劉詢

近日，TGO鯤鵬會(huì)北京年度家宴舉辦，來自多家企業(yè)CEO、CTO以及技術(shù)負(fù)責(zé)人等管理者共聚一堂，共同探討全球前沿技術(shù)的未來。騰訊安全咨詢中心負(fù)責(zé)人陳顥明發(fā)表了《如何重構(gòu)網(wǎng)絡(luò)安全信任體系》的主題演講，并從網(wǎng)絡(luò)信任體系遇到的挑戰(zhàn)、信任體系重構(gòu)的思路以及信任體系建立等關(guān)鍵維度，對(duì)當(dāng)前數(shù)字化浪潮下的企業(yè)所面臨的安全信任建設(shè)問題給出了自己的解讀和建議。

隨著當(dāng)前高新技術(shù)的快速落地，數(shù)字化已成為企業(yè)發(fā)展核心驅(qū)動(dòng)力的同時(shí)，也使基于邊界的傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)無法滿足企業(yè)數(shù)字化升級(jí)之需，企業(yè)迫切需要一個(gè)支持無邊界及云上資源安全訪問的解決方案。

針對(duì)如何建立IT身份與自然人的信任關(guān)系，陳顥明提出了重構(gòu)信任建設(shè)體系的新思路。在他看來，身份和信任體系一直都是企業(yè)安全建設(shè)的短板，信任體系重構(gòu)需重點(diǎn)圍繞識(shí)別保護(hù)對(duì)象、梳理依賴關(guān)系、人與資產(chǎn)和賬號(hào)綁定關(guān)系、統(tǒng)一賬號(hào)生命周期管理、強(qiáng)身份認(rèn)證、無邊界訪問控制、行為監(jiān)控和審計(jì)、動(dòng)態(tài)授權(quán)以及資產(chǎn)間訪問管控等9個(gè)重要層面展開，才能不斷強(qiáng)化多因素認(rèn)證、無邊界訪問控制、行為監(jiān)控、動(dòng)態(tài)授權(quán)、數(shù)字實(shí)體的訪問關(guān)系。

其中，防護(hù)對(duì)象識(shí)別是信任體系建設(shè)的前提，需要對(duì)所有數(shù)字實(shí)體資產(chǎn)（需要細(xì)化到數(shù)據(jù)、服務(wù)和接口）進(jìn)行識(shí)別，注冊(cè)并標(biāo)識(shí)唯一身份ID，連同自然人的網(wǎng)絡(luò)身份ID，建立人與資產(chǎn)和賬號(hào)的綁定關(guān)系，以此實(shí)現(xiàn)人、數(shù)字實(shí)體和賬號(hào)的“全要素”信任管理體系。

在整個(gè)信任體系的建設(shè)過程中，可以保證人和證形成強(qiáng)關(guān)聯(lián)，盡可能做到雙因素認(rèn)證，基于依賴關(guān)系，進(jìn)行訪問授權(quán)，保證數(shù)字實(shí)體資產(chǎn)的操作全記錄和全監(jiān)控，從而實(shí)現(xiàn)“全要素”安全管控。

最后，陳顥明還結(jié)合騰訊構(gòu)建的信任體系架構(gòu)和能力圖譜，提出包括資產(chǎn)全要素和依賴關(guān)系梳理、信任能力梳理、能力差距分析、信任場(chǎng)景梳理、規(guī)劃場(chǎng)景建設(shè)路徑以及完成信任體系構(gòu)建等關(guān)鍵維度的重構(gòu)路徑。企業(yè)只有了解信任建設(shè)的能力目標(biāo)，根據(jù)能力視圖、業(yè)務(wù)優(yōu)先級(jí)規(guī)劃建設(shè)場(chǎng)景路徑，才能分場(chǎng)景、分階段完成信任整體能力體系的建設(shè)。以下為陳顥明演講實(shí)錄：

