遠程辦公安全威脅升級,疫情下企業如何自保?
阿里妹導讀:身份認證安全的 AI 化,是未來的一個大的趨勢。相信很多安全從業人員對最近兩年IDaaS在業界的興起都耳熟能詳。它是Gartner中區別傳統IAM產品的一個定義,全稱是IDentity as a Service,主要是指云化的身份認證服務。今天,我們就來聊聊身份認證安全如何為遠程辦公抗疫保駕護航。
行業趨勢
本次2019-nCoV病毒的爆發,加速了辦公上云和移動的演變過程。無數企業今年的開工都轉到了線上,幾萬人的直播,這種臨時性的波峰需求能良好的適配非云莫屬。這場突如其來的變故,也催熟了移動辦公的需求。員工都在家里,通過自己的移動設備來參與工作。
傳統企業遠程辦公
即使沒有這些,IDaaS專注的密碼技術的安全挑戰在過去也是與日俱增的。如果說通過對稱算法的賬戶密碼方式容易被撞庫,今天,即使用非對稱技術生成的短期令牌,也仍然受到了挑戰。通過發一個釣魚的宏文件,或是一張有惡意腳本的圖片,都可以竊取你的會話憑證的,無論它有多少個字節長。企業能做的,就是啟用更復雜的安全策略,但是在用戶體驗上,又帶來了更多的詬病。
如上所述,企業很快發現更細粒度的去驗證用戶看起來并不可行。未來,通過引入AI技術,對所有對內和對外的業務系統的訪問進行全面分析計算,動態檢查和更新現有的安全策略,然后利用適當的自動安全控制,通過后臺來決定是否允許對核心系統的訪問,會大行其道。所有這些努力都是既安全又不會讓用戶煩惱。
AI技術發展到今天,除了BostonDynamic那個機器人的驚艷后空翻,在這次抗疫過程中也是大顯身手。盡管機場車站人來人往,但是測溫設備已經能快速甄別出發熱人員。
人工vs自動
ESG年度研究報告指出,2020年安全性投資的前4個重點領域排在首位的是:使用AI/ML進行威脅檢測的人工智能網絡安全技術(32%)。原因很簡單,未來的數據是海量的,靠人工去篩選,效率是個大問題。如果不能及時捕獲異常,就不能及時響應。
國際趨勢
零信任自谷歌推出“BeyondCorp”后,圍繞身份認證交付的零信任安全架構,開始得到業界的普遍認可。
谷歌的BeyondCorp
這個模型的最大益處,就是把過去IT的一些最佳實踐上升到一個理論的高度,特別強調了人和設備的相互認證。有了理論指導實踐,很多問題都迎刃而解。比如,正向代理和反向代理IAP(Identity Aware Proxy, 上圖中的Access Proxy位置所示)在過去20年中被廣泛的采用,今天的演進要求是它要和身份認證授權互動起來。同時因為有了這層代理,可以記錄所有的請求/返回內容,不僅僅是相對簡單的系統日志。它們可以作為后期大腦控制中心ACE(Access Control Engine)的感知輸入,作為機器學習的數據基礎。
如果還不能理解,那么聯系到最近爆發的疫情,看看各個小區路段是如何做到管控身份的就知道了。這時候,能被放行的只有小區的業主和相關人員,不僅僅是體溫正常的,你還要有本區的戶口本,或身份證等等。同時,所有的進出都要登記上報,作為調研和管控的依據。
除了谷歌,國際的其它大廠也在快速跟上。2019年,傳統的網絡和企業安全廠商思科高達20多億美金收購了認證初創公司Duo Security。通過并購將身份認證集成到思科的安全互聯網網關SAG,云訪問安全代理CASB,企業移動管理MDM以及其它基于混合云的產品陣容中。
國內趨勢
2019年,國內的安全廠商也從自己擅長的技術點紛紛切入零信任安全。一撥是傳統的VPN廠商提供軟件定義邊界SDP產品,減少互聯網暴露面作為賣點的。值得一提的是,離開了身份為核心的零信任安全是不完整的。身份和邊界必須充分結合起來才是完整的零信任,不能盲人摸象。
本次抗疫暴露了不少問題,一方面,形勢需要,另一方面,倉促上陣。很多企業,還停留在傳統的VPN遠程辦公上。它能滿足領導和運維人員已經很好了,上萬人開視頻會議肯定掛。某國內頂級銀行,對基礎設施投資數億每年,但是面對目前海量的在家辦公需求,還是卡頓,不得不尋求新的解決方案。
可以預見的是,疫情對行業的影響也將是深遠的。遠程辦公,在線教育都會成為熱點。IT圈子對圍繞身份認證授權的零信任網絡也會有更高的熱情。但是,羅馬不是一天建成的。谷歌自2013年開始,前后花了6年推出了BeyondCorp,企業是不可能在一夜之間將原有的體系推倒,從零搭建零信任體系的。更務實的做法是盡早開始嘗試,哪怕一開始是簡單的模型,社會事件和安全事件都是很好的推手,加速產業成熟。
