3月27日,“京麒”社区联合安全+共同举办了一场线上安全沙龙活动,来自京东、腾讯、滴滴、科大讯飞、平安科技、等知名互联网公司以及OWASP中国的安全专家,以“零信任框架”为基础,针对具体问题,深入解析并探讨了疫情下的企业远程办公安全防护实践,为企业在新的办公应用场景中落地零信任架构提供了有力借鉴。
沙龙以直播形式,持续了两个半小时,总计吸引13000余人次观看,网友就话题积极参与互动。
议题一
此次疫情来袭时,各位所在的企业都暴露了哪些关键的安全风险
张坤(主持):此次疫情来袭时,各位所在的企业都暴露了哪些关键的安全风险?
邓二平:从安全角度来看,这次疫情对于很多企业,会产生几个比较典型的风险:
一、在疫情下边界的模糊会显得尤为明显,由于虚拟化的远程办公,传统的企业网络边界,面临着越来越大的风险和挑战,内网与企业防护壳这样的边界也正在模糊和消失。
二、边界在某些层面发生模糊趋势,比如应用上。对很多企业,特别是大型企业,一般都是采用基线保护、重点保护的思路,通过SDLC来实现整个完整应用生命周期的安全防护。这类方法会优先保护对公网、互联网以及对合作伙伴开放的系统,加强对它应用安全的防护。但是对于内部后端、后台,网络会更靠后。在边界模糊的情况下,内部的应用安全性,一下就提上了日程,它变的会更加靠外,让整个企业存在新的网络攻击的可能性,从而导致内部有横向渗透等问题,这对内部整体应用安全的管理、保护,提出了一个新的挑战。
三、企业内部数据的流动挑战会更大,权限的管控也需要更加精细化。对于内部数据安全,最大的挑战风险点就是终端安全的管理,这时候允许你的员工自由流,就要有更好的措施去应对它。
徐亮:在疫情发生时,大部分公司还是没有零信任的基础。甚至有的公司,在零信任上还会有安全性的降低。比如以前办公网络设备是有准入的,现今情况下准入标准就会有不同程度的降低。成千上万的私有设备会接入公司网络,甚至这些设备都未经公司的安全管控,这很大程度上,影响了办公员工的安全性。这个时期,利用疫情的网络钓鱼行为也有所增长,同时由于大部分运营人员和开发人员技术能力不到位,类似在公网管理后台等一系列奇葩操作也打破着以往的网络安全策略。
孟源:最主要的问题是内部应用在设计之初没有考虑到在零信任环境、无边界环境中的应用。比如说传真、物理电话、摄像头以及身份识别的硬件设备,纯粹做虚拟化的映射实现起来还有问题,对于特定的场景如何解决它的远程办公需求?临时来讲,我们是通过做一些应急响应和保障来解决,对于必须在内网运营的的场景,核心业务,也是通过有人职守配套执行,所以传统的应用在新的架构上会有局限性。
张坤(主持):请教孟老师,一般公司需求从五十个激增到五百个的时候,企业是怎么平滑切换又不会影响员工呢?
孟源:我们比较重视整个安全生态的建设,在设备扩容方面得到原厂商大力的支持。我们在每一次放假之前,首先划定一个期限,我们的设备要满足全员放假情况下的业务需求。我们以此为基线,假如发生更多的并发情况下,我们可以要求厂商提供设备增加扩容,而且我们本身带宽资源还比较充足。
黄宇鸿:这次疫情爆发赶在春节,很多工作还是挺有压力的,原来一些内部的应用,需要开放出去;一些线下的场景,需要切换到线上,在这个过程中,实际上很多工作都很急,也会引入安全风险,需要我们系统的安全进行兜底。
刘传:前面几位老师说的都很详细,一、大家都面临相同的问题,大量终端接入导致业务系统响应不及时,通过第三方的平台或者系统进行传输,导致数据泄露风险点较大;二、人员造成的风险增加;三、远程设备安全性,因为远程设备也会暴露一些高危的漏洞,而软件设备是否能撑得起这么大量的并发接入;同时,公司的核心研发,研发的安全、代码是如何保护的?这一块也是我们值得考虑的风险点,在什么样的框架下保证数据、代码只进不出,对我们是比较大的挑战。
议题二
在这次疫情之前,企业是否有基于零信任的建设,主要关注哪些点?而这次疫情期间,建设内容又有哪些不同和提升?效果如何?
