阿里巴巴副总裁肖力:云原生安全下看企业新边界——身份管理
作者 | kirazhou
导读:在 10000 多公里之外的旧金山,网络安全盛会 RSAC2020 已经落下了帷幕。而身处杭州的肖力,正在谈起今年大会的主题--Human Element。2020 年,从"人"出发,这颗石子将在国内的安全市场池子里激起怎样的涟漪?Human Element 的背后隐藏着怎样的安全洞见?
在 Gartner 的《2020 年规划指南:身份和访问管理》报告中,我们看到了 IT 必须推进 IAM(身份和访问管理)计划,而身份治理和管理、混合/多云环境作为可预见的趋势,更是已经在风口蓄势待发。
人、身份和云端,这三者之间的角力、千丝万缕和无限可能,正是此次采访的最大收获。
Human Element:了解人的脆弱性
我们常常谈起,"安全的本质在于人与人之间的对抗。"
从攻防对抗的视角来看,人的因素使得攻防对抗成为一个动态的持久过程。攻击者的手段、工具和策略都在发生变化,而防御者的安全防护能力也在提升,两者之间持续对抗,安全水位线一直动态变化。
在整个攻防对抗过程中,人,既是防御者,也可能成为攻击者,而对抗不仅会发生在企业与外部的对峙中,很多时候也发生在企业内部。
人,是绝对的安全核心,这是今年 RSAC 大会传递给我们的讯息。而在关注人的安全技能与能力建设之余,也要清晰地认知:人的脆弱性使人本身成为安全中薄弱的一环。因此,企业在应对来自外部攻击的同时,如何防范来自企业内部人员的威胁同样关键。
2017 年卡巴斯基的调查报告中提出,46% 的 IT 安全事故是由企业员工造成的。现在,这个比例已经上升至 70%~80%,譬如内部开发者由于未遵守安全规范或自身安全能力不足,而导致所研发的应用在设计之初就留下了漏洞,亦或是在职/离职员工由于操作不规范或直接的恶意行为导致企业安全问题。
"整个安全体系绝对不仅是和自动化蠕虫做对抗,这只是冰山一角"。
面对"人"带来的安全影响,肖力认为问题根源在于企业的安全基线做得不到位。目前,很多企业更注重于威胁检测与响应,这一部分确实有用,但还不够。"我们思考的不是出了问题后如何去解决,而是如何不出问题。"因此,事前的安全基线设置比起事后的检测与响应更为关键。企业安全基线包括了:
- 所有应用系统的统一身份认证与授权
- 安全运营:设置红线
- 建立应用开发安全流程:确定开发人员培训、内部安全考试与认证等规范
如果说企业的安全基线是走向安全的基础 60 分,那么,只有先做好安全基线再去做事后检测响应能力的提升,才能让企业安全体系更为稳固。其中,"身份"作为在互联网中的直观映像,身份管理对于有效降低内部人员的行为带来的安全威胁可以说有着重要作用。
身份:零信任理念下的新旧边界交替
网络身份的重要性无需再赘述,而身份如何从安全因素之一转变为企业安全防护的"主角",2010 年是一个隐形的节点。
肖力指出,在过去的 IT 环境中,尤其是 2000~2010 年期间,边界隔离是企业安全防护的主要手段。但 2010 年后, IT 整体环境发生了巨大的变化:
- IT 架构根源性的变化:随着移动互联、lOT 设备的普及,整个内网、办公网络都受到了巨大的冲击,大量的设备接入,导致原来的边界难以守住;
- 企业数据库从 IDC 迁移到云上:随着云计算的浪潮,越来越多的企业选择全站上云或 50% 业务上云,导致防护环境发生变化。
- 企业 SaaS 服务发展:企业网盘、钉钉等企业 SaaS 服务的发力,意味着越来越多的企业工作流、数据流和身份都到了外部,而非固定在原本的隔离环境中。
随着环境因素的变化,传统的边界将渐渐消亡,仅依靠传统的网络隔离行之无效,这时候,基于零信任理念的统一身份管理为企业重新筑造了"安全边界"。
基于零信任理念,企业可以构建统一的身份认证与授权系统,将所有账号、认证、权限统一管理。譬如,离职员工被视为企业的重要威胁之一。在整个企业安全体系建设的实践中,必须要做到账户对应到应用系统的权限统一,实现每天离职员工的所有身份、账号权限可以在企业内部系统中一键删除。