零信任技術
毫無疑問,零信任是復雜的,有10多個不同的組件協同,包括控制中心ACE,接入網關IAP,認證中心IDaaS等。其中作為認證中心的IDaaS覆蓋了單點登錄SSO,接入協議Radius,和用戶管理UD,是整個方案的核心。
控制中心
整個零信任中,控制中心是大腦,是骨干。
首先,大腦是有學習能力的。傳統的防火墻安全策略,都是采用預定義規則的方法,主要是管理員按經驗來設置,使用繁瑣,效果也較差。例如,周一早上9:00是一個開會簽到的高峰,一個一萬人的企業,到底峰值是一萬次/秒,還是1千次/秒?即使通過觀察設定好了該時間點的上限,11:00又是一個什么樣的數字?通過日志的機器學習,可以很容易的得出這個規律。
其次,大腦是有判斷能力的。因為引入了IAP,能做到真正的全棧日志審計。用戶的每次請求都會被記錄,如果和交換機,路由器,防火墻,準入等日志結合起來,可以做到持續自適應風險與信任評估CARTA,更好的對用戶的行為進行畫像溯源。
認證中心
零信任有很多可以做的控制點,認證中心是最佳的切入點。
同社會一樣,網絡是由復雜的個體組成,而其中的屬性就非常重要。通常,我們對個體的標識可以是一個身份證。通過社會的聯防聯控,更多屬性都是可以附加在一個身份上的。畢竟,檢查體溫等這種淺層次的屬性是容易獲取的,但是肺CT,核酸等就不容易啦。安全中對身份的鑒別一直是一個重點。
接入中心
接入中心是控制流量通斷的閘門。
控制中心作為大腦雖然很厲害,它的判斷也是來自于各個器官。如果沒有望聞問切等各種反饋,那么大腦也是聾子和瞎子。有了接入中心和控制中心聯動,體系才能更加的智能。比如一個口罩,它可以阻攔95%的大小顆粒就足夠好了,再高要求是99%就很勉強,做到100%是非常昂貴的。接入中心一個剛需的能力是更好的解析TCP協議,比如這是一個WEB流量,視頻流量,還是一個病毒的廣播請求,快速識別有助于系統作出快速響應。
綜上所述,控制中心,認證中心,接入中心,是要做好零信任安全架構的三個核心組件。
IDaaS解決方案
以IDaaS(統一身份認證服務)為核心,阿里云云盾提供的零信任安全解決方案基本完整,類似谷歌的BeyondCorp簡化版本。通過Agent終端管控,SPG(Service Provide Gateway)應用接入,和IDaaS身份認證齊頭并進,可以提供靈活的組合方案從而滿足企業的要求。
公有云部署
如上圖,公有方式IDaaS和SPG部署在阿里云上,通過VPN隧道,可以接入到企業的內網。這樣,在防火墻上只需要配置SPG一個入口IP的ACL規則,從而確保所有能進入企業內網的流量,都是經過阿里云WAF、IPS等清洗過的。
身份認證
阿里云云盾的IDaaS主要用來保護應用身份安全。
為什么說它很重要呢? 道高一尺,魔高一丈。現在的很多攻擊,都是混雜在正常的流量中的。如果發現系統受到攻擊,就去阻斷,勢必會造成錯殺,影響正常業務。這是為什么我們強調自適應認證(Adaptive Authentication )的原因。為了在整個體系中更好的去偽存真,避免錯殺,身份復核是最好的方式。最常見的方法是IDaaS中的AI模塊檢測到IP,位置,時間等異常行為組合,判斷為危險,會殺掉現有會話,彈出一個OTP二次認證的界面,通過后才可以繼續,否則會被阻斷。
IDaaS將零信任中的控制中心,認證中心合二為一,其用戶行為分析UEBA具備了大腦的AI識別和判斷能力。例如,通過用戶在過去一個月的同一個工作日的登錄行為,算出平均值,形成基線。然后,對用戶的認證請求作出風險打分,根據程度對管理員釘釘告警,觸發2FA雙因子認證,直至將IP加入黑名單作出阻斷。
UEBA的設置
正如在文章開頭提到的,面對海量的網絡吞吐流量,如同機場車站的滾滾人流,靠人工篩選的方案是行不通的。UEBA利用了阿里云多年積累的經驗和算法,具備快速識別風險的能力。
登錄頻率算法
此外,IDaaS還整合了阿里的業務風控能力,包括用戶的注冊/登錄,從而確保用戶在第一次使用系統的時候,是安全可靠的。
應用代理
應用代理很好地解決了VPN帶寬不足,暴露面過大等缺點。
