互联网企业的安全窘境:你永远比黑客慢一步
在2011年以前,何艺就职于某大型涉密机构,那时更为普遍的安全场景都是围绕合规要求展开的。加入完美世界跨进互联网安全领域之后,各种密集、复杂又高级的安全威胁每天都在上演。“游戏公司的资产是黑客眼里的‘肥肉’,我们会经历真实的APT事件,这些攻击从组织策略到分析工具、技术手段,已经形成完整严谨的产业链,并且长期潜伏难以发觉。”
这一度让何艺感到很无措,原因在于,通过跟安全厂商交流,大家花重金打造的防护体系偏重于旁路监控以及事后应急,考虑的是尽量不要侵入业务,但这种永远落在黑客身后的分析和响应机制,并不能保证内部环境安全无虞。“我们的分支机构遍布全球,业务系统和员工分散各地,需要监控分析的范围太大了,安全对抗的成本还特别高,关键是起不到真正的保护作用。”
在何艺看来,这是一个互联网公司们会面临的共通难题,当云计算、各种虚拟服务深入应用,随之带来的边界的模糊化和访问路径的多样化,直接导致防火墙、杀毒软件、入侵检测等传统手段无从下手。
采取主动防御之策 自研自建企业零信任架构
为了扭转被动挨打的局面,何艺开始思考和探寻主动防御的企业安全建设方向。
2014到2015年间,谷歌的BeyondCorp计划在自身安全实践上迈出了大胆的一步——拆掉挡在外面的防火墙,不再区分内外网。其基本思路是,边界保护变得越来越难,一旦脆弱的边界被突破,攻击者就很容易访问到企业内部应用,所以干脆一视同仁,用一致的手段去对待。
之所以会有这样的决心,是因为谷歌刚刚经历了名为“极光行动”的APT攻击。公司的一名雇员点击了即时消息中的一条恶意链接,最后引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。“谷歌的经历和诉求跟我们是一致的,我们当时就是想把安全架构跟公司的IT环境整合到一起,让大家能正常无感地安全办公。”
BeyondCorp组件和访问流程
何艺团队深入调研和评估BeyondCorp计划,其核心是从设备到用户再到应用进行持续动态的安全校验,以此建立信任链条,缩小暴露面和攻击面。对照谷歌强大的IT设施和技术底蕴,在自身企业落地这个庞大的架构似乎不切实际。
通过逐步拆解与摸索,再结合完美世界的具体情况和安全需求,何艺把整体框架分成了一个个具体、实际的关卡:如何建立设备与用户之间的认证——如何建立用户与应用之间的认证——如何判定、控制用户终端的网络准入——如何对上述三者进行动态的安全分析检测——实现以上功能后,能否形成设备+用户+应用的信任链。
再将这些环节映射到安全系统层面来看,内部并不全是新奇特的技术来支撑的,而是可以通过升级、整合已有的安全技术来实现的。于是,何艺于2015年在公司内部启动了这个项目,计划用3年时间完成整体建设。那个时候,国内还没有引入所谓的“零信任”概念,何艺团队直接用“BeyondCorp”作为项目代号。
他们设计的整体架构与BeyondCorp一致,建立基于设备、用户、应用这三者的信任链,以及动态的安全评估机制,在架构设计上按照分层思想设计,即在网络层、主机层、应用层上分别设有三套独立的系统,系统可以独立其他系统运行,也可以系统之间进行联动,通过联动来实现更强的安全防护能力。后端服务中有统一的用户目录服务、PKI体系和OTP认证等系统,来支持设备、人、应用的多因素鉴权,结合系统对架构体系闭环。
完美世界零信任架构
图/何艺个人公众号@小议安全
图/何艺个人公众号@小议安全
反观当初提出的几个问题:
主机安全管理系统——安装在windows、mac、移动终端上的agent和主机安全网关,实现人和设备的信任关系建立,设备安全状态的检查,漏洞的修复处理等功能;
应用安全管理系统——包含web安全网关、策略服务器,负责对web资源的保护与授权,对符合user->device->appliction信任链的请求放行;
网络安全管理系统——负责网络边界ACL管控和网络准入控制,联动主机安全和应用安全系统,实现经认证的设备的入网和不安全隔离控制;
安全运营平台SOC——将数据转到SOC中并进行集中和联动,之后再进行全局的安全分析工作响应,最后才能够将零信任架构落实到业务上去。
安全效率得到验证 企业实践零信任已有更多路径
实际上,虽然当初提出了3年计划,但在实践过程中遇到了不少挫折,整体建设直到2019年才实现闭环。其中最大的一次采坑在于,终端agent 1.0版本开发完成即将上线时,团队回顾该版本发现跟预想存在很大差距,不管是系统的效率、跟业务的对接程度以及未来的可扩展性,都只是在当下可用,但不足以支撑未来长期的发展。虽然已经投入了巨大成本,但团队最终还是选择进行重构。
在安全419看来,这不仅是安全团队对系统功能的高要求,企业决策层的支持和信任也是相当重要的保障,在零信任理念没有被广泛认知、国内也没有成功落地样本的情况下,坚持投入需要很大的决心勇气和抗压能力。
到目前为止,完美世界零信任架构覆盖了集团近万名员工、2万台终端、800+应用,实现了整体性的主动防御。在疫情期间,这套架构也高质量地支撑了公司大规模的远程办公,不仅包括员工们的即时通讯沟通、对内部应用的访问和操作等通用办公需求,还包括开发环境访问、远程系统管理这类特殊需求。每个员工的远程办公环境和设备都存在不可控的安全风险,短时间大量用户的集中访问也十分考验系统的处理和联动能力,这套体系在整体上经受住了考验,没有出现业务或安全上的事故。
何艺表示,从实际运行效果来看,零信任架构无疑能为企业带来很多好处,改造整个IT环境后不仅提升了安全效率,而且让用户使用也更加简单,是真正可落地、可使用的方案。但同时,零信任架构也会带来新的挑战,一体化、集中化的模式将风险也集中了,给安全运营和安全管理带来更大考验。
随着零信任理念逐渐普及,相关技术逐渐成熟,市场的热情也促使很多乙方厂商来提供相关服务。对于目前实施零信任改造的企业来说,何艺认为,完全自研自建已经不是一个最优解,但需要注意的是,很多新鲜出炉的商业方案并未经过有效的大规模实践,需要仔细权衡和考量。