张坤(主持):第二个问题实际上是第一个问题的补充。在这次疫情之前,企业是否有基于零信任的建设,主要关注哪些点?而这次疫情期间,建设内容又有哪些不同和提升?效果如何?
黄宇鸿:在滴滴信息安全,平时有不少技术积累,在疫情期间还是做了一些整合。我们有自研的LCA产品(叫EagleEye,也在商业化),这个产品在终端会做安全检查,具备DLP能力,LCA产品会跟VPN连接做联动,使得VPN接入有安全基线。在IAM方面,SSO我们也有卡点,在访问一些敏感应用时,也会跟前述能力有一些联动。零信任方案里有一个基本的设施应用网关,针对疫情期间的钓鱼,可以和零信任网关联动,提升MTTR。我们安全基本能力差不多都有,这次疫情也是比较好的契机,我们基于远程办公的场景做安全能力整合。在零信任这套框架里,从去年到今年,我们很多工作都是在做能力的整合和提升。
孟源:我们虽然也一直推动零信任架构的建设,但是相对来说我们还是处在比较初级的阶段。我们现在采取的方法还是身份认证和设备认证,配合应用安全网关的模式,当然重点还是身份认证和设备认证为核心,最显著的变化,就是安全运维和基础运维工作量增加,之前我们可以讲在安全上做保证,现在更着眼在可用性上。
徐亮:我们公司算是应用零信任方案的,所以在疫情期间,我们认为它和过去传统在办公时是有区别的。实际上大部分零信任都是通过代理转发的,以前远程办公量级比较少,现在这种情况下,安全策略就要做调整,要分清楚谁是谁。我们对零信任的访问能力做了一个调整,保证员工使用自己的设备,他能够不那么痛苦的接入到我们公司网络里。安全上我们对策略做了审计,也保证了在这种情况下,我们的安全模型也能很好运行,及时发现安全问题并止损。
邓二平:京东在这次疫情中并没有做什么特别有针对性的东西。因为在我们整体可信架构当中,已经包含进去了。这次疫情,它带来的影响和触动不仅仅是涉及到办公网安全这部分,也会涉及到自己内部应用安全架构和内部网络基础架构。
去年年中,我们已经在开始从多个方面筹划整个京东可信架构的建设,比如说基础设施可信计算、整个网络可信类似的架构等,这些都在原来计划当中推行。而这次疫情使大家意识到数字化真的非常近了,京东很多业务当中已经有所体现。我们内部业务方或者很多管理层,能够更形象去感知这种数字化下的安全、可信架构安全,对数字化业务的必要性和重要性,对我们整个安全工作其实是有触动加速的作用。在年初时,我们就已经在构建京东的紫军,他可以帮助我们的红军快速、高覆盖面的验证。所以对于这一次疫情来讲,像钓鱼以及其他方面,紫军还是有一些展示的场景,其他日常工作跟大家都差不多,只不过实现的方式会有一些差别而已。
议题三
安全防护的具体措施是什么?(从端,到VPN,再到系统,涉及VPN防护、木马病毒、系统安全加固、产品、权限管控、防护措施等等)
张坤(主持):安全防护的具体措施是什么?(从端,到VPN,再到系统,涉及VPN防护、木马病毒、系统安全加固、产品、权限管控、防护措施等等)
邓二平:一是常规意义上的零信任,它解决的对象是从用户的方式接入到我们的网络、系统来消费企业的服务,特别是从人的维度,从账号到设备。这方面,目前并没有直接采用Google的方式去做,我们会设计分布式,对于外部网络接入,会基于设备指纹再加安全基线和终端监控配合我们VPN改造,实现这一块部分的接入。二是这次挑战最大的应该是数据,它直接控制了表象权限这方面。对于权限这个事情,虽然BeyondCorp提出了权限统一的健全,但是权限最大的挑战不在于授权。我们试图去构建一个安全虚拟UI的能力,安全虚拟UI它最终目标是“数字化的公共空间”,企业所有办公需求,都可以在一个数字化的工作沙箱里去完成。