傳統的IPSecVPN一個大的問題是一旦竊取了身份,進入內網后,可以進一步橫向訪問到更多脆弱的網絡設備和服務器,從而提權達到攻擊的目的。這個過程在信息泄露和護網過程已經被反復重現了。
SPG產品扮演了IAP的角色,對所有的WEB和TCP請求進行攔截和判斷。實踐中,開放的端口越少越安全,最好是只有Https的443端口。幸運的是今天很多業務已經前后分離B/S化了。由此,SPG有能力做到不開放更多端口的情況下(如RDP的3389)做到業務可用。因為具備每秒上萬并發的處理能力,可以將防火墻內外的請求統統接入。用戶在辦公室和家里,流程無變化,體驗無變化。
終端管控
IDaaS中的終端代理(IdpAgent),保證移動和PC終端接入的安全。
比如這次疫情,很多人是把臺式機留在了辦公室,這樣就不能正常工作了。但是想要工作不能停,利用家里的電腦BYOD顯然是一個好的出路。由此引發的終端管控問題也是一個大的挑戰。一臺家里的電腦,接入公司的網絡,是一個高危的事情。因為你不知道它上面是否有病毒和木馬。
借助多年實踐阿里郎的成功經驗,終端代理運行時會檢查漏洞補丁,殺毒軟件等是否達到基線要求,符合的才能入網。通過MFA身份認證后,將用戶身份和設備指紋綁定,可以自動注冊自己的PC及手機作為信任設備。下一步,還可以通過下載客戶端證書,替代傳統的賬戶密碼,進一步減少釣魚和中間人攻擊的機會。
除了作為終端準入使用, 移動終端的APP還可以被用來作為OTP令牌的生成工具。未來,VPN,DLP等能力,甚至包括電話會議,都可以植入到終端管控軟件中。
釘釘整合
抗疫戰斗中,釘釘很好的扮演了在終端上作為應用門戶入口的角色。
這次在家遠程辦公的要求之高之急對很多的IT人是沒有心理準備的。釘釘連續兩天擴容1萬多臺服務器,就表明了受歡迎程度還是很高的。初期,對釘釘的應用還是淺的,主要是直播會議等。未來,當釘釘真正成為辦公入口的時候,內網應用開放給釘釘會帶來更大的安全挑戰。
釘釘遠程辦公方案
一個簡單的解決方案是通過IDaaS、SPG和釘釘進行整合,靈活的去適配更多應用場景。例如,用戶在釘釘上利用內置瀏覽器打開一個辦公應用的時候,可以用兩種方式:
- 自動到IDaaS上通過STS利用釘釘的身份去換取一個令牌id_token,然后利用這個令牌去穿過SPG的驗證要求;
- 直接利用釘釘提供的Code,在SPG上到釘釘云的后臺去交換一個Access Token,并穿過SPG的驗證;
如上,在方案2中,IDaaS是一個可選的組件,也就是說企業只要提供一個合法的用戶身份即可,可以是釘釘,也可以是原有的4A系統利舊。
除了公有釘釘,阿里還有專屬釘釘,確保重要的文件能夠本地存儲。專屬釘釘對應的解決方案類似,不再贅述。
其它部署方式
除了提供公有云能力,同時,云盾IDaaS提供了私有云部署模式,可以跑在客戶的敏捷PaaS上。IDaaS和SPG的私有云版本,可以部署在企業的防火墻后面,更好的滿足金融等用戶的合規監管要求。
對那些既有公有云,又有私有云的用戶, 阿里還提供了混合云部署模式,從而滿足局部上云用戶的需求。
展望與總結
抗疫過程中,阿里巴巴集團秉承自身的To B基因,除了有全球采購物資等社會擔當,同時也展現了很多的技術能力。
真正的零信任安全構建體系化,從端到云,需要全鏈路的保護。終端、接入、AI和云原生是阿里云的核心競爭力。云原生的核心優勢在于云上架構可以從IaaS、PaaS、SaaS自下而上構建可信鏈條,第三方安全廠商是很難中間植入的。
除了IDaaS,云盾DDOS, WAF, SDDP,風控,實人,SSL證書等有用武之地,阿里巴巴集團的阿里郎,釘釘,RAM,VPN,SAG,達摩院的AI等等,未來都是整合出更豐富的安全解決方案的彈藥儲備。
最后,不管你樂意不樂意看見,以身份為邊界的零信任安全是大勢所趨。
疫情,讓這個春天云和移動的需求迎面撞來,對應的安全防護也越來越外延化。移動終端設備,公有云服務器,都挪到了企業傳統的安全邊界防火墻的外面,原來的雞蛋殼式安全模式被打破。如果說20年前的邊界主要是圍繞IP來構建ACL,防火墻(包括NGFW)需求爆發;10年前WEB2.0帶來了WAF的長足發展;那么,零信任也必將帶來IDaaS等以身份為新邊界的安全需求增長。而此類市場動向,會以重視安全的政府和金融用戶為先鋒驅動,讓我們拭目以待。