很高興有這次機(jī)會(huì)溝通，我本人20年來一直做信息安全工作，我們做信息安全這么多年，一直在思考一個(gè)問題，信任問題是我們信息安全的一個(gè)核心的問題。在座的都是技術(shù)大佬，網(wǎng)絡(luò)上TCP/IP協(xié)議是不夠信任、不夠可靠的一個(gè)協(xié)議，所以導(dǎo)致有各種各樣的安全問題，包括剛才主持人說的DDoS攻擊就是用了TCP/IP三次握手這種不夠嚴(yán)謹(jǐn)?shù)膯栴}導(dǎo)致的，很多信息安全問題跟信任都有非常大的關(guān)系，因?yàn)樾湃误w系建立的不夠強(qiáng)壯，導(dǎo)致很多安全問題的出現(xiàn)。所以，我們選擇了信任這個(gè)話題，現(xiàn)在大家都在提零信任或者各種信任體系，尤其今年在疫情期間，大家可能都要在家庭辦公、遠(yuǎn)程辦公，導(dǎo)致需要從家里或者在外圍連接公司企業(yè)網(wǎng)。怎么保證信任問題，這個(gè)話題今年被提的頻次特別高，所以我們今天談?wù)勑湃危褪切畔踩男湃螁栴}。

先來盤點(diǎn)一下那些年我們構(gòu)建的信任體系。最早我們接觸的信任體系是PKI和CA體系，當(dāng)時(shí)各種加解密、公私鑰、認(rèn)證中心和授權(quán)中心是網(wǎng)絡(luò)安全最為重要的解決方案。我記得很多銀行開始上這些PKI體系，導(dǎo)致系統(tǒng)異常的復(fù)雜，因?yàn)槊抗P業(yè)務(wù)都需要注冊(cè)證書、發(fā)證、授權(quán)及加解密等一系列操作。

另外，邊界隔離。隨著網(wǎng)絡(luò)日趨復(fù)雜化，大家開始考慮網(wǎng)絡(luò)區(qū)域劃分和隔離，每個(gè)網(wǎng)絡(luò)區(qū)域是有信任關(guān)系的，低安全級(jí)別區(qū)域不能向高安全區(qū)域級(jí)別訪問，把安全域劃分好，網(wǎng)絡(luò)隔離措施做好，就是相對(duì)安全的架構(gòu)，這是另外一種信任的模式。

大家對(duì)信任的探索一直沒有停，后來大家開始考慮一個(gè)簡(jiǎn)單的方法，從人下手，管好人的認(rèn)證。就像現(xiàn)實(shí)中，人去到什么地方，只要有一個(gè)員工卡或者身份證，就能進(jìn)去，身份管理體系在各個(gè)企業(yè)開始逐步推行。也就是說企業(yè)要建一個(gè)基于用戶身份的全生命周期的管理，從入職到進(jìn)入到這個(gè)部門，再到產(chǎn)生線上的業(yè)務(wù)，包括內(nèi)部的辦公應(yīng)用，通過IAM體系統(tǒng)一管理。后來發(fā)現(xiàn)運(yùn)維人員和高權(quán)限的人越來越多，開始考慮把這些人通過CA、堡壘主機(jī)管理，像銀行的數(shù)據(jù)管理員掌握的數(shù)據(jù)太多，權(quán)限太大，用特權(quán)賬號(hào)管理體系來管理。

隨著IT高新技術(shù)最近兩年爆發(fā)式的變革，云計(jì)算、大數(shù)據(jù)、微服務(wù)架構(gòu)以及應(yīng)用的輕量化包括5G、移動(dòng)互聯(lián)網(wǎng)的產(chǎn)生，發(fā)現(xiàn)以前邊界的防護(hù)體系基本被打破，大家都在倡導(dǎo)互聯(lián)互通，原來還相對(duì)牢固的信任和隔離措施，突然顯得問題多多，甚至是不太適用，用戶和應(yīng)用的關(guān)系越來越復(fù)雜，權(quán)限管理失控，包括之前所倡導(dǎo)的PKI體系，其實(shí)在IT變革過程中遇到很多阻力和問題。

