陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会

近日,零信任办公安全领域标杆企业持安科技2023年度产品发布会在北京成功举办。会上,持安科技邀请到某度假区信息安全总监陈纲出席会议,并发表主题演讲《传统集团型企业零信任试水》。

陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会_第1张图片

某度假区信息安全总监-陈纲

以下是本次演讲实录:

本次分享和目前的供职是无关的,而是用自己过去的三年间零信任落地的过程,来与大家分享集团型的企业落地零信任时,有哪些需要重点关注与解决的问题。

我第一次接触零信任是Forrester的一篇报告,当时第一反应是,这不是换个VPN吗?最多是VPN加个准入。

到十多年后的今天,虽然很多市面上有很多VPN替换案例,传统的VPN厂商也在讲零信任,但是这两者其实是由本质区别的。

#01

传统集团型企业的“特点”

1. 集团型企业规模大,数据中心复杂度高,安全区域与等级的划分多,需要部署安全工具的区域多,甚至涉及到业务的接入与发布,不同的业务板块的访问区域不一样,访问端点也非常复杂。

2. 认为内网更安全,很排斥将数据放在互联网上;但另一方面,对于某些业务来说,需要将其部署在互联网上,如微信公众号或小程序,以方便用户使用。

3. 员工意识的安全性在超大型企业中是一个典型问题。例如,在财务流程中,可能会出现将所有账号、密码等信息公示于文档中的情况。

4. 传统企业往往倾向于自建系统,认为购买成品或选择SaaS无法可靠地依赖第三方。然而,在实际自建过程中,通常需要通过雇用大量外包人员来完成系统,并添加少量自己的业务逻辑,因此自己能够控制的部分非常有限。

5. 尽管集团已经拥有相对完善的身份管理系统,但传统的SSO仍然存在着许多问题,例如认证绕过和过度授权等。

陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会_第2张图片

#02

安全运营的难处

想通过安全运营来解决上述问题,但发现仍然会面临许多困难。

1. 防不住

由于存在众多的出口、安全域、访问点和边界,而安全团队的预算有限,无法全面防御。同时,内外账户权限的交叉使用也增加了安全风险。

2. 看不见

分散的监管点过多,导致很多盲点难以及时发现和解决问题,很难对这样一个大而全的系统进行有效管理。

3. 补不全

采用安全运营方式需要逐个解决认证绕过、身份混乱等各种问题。由于需要补的漏洞太多,且实际能够解决问题的人很少,给安全运营人员带来很大的时间和精力负担。

#03

零信任的设计与试水

既然已经确定要实现互联网化,并且需要设计多角色、多用户的访问和使用权限,为何不直接转向零信任模式?并且,传统的VPN替代类零信任并不一定符合我们的预期或需求。我们需要一种更优的解决方案。

陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会_第3张图片

我们非常不赞同将应用直接暴露在互联网上,并仅通过账号密码进行访问。这种做法存在严重的安全隐患,会增加业务部门和安全团队的压力。

相较之下,我们希望实现一种理想状态,即用户只能访问与其权限相符的系统。对于攻击者而言,系统是完全不可知且不可探测的。即使攻击者获得了有效的URL,由于缺乏前置的认证授权过程,攻击者也无法执行任何非法操作。

零信任的设计

陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会_第4张图片

在整体规划中,我将项目拆分为三个部分,以实现完整的安全防护体系:

第一部分的工作是替换原有的统一身份认证系统,将访问身份认证从网络层升级到更高层面。最理想情况下,认证应该能够覆盖应用层、数据层。至少要确保在用户层面完成身份认证。

第二部分是通过零信任网关实现身份认证与应用授权,界定访问应用和数据的人员范围。

第三部分则针对特别敏感的企业业务系统,采取额外的保护措施,如使用沙箱技术隔离用户访问、强制加密敏感数据等。

零信任试水

陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会_第5张图片

第一步是身份改造。

由于历史存量原因,一些历史数据的积累,虽然真正有效的账号是10万,实际上我们需要认证模块改造、业务系统权限对接的总账号数有70万。

工作量巨大,但是身份改造带来的好处也是十分明显的。

首先,在身份认证环境进行改造后,我们可以将零信任与新的统一身份系统打通,实现认证的一致性。在这个过程中,我们明确了“哪些人可以访问哪些系统”的应用层访问逻辑,而非简单的网络层概念。

其次,身份改造的另一个好处是应用控制。我们将用户对业务系统的访问规则同步到零信任架构中,并依据原来的应用访问规则完成7层的应用控制。

陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会_第6张图片

第二步边界收敛。

多安全域架构的优势在于能够确保各个安全域的独立性,但是也会带来边界数量的增加。一些传统应用甚至只有一个IP地址,这些都需要进行边界收敛。

现在监管要求网站要合并、发布地址要减少,公开的内容还需要备案。同时,一些老旧系统由于监管要求的升级和备案等操作,也需要不断更新。这迫使我们必须梳理这些系统。

零信任网关可以将大量应用收敛到一个平台上,完成业务访问。这不仅节约了互联网资源,还方便企业了解自己的应用出口。

根据角色、部门、分子公司和产业集团等,用户的访问逻辑也就出来了。我们可以在边界上进行相关的策略控制,从而确保信息安全。

陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会_第7张图片

第三部整合端点。

在设计之初,我们考虑保留端,并计划让90%的用户使用端,另外10%的敏感业务员工采取像沙箱一样更为严格的数据控制。

如何登录呢?操作系统登录一次,端上登录一次,打开网站再登录一次?这样显然是不现实的。

零信任使用多因素认证,可以考虑密码+数字证书等,将端和身份认证系统打通。当用户访问业务对象时,认证信息可以带过去,避免多次登录。

此外,打通还有助于解决一些安全问题,例如防止用户用不同账号登录VPN和业务系统。同时,企业内部的微信公众号、企业微信、飞书等工具也可以成为无端零信任接入点。

可以发现,以无端的形式来实现零信任架构,可能更加便捷,特别是随着大量老旧系统的改造和浏览器功能的增强。

陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会_第8张图片

第四部分审计分析。

无论从内审还是外审的角度,审计都是重要的环节。外部监管经常会询问访问记录,例如谁在什么时间访问了什么东西。因此我们需要日常的日志累积,也就是用户和实体行为分析(UEBA)的过程。如果存在端,我们还可以采集端点上的信息和配置,形成完整的证据链。

零信任网关可以记录这些访问情况,例如访问次数、成功与否、失败原因等。同时,如果一个用户在未登录状态下尝试访问业务系统,或登录后访问自己权限外的系统,我们也应该记录下来他从网页到端的所有行为,以形成完整的证据链,满足监管单位的证据呈现。

陈纲:传统集团型企业零信任试水 | 持安2023年度产品发布会_第9张图片

零信任并不是一次性完成的工作,它需要从运营的角度做很多工作。例如,需要梳理业务系统,了解不同人员和角色对不同业务系统数据访问的权限。同时,我们需要设计相应的策略来限制访问,而不仅仅是添加更多元素或者开放某个系统。我们需要回到远点,以身份对象为根本展开访问控制。
未来我们还需要解决数据权限控制与对接、功能权限对接、限制数据token等问题,这需要长期的解决方案。

零信任的核心目标是保障数据安全,因此我们需要围绕身份、细粒度地控制访问。通过持续的安全运营,才能将安全提升到一个新的台阶。

你可能感兴趣的:(安全,web安全,科技)