信任架构的构建拆分为三个阶段。
第一阶段
基于统一认证的实现,比如开发OTP这样的一个动态口令认证系统,所有业务可以应用这种系统进行认证,这是一个基础的技术系统。其次,web网关的实现,即将web应用一一放到网关去进行保护、认证和授权。通过认证之后的用户才能够看到页面和具体的业务。同时,系统还带有一些可共同监督的功能。这是零信任架构比较核心的系统模块。
第二阶段
构建零信任需要的终端、网络、分析环境,比如SADB系统、SOC统计分析中心的构建和完善。在做终端agent之前,先做了移动端的app,利用零信任架构支撑公司的移动化办公,比如移动端的审批、应用等都可以进行快速集成。所以构建了这样的技术平台之后,也帮助了公司移动化办公。而终端PC agent的构建,由于时间较长、成本较高、难度较大,则放在了第三个阶段去部署和完成。
完美世界零信任整体架构图
第三阶段
基于前两个阶段的准备,开始开发终端agent、网络安全管理系统。最后,将三套系统整合起来,其中包括主机安全管理系统(涵盖终端agent)、网络安全管理系统、应用安全管理系统,并且开始做三者之间的联动,并打通数据共享。谷歌核心的理念,从终端到人,再到权(应用权限)三者之间的信任关系便建立起来了。同时,在这个过程中,不断地优化以及将数据转到SOC中并进行集中和联动,之后再进行全局的安全分析工作响应,最后才能够将零信任架构落实到业务上去。
虽说零信任架构不是完全陌生的事物,但是这个探索的过程依然是极其不容易的。架构构建、开发、和业务相结合的实施过程中就会产生各种各样的问题,需要整个安全团队一步一步地去解决。
谈及这整个过程中印象深刻的“难关”,何艺认为其实有很多,比如终端的准入开发遇到设备兼容性问题,应用安全网关拦截不跳转的问题,后台的业务配合认证,配合这种认证规范和集成化,用户端那边,较老的商业应用可能就需要比较低的IE版本,导致一些不兼容的问题等等。
其实在开发、实施阶段,你之前很难预料到所有的问题,可能就是等到要开始去做的时候,甚至说有时候你真正开始应用的时候,才发现以前的方案可能会走不通。
这些看似微小的问题,却会影响到整个架构的落地,但好在整个团队非常齐心,遇到问题大家一起来解决来克服。
企业安全团队管理
很多东西对我们而言未知的,我们之前也比较缺乏这样的一些经验,但是好的一点,就是说我们的小伙伴,团队其实还不错。
对于整个企业的安全建设,技术或许起到决定性作用。然而,何艺却认为,安全技术最终还是依赖于人来实现,而不同的人有不同的分工,不同阶段有各自的压力和挑战。比如在项目开发阶段,开发人员就十分重要,新的业务一旦遇到bug,就要快速地响应和修复。而在项目实施的阶段,安全运维的人要大规模推动上线,充当热线解决用户问题、之后的运营过程中,安全测试、分析人员要不断主动去找问题,发现问题,那么他们的重要性和挑战也就突显出来了。
其实就对于安全管理来说的话,你可能就要考虑到说去怎么样让大家在不同的阶段中,然后都能够体现出自己的价值来。
换句话说,安全管理需要让不同的人在不同的阶段和岗位中充分发挥自己的价值。对于人员本身而言,也有所收获和成长,平衡人员个体和公司的双向动态发展。安全管理不应该是过于管制或者过于强制的,应该是一种带领性的作用,给安全团队一个明确的方向,在这个过程中,不断调整、不断进步。
提到完美世界集团的安全部门管理,何艺分享了他的一个理念,将人的经验积累起来转换成系统或者是平台的能力,这可能是一些功能模块也有可能是一些系统规则。经验的不断累积和转换,这是有利于安全技术人员从重复的劳动中解放出来,去做其他更有价值的事,以此往复,系统平台的能力就会不断沉淀、不断加强,对于新兴的风险和威胁防御能力也会不断增长,而团队人员可以把精力放在发现新的问题,解决新的问题上,会有更多成长。完美世界在这个成长过程中也在不断调整,比如从过去的攻防体系到如今的攻击、防御、检测的分层体系。总而言之,结合这种一体平台化的理念,完美世界的零信任架构安全建设一直在路上。
所有的产出都是依赖团队的力量,每一个人都是幕后功臣。最后,何艺表示,现在的安全团队也还需要注入新鲜血液,希望能有更多的小伙伴加入进来,将这套体系完善下去,共同成长。
结语
零信任架构作为网络安全行业的“新宠”,尽管早期面临许多质疑,比如是否是“新瓶装旧酒”、能否发挥其安全防护效用等问题,但是面对这些质疑,完美世界架构的落地闭环提交了一份还不错的答卷。从一开始尝试、质疑、再尝试,到闭环、落地,零信任架构搭建过程是不易的,以业务为导向,结合独特的企业安全理念,面对未来复杂多变的网络威胁,企业安全防护才能真正有效。
*本文作者:Sandra1432,转载请注明来自FreeBuf.COM