舉個(gè)實(shí)戰(zhàn)攻防演練實(shí)例，之前提到相關(guān)的安全體系該企業(yè)都已經(jīng)建立，但紅方的攻擊隊(duì)很輕易就可以突破我們邊界的防護(hù)措施，比如說企業(yè)VPN，只要你沒有做雙因素認(rèn)證，利用社工庫、各種帳號(hào)的破解辦法會(huì)很快入侵到內(nèi)網(wǎng)，進(jìn)入到內(nèi)網(wǎng)更可怕的是橫向移動(dòng)，因?yàn)槲覀冊(cè)谄髽I(yè)內(nèi)防守的話，南北向防的很嚴(yán)；但東西向，尤其很多企業(yè)現(xiàn)在上云了，云虛擬機(jī)之間的訪問控制基本上很容易被突破；再加上內(nèi)部還有一些賬號(hào)集權(quán)管理系統(tǒng)，如AD域、堡壘主機(jī)和網(wǎng)管服務(wù)器，一旦被突破，整個(gè)內(nèi)部的應(yīng)用和系統(tǒng)基本全部突破，這就是目前企業(yè)在信任體系的現(xiàn)狀。

為什么呢？最關(guān)鍵的核心是身份管理體系建立的還不夠強(qiáng)壯，很多企業(yè)更多的是圍繞基礎(chǔ)架構(gòu)安全、邊界防護(hù)、安全域劃分隔離措施和縱深防御。但在紅藍(lán)對(duì)抗或者高級(jí)別的攻擊對(duì)抗場(chǎng)景下很容易被突破，這里提到一個(gè)問題就是企業(yè)如何把信任體系做的足夠健壯，黑客攻擊到內(nèi)部系統(tǒng)大多是利用了企業(yè)現(xiàn)有比較薄弱的身份和賬號(hào)管理體系，欺騙了認(rèn)證體系，進(jìn)到內(nèi)網(wǎng)進(jìn)而發(fā)動(dòng)攻擊。

直到今年，大家開始提零信任、SDP和微隔離，這是最近聽到最多的3個(gè)詞，零信任體系提出核心還是希望從對(duì)任何用戶、任何設(shè)備是不信任的，怎么建立信任關(guān)系，持續(xù)認(rèn)證持續(xù)鑒權(quán)，這是谷歌最開始提出的思路，因?yàn)樗霸馐芰藧阂夤羰录械木W(wǎng)絡(luò)安全措施全部失效，之后他們一狠心，把以前傳統(tǒng)的安全建設(shè)模式和體系全部改掉，按照全新的信任體系架構(gòu)再重新搭建。

零信任近幾年雖然很火但大家都不太懂，到底他包含了哪些具體內(nèi)容，怎么搭建？有哪些要素構(gòu)成？信任體系核心是什么？為了究其根源，一些對(duì)于“信任”的定義，給了我很多啟發(fā)，也給大家分享一下。信任在社會(huì)學(xué)中的解釋是信任，是相信對(duì)方是誠(chéng)實(shí)、可信賴、正直的。另外，信任是涉及交易或交換關(guān)系的基礎(chǔ)。信任被認(rèn)為是一種依賴關(guān)系。

信任是需要建立關(guān)系的，如果沒有具體的關(guān)系很難信任，這也是我們?yōu)槭裁磿?huì)收到詐騙電話、詐騙短信，年輕人可能會(huì)置之不理，但老年人不一定。其實(shí)核心就是沒有建立信任關(guān)系的聯(lián)系，都可以斷掉。通常在信息安全管理過程中，似乎沒有真正考慮過這點(diǎn)，信任是一種依賴關(guān)系，是有關(guān)聯(lián)、有業(yè)務(wù)關(guān)系或者有依存關(guān)系，這是信任的前提。還有比較重要的一些概念，交換過程中信任者要值得信任的證據(jù)，一定要證明你是這個(gè)自然人或者你是可信的設(shè)備，這一點(diǎn)也是關(guān)鍵。