包括近一段时间安全圈内热议的微盟员工删库事件,从身份认证与管理的技术角度来看,也是完全可以避免的。肖力认为:
- 一方面,企业在实施 IAM(身份和访问管理)时,秉持最小权限原则,通过帐号的权限分级,给到员工应有的权限即可,而类似"删库"的特权账号不应该给到任何一个员工;
- 其次,哪怕员工下发了批量数据删除的指令,企业也可以通过内部异常行为检测,识别出该类指令基本不会发生在正常的生产环境中,从而不执行该指令。
除了技术层面的实现,身份认证与管理的本质依旧是安全基线。同时肖力指出,安全团队在企业中的位置与影响力则决定了基线能否被确定、切实地落实到业务中去。判断安全团队在企业、业务中的影响力大小,最直观的就是组织架构:安全团队是否为独立部门,直接汇报给 CTO 甚至 CEO。
未来,IAM 应该还会向零信任架构推进,并基于零信任理念衍生出多应用场景下的身份治理方案,打通"身份认证"与云安全产品,构建云上零信任体系。
基于云原生安全的 IAM
身份管理提供商 SailPoint 的首席执行官兼联合创始人 Mark McClain 曾经说过:"治理的世界是有关谁有权限访问什么东西,谁应该访问什么东西,以及如何正确使用这些权限的世界。但现实是,大多数消费者距离前两条都差得很远,更不用说第三条了。"幸运的是,现在的 IAM 工具/服务越来越易用,并且加快延伸至云端环境。
肖力指出,云原生的安全红利是可见的。"常态化"的云几乎成为了企业操作系统,涉及 IaaS 层、PaaS 层和 SaaS 层。各个云服务商在安全上注入巨额投资,以规模化的人力物力打磨云安全产品和技术,让企业开始尝到云原生技术带来的安全红利。
普通企业不必重复造轮子,搭载上阿里云等云服务厂商的航母,就能在云计算浪潮里前行,享受高等的安全水位。
其次,云化带来的 6 大云原生安全能力:全方位网络安全隔离管控、全网实时情报驱动自动化响应、基于云的统一身份管理认证、默认底层硬件安全与可信环境、DevSecOps 实现上线即安全,让企业脱离原本复杂的安全管理模式,从"碎片化"到"统一模式"。
随着企业上云趋势日益明显。IT 基础设施云化、核心技术互联网化,最终让企业架构发生变革。而"云化"的过程中,越来越多的企业开始思考混合和多云环境下的 IAM(身份和访问管理)问题。
混合云:场内工作+公有云环境服务的使用;
多云:多个公有云服务商服务的使用。
关于混合云,基于企业上云后的统一管理模式,可以在复杂的混合云环境下直接实现统一的身份接入,将企业云上与云下身份打通,并且基于对云端上的用户环境做评估,动态地授于不同人以不同权限,从而让任何人在任何时间、地点,都可以正确地访问内部资源。而多云的环境则可以利用活动目录的工作负载实现身份管理。
云上的环境,赋予了统一身份管理更多的可行性,而进一步探索混合和多云 IAM 实现方案将成为企业战略的新方向。
最后,由身份管理衍生的数据安全问题,同样值得关注。2019 年,数据安全绝对是最热的话题之一,不管是高发的动辄上亿级别的数据泄露,或是陆续颁布的数据隐私法规,都在反复强调数据安全的重要性。
在采访的尾声,肖力同样谈到了今年 RSAC 的创新沙盒冠军 Securiti.ai。有意思的是,过去 3 年创新沙盒冠军中有 2 年都是做数据安全的,似乎给网络安全企业的下一步发展提出了一个非常明确的方向。
首先,数据安全本身的命题就很大,数据的流动性使得数据安全问题横跨各个安全技术领域,并出现在企业的各个环节中;其次,市场需求大。企业对于如何保障内部数据安全、保障客户的数据隐私安全有着迫切的需求。如此看来,"说不定明年的冠军也是做数据安全的呢。"
因此,在未来的 5~10 年,如果安全公司可以通过核心的产品和技术突破帮助用户解决数据安全问题,比如依靠技术摸清底盘,了解用户隐私数据在哪里有哪些,必然可以在市场分得很大一块蛋糕。
肖力最后指出,需求正在倒逼技术的发展。数据安全领域亟需通过技术突破迎来爆发。
" 阿里巴巴云原生关注微服务、Serverless、容器、Service Mesh 等技术领域、聚焦云原生流行技术趋势、云原生大规模的落地实践,做最懂云原生开发者的公众号。"