徐亮:二平老师讲了零信任这一块对账号体系和账户有很大的要求。谷歌给的内容并没体现出这一部分。我们这边零信任主要是其他两个兄弟团队实现的。我们有很多年关于账号体系安全的建设经验,不管过去保护QQ也好、微信也好,我们都会对账号体系有一定的安全建设,这个功能也是迭代式开发的。最早,腾讯就有通过公网访问内网运营平台的能力,但一上来就到零信任可能不适合所有企业,特别是那些一开始没有账户权限的保护机制的公司,对准入方面管理公司很难适合。腾讯这一块零信任更多还是账户体系的保护和访问权限的合法化。
孟源:我们认为基础是整个账号体系本身,我们通过自身实践觉得有以下几点是一定要做的。一是一定要在组织内部有自建或者真正有大量人力去运维的账号管理体系,这作为资产的一部分。我们讲的零信任,我们认为所谓的零信任就是处处要进行认证,处处根据认证的结果、可信的结果进行通讯,并不是一次认证完之后就可信。所以我们的体会来讲,想实现零信任,更多的是对于安全基础能力的考验,基本工做的越扎实,高大上的东西实现起来才会更方便一些。另外真正实施过程当中我特别认同二平老师讲的,我们认同的一个概念就是安全工作空间,这次疫情来看最难解决的问题就是数据不落地的问题。
黄宇鸿:零信任我觉得首先是在身份安全方面有较好提升,零信任的要求是去判断当前会话身份认证可信的程度,仅仅通过账号密码去认证,可信就会低一些,设备系统不是最新的版本,可信也会低一些;另外要对后台的应用进行分级,相关的要对应用的数据和权限进行分级,是否敏感数据;然后基于会话的可信程度和应用分级进行访问策略管理;所以零信任在身份安全和权限管理方面有很大的灵活性。我们在考虑零信任这套体系和原来的IAM如何融合,两个系统它的边界在哪里,目前想法是用零信任解决能否访问应用的问题,偏安全对抗;访问到应用以后,用户能访问到哪些数据,能做哪些操作,由原来的权限管理系统来管理,偏内部规范,由各个系统管理员来管理。
这里面其实也有很多挑战,例如应用的分级,它是动态的,和数据和操作权限相关;数据级别需要自动化去识别,在操作权限方面,比如说钱相关的操作权限是较敏感的,但数据上特征不明显,比较难自动化识别。我们目前有比较大的FT团队去维护权限,这里会有安全的人员以及业务系统的管理员一起去定义操作权限级别。
刘传:我们在疫情阶段面临比较大的挑战就是研发安全这一块,有些研发人员安全数据代码如何防护?如何达到看得见拿不走,拿走也打不开的方式?我们这一块也尝试建设零信任,同时也产生了一些效果。现在目前要结合零信任使用,这样在授权终端落地会有更好的保障,我们在安全检测这一块,一个态势感知我们可以实施检测,这一块会有外部的一些点,还有一些基础的以及攻击类型。
态势感知这一块会有危险情报,但是传统这一块是没有危险情报体系。我们零信任可以基于一些用户行为分析,结合一些危险情报的相关规则做一些判断和预警,这一块危险情报是一个亮点。
议题四
从这次疫情的安全防护来看,对企业安全建设有哪些安全建议和思考?
张坤(主持):
从这次疫情的安全防护来看,对企业安全建设有哪些安全建议和思考?