而英文對(duì)Trust的定義是，相信這個(gè)人是好的、誠(chéng)實(shí)的，還有一個(gè)關(guān)鍵點(diǎn)，這個(gè)事兒是安全靠譜的。也就是說，信任，不光要考慮對(duì)人的信任，還得考慮對(duì)的資產(chǎn)和行為的信任。我們所有的實(shí)體，現(xiàn)在有一個(gè)詞叫數(shù)字實(shí)體，其實(shí)很關(guān)鍵，也就是說因?yàn)橹袄斫獾腎T資產(chǎn)很簡(jiǎn)單，服務(wù)器、終端包括應(yīng)用，可能就到這個(gè)粒度了。實(shí)際上，隨著云計(jì)算的發(fā)展，包括微服務(wù)的發(fā)展，會(huì)發(fā)現(xiàn)每一個(gè)應(yīng)用、服務(wù)和應(yīng)用的接口，都屬于數(shù)字實(shí)體，我們做身份管理需要把這些所有的數(shù)字實(shí)體都考慮進(jìn)去。

所有的數(shù)字實(shí)體，騰訊提了一個(gè)概念叫做“全要素”。我們要重構(gòu)信任體系，需要考慮全要素身份體系的定義，其中包括身份體系的關(guān)聯(lián)關(guān)系，也就是全要素之間的關(guān)聯(lián)關(guān)系，以及全要素的安全控制體系。

我們加一個(gè)IT層面要考慮的問題，就是把IT或者說數(shù)字實(shí)體的資源和自然人關(guān)聯(lián)起來，而且是緊密關(guān)聯(lián)，以上這些都應(yīng)該是我們考慮信任體系重構(gòu)的關(guān)鍵要素。

我們把解讀字面意思得到的一些啟發(fā)再放到整個(gè)網(wǎng)絡(luò)環(huán)境中，第一個(gè)要素自然人是我們安全管控的核心，人要依靠終端、用戶身份ID、通過帳號(hào)和獲取認(rèn)證拿到授權(quán)，去操作相應(yīng)的資產(chǎn)，記錄下日志和監(jiān)控。從整個(gè)人到資產(chǎn)之間的訪問鏈條來看，黑客會(huì)從哪邊入手呢？就是帳號(hào)，他從帳號(hào)入手，把前面的鏈條全部切斷，直接用你的帳號(hào)獲取認(rèn)證，進(jìn)行操作，你溯源的話只是溯源到帳號(hào)，實(shí)際上很難抓到其他相關(guān)的內(nèi)容，就會(huì)發(fā)現(xiàn)如果在整個(gè)帳號(hào)體系和前端沒有打通的環(huán)境下，溯源工作基本就失敗了，這個(gè)就是目前很多站點(diǎn)被黑客攻擊，卻很難溯源、抓不到源頭，因?yàn)楹妥匀蝗?、相關(guān)IT身份沒有真正強(qiáng)綁定，比如有些企業(yè)多人共用帳號(hào)，一個(gè)人多個(gè)ID，帳號(hào)和自然人沒有真正實(shí)體綁定，帳號(hào)體系沒有統(tǒng)一的管理體系，都是造成這些問題的原因。

認(rèn)證，是整個(gè)這個(gè)過程中的重中之重，人和證一定要強(qiáng)關(guān)聯(lián)?，F(xiàn)在有很多人臉核身、人證核身技術(shù)，我們推薦企業(yè)客戶一定要做賬號(hào)的雙因素認(rèn)證，核心就是人和帳號(hào)體系要強(qiáng)綁定，或者死綁定，這個(gè)才能確保安全性。

另外一個(gè)比較嚴(yán)重的問題是，攻擊者只要拿到內(nèi)網(wǎng)的權(quán)限，橫向移動(dòng)幾乎是暢通無阻的。這里的問題通常是，授權(quán)粒度不夠，沒有達(dá)到資源級(jí)授權(quán)，缺乏流量和行為審計(jì)，缺乏違規(guī)操作識(shí)別和管控，資產(chǎn)間訪問控制粒度不夠。數(shù)字實(shí)體全要素資產(chǎn)的操作需要有全記錄和全監(jiān)控，騰訊在這點(diǎn)做的比較好，所有應(yīng)用的操作日志以及網(wǎng)絡(luò)流量全部記錄下來，為后面溯源，包括為安全事件分析做好充足的準(zhǔn)備。

總體來講，建立一個(gè)完整的信任體系，身份帳號(hào)的管理，包括自然人和帳號(hào)、人臉核身和認(rèn)證，包括后續(xù)對(duì)于實(shí)體的操作，包括權(quán)限控制需要做完整和嚴(yán)格的管控體系。

把前面所思考的點(diǎn)做一個(gè)匯總，做好一個(gè)信任體系，我總結(jié)了9點(diǎn)：

第一是識(shí)別保護(hù)對(duì)象。保護(hù)對(duì)象就是剛才提到的所有數(shù)字實(shí)體全要素的資產(chǎn)要識(shí)別清楚，在體系內(nèi)有多少是數(shù)字資產(chǎn)，是關(guān)鍵的數(shù)字實(shí)體，這塊要真正識(shí)別清楚。以前只管人或者只管服務(wù)器設(shè)備、終端和數(shù)據(jù)庫。但在云時(shí)代下，這個(gè)管理顆粒度還需要細(xì)化到數(shù)據(jù)、服務(wù)甚至是應(yīng)用接口。

第二是梳理依賴關(guān)系。這是之前提到的關(guān)鍵點(diǎn)，當(dāng)這2個(gè)連接在業(yè)務(wù)上，但沒有充分依賴的關(guān)系，就不要讓它連起來。但在實(shí)際場(chǎng)景下，連接和訪問關(guān)系異常復(fù)雜，安全管理者根本不知道誰和誰有關(guān)系，他們自由連接，真正是“互聯(lián)互通”，但作為信息安全管理者或者信息管理者，如果二者之間沒有依賴關(guān)系，就可以考慮不要連接。

第三是人、資產(chǎn)和帳號(hào)的強(qiáng)綁定。某些互聯(lián)網(wǎng)企業(yè)在這方面做得非常好，作為自然人的員工進(jìn)入到企業(yè)有企業(yè)微信，企業(yè)微信有Open ID這個(gè)唯一標(biāo)識(shí)的ID，再和其他應(yīng)用帳號(hào)再關(guān)聯(lián)，和企業(yè)HR的信息直接關(guān)聯(lián)，它會(huì)通過Open ID把所有帳號(hào)包括個(gè)人信息全部關(guān)聯(lián)起來，最后不管是做了任何事情，都可以通過Open ID去檢索和查詢，永遠(yuǎn)能溯到源頭。

第四是帳號(hào)的全生命周期管理。因?yàn)楹芏嗥髽I(yè)現(xiàn)在帳號(hào)體系比較分散，有可能一個(gè)企業(yè)是多個(gè)IAM系統(tǒng)，還沒有打通后臺(tái)數(shù)據(jù)，各自為政，這就存在一個(gè)人可能有多個(gè)帳號(hào)，而且一個(gè)人在多個(gè)不同的IAM平臺(tái)中管理會(huì)有很大的問題。

這里我們強(qiáng)調(diào)是新一代的IAM，因?yàn)镮AM是比較老的體系，但它要適應(yīng)新的IT基礎(chǔ)設(shè)施，目前也發(fā)現(xiàn)很多企業(yè)在升級(jí)IAM，主要關(guān)鍵點(diǎn)有哪些點(diǎn)？一個(gè)是它要支撐所有數(shù)字實(shí)體，以前身份管理體系不會(huì)考慮微服務(wù)或者API接口，這些可能不在他的考慮范圍之內(nèi)。現(xiàn)在要支持這些，還有多方的認(rèn)證協(xié)議，認(rèn)證協(xié)議已經(jīng)變得五花八門，而且各種生物識(shí)別技術(shù)、協(xié)議支持要跟得上。還有常提到的原生安全，以及還有現(xiàn)在把身份管理變成一個(gè)云服務(wù)，需要兼容這些特征。以前我們身份管理更多依賴于AD、LDAP做身份數(shù)據(jù)的管理，現(xiàn)在大家都在用開源數(shù)據(jù)庫做整個(gè)身份數(shù)據(jù)統(tǒng)一的管理。這都是現(xiàn)代IAM典型的特征，大家可以思考下在現(xiàn)有IAM體系中怎樣做一些升級(jí)和提升。