黄宇鸿:
还是说VPN扩容说起,在扩容时候不是很方便,另外安全策略这块,在大量员工VPN访问背景下会加很多安全策略,不是很灵活,过程中还出现VPN的安全策略有长度的限制,所以加着加着就超长了;所以第一个建议还是安全建设要有弹性(软件方式堆叠服务器是比较好的方式),策略要有灵活性。第二个在自动化和工具能力方面需要积累,疫情发展很快,所以会涉及到很多线下办公的场景要改到线上,有一些内部的应用要开放出来,这里会带来很多安全风险。这种情况下安全怎么能够比较快速兜底,这个能力实际上是需要平时积累的,所以平时自动化和工具化多积累,碰到特殊的情况能更从容一些吧。
孟源:
我们觉得在安全建设方面,我们看中两个方向的发展。一个是基础,我们在企业运营里,一个是组织的规模越大,其实最基本的技术工作越不是很到位。举个例子,比如说我们的账号管理,是不是针对每一个入职或者相关的人员账号授权,从制度上、流程上都有保证?另外像宇鸿老师说的对自动化工具的使用,包括像现在看上去大量信息的接入,包括我们的日志云、各个应用系统的风险埋点以及风险决策埋点,这种自动化的编排工具、配套平台,需要更多的引入进来。大规模靠人力堆叠上去,对一些单点比较复杂的场景用人工是没有问题的。但是更多这种普世性、筛查的,或者对业务模式进行学习的,可能要有一些自动化工具,不排除用机器学习等。
邓二平:
其实不同行业、不同规模的企业遇到了问题,可能打法都会有所不一样,所以说今天我大概去说一下像京东或者滴滴、腾讯包括平安这种类型的大型公司有两个工作需要重点关注。
第一点,在安全攻防、安全落地的过程当中,有大量业务技术人员、业务运营人员,他们都会一块跟我们协同,从基础架构到应用的编码开发、权限管理等。我们还面临着一个很大的挑战,安全怎么样能够赋能给自己的业务伙伴,这其实会直接影响到未来我们整个安全工作是不是能够落地,是不是能够建起一个强大的真正意义上的纵深防御的体系。
第二点,京东面临整个数字化转型的压力越来越大,不仅仅是体现在此次疫情所看到的IT远程办公的数字化需求,还包括电商、零售的数字化演进,这些都会带来一些新的挑战,如果我们今天还用现在的手段去应对它,我们会变的越来越被动,这也是为什么京东愿意花精力去重塑安全架构最主要的原因,今天我们面临挑战很多,无论是可信计算方面、可信网络方面,还是可信数据方面,我们都存在很多挑战。我觉得应该有勇气和责任去尝试去努力去改变它。
徐亮:
这次疫情过程中感觉比较明显的是对于我们安全策略的快速响应和运营人员提出了更多的要求,我也比较期望后续关于安全策略的调整,它可以更智能一些。可能会有像现在的意外让网络访问方式发生变化。
这里举个很简单的例子,零信任会导致很多东西通过同样的来源来访问,例如不受安全管控的主机接入公司网络。大家可以想象,用原来管控内的策略去运营私有电脑是很痛苦的,可能有些网络并不是有木马或者病毒,只是跟你原有的策略是冲突的,短时间内这些冲突的策略可能会非常得多,如何更智能更AI化调整运营策略?这是后面需要思考的问题。
刘传:
对于这次疫情的数据安全性,需要对数据进行分级分类,站在数据生命周期的每个阶段进行安全防护。
议题五
对未来远程服务的价值与风险点的看法?
张坤(主持):
对未来远程服务的价值与风险点的看法?