第五是強(qiáng)身份的認(rèn)證。這就是常說的雙因素或多因素認(rèn)證，其核心目的是把自然人和帳號(hào)建立強(qiáng)綁定關(guān)系。

第六是無邊界的訪問控制?，F(xiàn)在的網(wǎng)絡(luò)環(huán)境已經(jīng)打破了原有互聯(lián)網(wǎng)的邊界、區(qū)域防護(hù)，原來特別嚴(yán)格的安全域劃分，都是對(duì)于自由訪問的，所以無邊界的訪問控制也是現(xiàn)在企業(yè)必須考慮的一個(gè)新方向。包括應(yīng)用隱藏、單包授權(quán)和動(dòng)態(tài)端口以及雙向加密通信，通過無邊界訪問控制，實(shí)現(xiàn)外網(wǎng)應(yīng)用隱藏，當(dāng)攻擊者找不到應(yīng)用就很難對(duì)它造成攻擊，防守效果明顯。

第七是嚴(yán)格的行為監(jiān)控和審計(jì)。大家現(xiàn)在已經(jīng)開始做行為建模，群體和單體的建模，之間做一些比較，做類似于UEBA的技術(shù)研究，尤其是建立不同權(quán)限用戶的正常行為模型，去分析違規(guī)操作。用戶行為實(shí)考慮的是正常人，但帳號(hào)體系包括信任體系建立以后，用戶可能在內(nèi)部做違規(guī)操作，這些全靠監(jiān)控和審計(jì)系統(tǒng)進(jìn)行用戶行為分析。

第八是持續(xù)的動(dòng)態(tài)授權(quán)。根據(jù)用戶權(quán)限的變化要做一些授權(quán)的改變，這就要借助人工智能做一些權(quán)限動(dòng)態(tài)的分配?；谟脩粜袨榈谋O(jiān)控和審計(jì)分析，一旦發(fā)現(xiàn)有違規(guī)和異常操作，實(shí)時(shí)進(jìn)行動(dòng)態(tài)調(diào)整訪問權(quán)限，及時(shí)阻斷操作。

第九是資產(chǎn)之間的訪問控制。數(shù)字實(shí)體之間訪問怎么控制，一個(gè)是API網(wǎng)關(guān)，調(diào)用通過API網(wǎng)關(guān)對(duì)應(yīng)用間訪問和調(diào)用進(jìn)行統(tǒng)一認(rèn)證、授權(quán)和訪問控制；還有微隔離技術(shù)，也是通過在容器上，包括在虛擬主機(jī)上做一些微隔離控制，實(shí)現(xiàn)東西向細(xì)粒度控制，這是目前各企業(yè)網(wǎng)絡(luò)安全防護(hù)的短板。

最后，結(jié)合以上這些點(diǎn)完整構(gòu)建了騰訊信任體系的架構(gòu)和能力圖譜。實(shí)際上，我們?cè)谝恍﹫?chǎng)合也做了測(cè)試，包括在線上做了一個(gè)系統(tǒng)的基于能力圖譜的評(píng)價(jià)，可以對(duì)基于能力圖譜對(duì)現(xiàn)有信任體系做一個(gè)整體的自評(píng)估，看看自己在哪些領(lǐng)域、哪些部分現(xiàn)在做到什么程度，然后考慮未來整個(gè)網(wǎng)絡(luò)信任體系如何去重構(gòu)或者如何提升。