徐亮:
我个人的想法,远程办公这么强的需求,可能不会是一个常态,它可能是疫情下的爆款。通过这次疫情,我相信很多中小型企业或者大型企业也意识到了,之前流通的网络远程访问主要依赖的是VPN,VPN在扩容和使用门槛以及安全性上都有不同程度的挑战。后续我们要思考下远程办公,将来用什么样的方式,让自己的员工更好接入公司的网络。同时在安全策略上保障其安全性。前面各位老师提到过数据安全性,比如在会场是会有保安管理的,但是现在这场会议安全性就很难保障,我们这次是公开的。如果说是私有会议,我们很多地方都会怀疑,比如说网络传输是不是安全的,会不会有人电脑中了木马?这都是很难预期的问题。远程办公下带来新的问题,就是如何信任你的生产创造的东西是安全的,不会被人拿走,这是一个新的风险点。
孟源:
我们首先觉得无边界网络接入这个趋势是没有办法避免的,尤其是随着万物互联的开始,不管愿意也好不愿意也好,传统基于边界防护包括内部可信的体系,基本成为影响业务发展的短板,很多情况下我们会发现业务部门和安全部门的矛盾,更多也是基于这个方面来产生的。随着这些场景的普及,这种长流量的加密、端到端的加密也是不可避免的选择。后面我们汇集了未来可见的安全攻防的主战场,从网络网关的节点会转到端上来,也包括手机、电脑、云端数据化节点。我们认为处理好硬件可行计算接入准入之后,对于认证以及操作意愿真实性,这是未来的挑战趋势。另外各位老师也说过了,整个系统也会越来越复杂,处理的数据量会大量的增加。所以分析的工作、自动编排的工作需要机器学习支持。后来慢慢真的可能变成AI协助下的攻防对抗,安防不光是自己层面发展,更多是要和业务、人工智能等协同部门来产生并发的效益。
邓二平:
我比较认同孟源老师的观点。这次疫情可能只是一个导火索或者出发点,我认为我们数字化世界或者叫数字经济,离我们会越来越近,这个东西不会因为我们想或者不想,就会发生整个逆转,从我个人的判断来讲,这应该会成为大的趋势,并且很快会能够来到,因此会引发实体世界和虚拟世界整个安全的挑战。我个人最主要的观点。就是说数字化的世界就在我们眼前了,我们的安全是否做好准备?是否有迎接整个数字化体系和数字化架构下的能力?
黄宇鸿:
第一,我觉得从趋势看传统的纯边界防御防不住,零信任方案是在这个背景下,提出从原来在边界重兵把守,转变成以身份认证为中心的防护方式。远程服务的首要要点是身份识别,远程时不知道对方是谁,因为看不到,即使看到了也未必是真的;所以身份认证是基础,身份识别也是后续权限管理的基础,身份识别错了就都错了。
第二,远程服务肯定会涉及到各种数据的传输,这个过程当中你是不是采用可靠的协议,数据是否加密和校验,数据的机密性和完整性如何保证?这也是比较常见的风险。
第三,需要做各种安全能力的整合和联动,安全趋势越来越体系化了,零信任它不是一个简单产品,我觉得它是一套框架,或者相对复杂的方案。在这个框架里涉及到终端的安全,服务端安全,以及应用网关。它实际上是把我们原来很多分散的安全能力整合在一起了,底层数据打通,在各个环节上可以起到互相交验的作用。
最后,数据安全这一块,数据安全也是远程服务面临的棘手问题。数据在整个生命周期里如何去管理,在数据生成、存储、使用以及到最后的销毁,所有的过程中都会面临泄露的风险。数据安全从国家来说也比较重视,像隐私数据保护,如果保护不好还是需要承担挺大的责任。
刘传:
我就延续孟老师讲的人工智能这一块。科大讯飞是亚太地区知名的人工智能上市企业。现在基于人工智能这一块,真正以后远程办公是不是真实的人,也许是机器人,这一块安全性如何保障?如何鉴别是不是第三方或者外部的间谍?第二点,风险最大的是人员的管理,针对权限和审计的安全意识。
“京麒”社区是由京东安全联合业界和互联网公司发起的甲方企业安全社区,聚焦企业安全建设的热点话题、技术突破、运营管理、标准规范建设等,与此次沙龙的合作伙伴安全+一样,均是致力于促进企业的安全建设交流与合作、共建健康发展的互联网安全生态。希望此次“京麒”与安全+所举办的本次沙龙,能为零信任在新办公场景上的运用起到抛砖引玉的作用,使更多信安工作者得到借鉴和创新。