陈纲：传统集团型企业零信任试水 | 持安2023年度产品发布会

近日，零信任办公安全领域标杆企业持安科技2023年度产品发布会在北京成功举办。会上，持安科技邀请到某度假区信息安全总监陈纲出席会议，并发表主题演讲《传统集团型企业零信任试水》。

某度假区信息安全总监-陈纲

以下是本次演讲实录：

本次分享和目前的供职是无关的，而是用自己过去的三年间零信任落地的过程，来与大家分享集团型的企业落地零信任时，有哪些需要重点关注与解决的问题。

我第一次接触零信任是Forrester的一篇报告，当时第一反应是，这不是换个VPN吗？最多是VPN加个准入。

到十多年后的今天，虽然很多市面上有很多VPN替换案例，传统的VPN厂商也在讲零信任，但是这两者其实是由本质区别的。

#01

传统集团型企业的“特点”

1. 集团型企业规模大，数据中心复杂度高，安全区域与等级的划分多，需要部署安全工具的区域多，甚至涉及到业务的接入与发布，不同的业务板块的访问区域不一样，访问端点也非常复杂。

2. 认为内网更安全，很排斥将数据放在互联网上；但另一方面，对于某些业务来说，需要将其部署在互联网上，如微信公众号或小程序，以方便用户使用。

3. 员工意识的安全性在超大型企业中是一个典型问题。例如，在财务流程中，可能会出现将所有账号、密码等信息公示于文档中的情况。

4. 传统企业往往倾向于自建系统，认为购买成品或选择SaaS无法可靠地依赖第三方。然而，在实际自建过程中，通常需要通过雇用大量外包人员来完成系统，并添加少量自己的业务逻辑，因此自己能够控制的部分非常有限。

5. 尽管集团已经拥有相对完善的身份管理系统，但传统的SSO仍然存在着许多问题，例如认证绕过和过度授权等。

#02

安全运营的难处

想通过安全运营来解决上述问题，但发现仍然会面临许多困难。

1. 防不住

由于存在众多的出口、安全域、访问点和边界，而安全团队的预算有限，无法全面防御。同时，内外账户权限的交叉使用也增加了安全风险。

2. 看不见

分散的监管点过多，导致很多盲点难以及时发现和解决问题，很难对这样一个大而全的系统进行有效管理。

3. 补不全

采用安全运营方式需要逐个解决认证绕过、身份混乱等各种问题。由于需要补的漏洞太多，且实际能够解决问题的人很少，给安全运营人员带来很大的时间和精力负担。

#03

零信任的设计与试水

既然已经确定要实现互联网化，并且需要设计多角色、多用户的访问和使用权限，为何不直接转向零信任模式？并且，传统的VPN替代类零信任并不一定符合我们的预期或需求。我们需要一种更优的解决方案。

我们非常不赞同将应用直接暴露在互联网上，并仅通过账号密码进行访问。这种做法存在严重的安全隐患，会增加业务部门和安全团队的压力。

相较之下，我们希望实现一种理想状态，即用户只能访问与其权限相符的系统。对于攻击者而言，系统是完全不可知且不可探测的。即使攻击者获得了有效的URL，由于缺乏前置的认证授权过程，攻击者也无法执行任何非法操作。

零信任的设计

在整体规划中，我将项目拆分为三个部分，以实现完整的安全防护体系：

第一部分的工作是替换原有的统一身份认证系统，将访问身份认证从网络层升级到更高层面。最理想情况下，认证应该能够覆盖应用层、数据层。至少要确保在用户层面完成身份认证。

第二部分是通过零信任网关实现身份认证与应用授权，界定访问应用和数据的人员范围。

第三部分则针对特别敏感的企业业务系统，采取额外的保护措施，如使用沙箱技术隔离用户访问、强制加密敏感数据等。

零信任试水

第一步是身份改造。

由于历史存量原因，一些历史数据的积累，虽然真正有效的账号是10万，实际上我们需要认证模块改造、业务系统权限对接的总账号数有70万。

工作量巨大，但是身份改造带来的好处也是十分明显的。

首先，在身份认证环境进行改造后，我们可以将零信任与新的统一身份系统打通，实现认证的一致性。在这个过程中，我们明确了“哪些人可以访问哪些系统”的应用层访问逻辑，而非简单的网络层概念。

其次，身份改造的另一个好处是应用控制。我们将用户对业务系统的访问规则同步到零信任架构中，并依据原来的应用访问规则完成7层的应用控制。

第二步边界收敛。

多安全域架构的优势在于能够确保各个安全域的独立性，但是也会带来边界数量的增加。一些传统应用甚至只有一个IP地址，这些都需要进行边界收敛。

现在监管要求网站要合并、发布地址要减少，公开的内容还需要备案。同时，一些老旧系统由于监管要求的升级和备案等操作，也需要不断更新。这迫使我们必须梳理这些系统。

零信任网关可以将大量应用收敛到一个平台上，完成业务访问。这不仅节约了互联网资源，还方便企业了解自己的应用出口。

根据角色、部门、分子公司和产业集团等，用户的访问逻辑也就出来了。我们可以在边界上进行相关的策略控制，从而确保信息安全。

第三部整合端点。

在设计之初，我们考虑保留端，并计划让90%的用户使用端，另外10%的敏感业务员工采取像沙箱一样更为严格的数据控制。

如何登录呢？操作系统登录一次，端上登录一次，打开网站再登录一次？这样显然是不现实的。

零信任使用多因素认证，可以考虑密码+数字证书等，将端和身份认证系统打通。当用户访问业务对象时，认证信息可以带过去，避免多次登录。

此外，打通还有助于解决一些安全问题，例如防止用户用不同账号登录VPN和业务系统。同时，企业内部的微信公众号、企业微信、飞书等工具也可以成为无端零信任接入点。

可以发现，以无端的形式来实现零信任架构，可能更加便捷，特别是随着大量老旧系统的改造和浏览器功能的增强。

第四部分审计分析。

无论从内审还是外审的角度，审计都是重要的环节。外部监管经常会询问访问记录，例如谁在什么时间访问了什么东西。因此我们需要日常的日志累积，也就是用户和实体行为分析（UEBA）的过程。如果存在端，我们还可以采集端点上的信息和配置，形成完整的证据链。

零信任网关可以记录这些访问情况，例如访问次数、成功与否、失败原因等。同时，如果一个用户在未登录状态下尝试访问业务系统，或登录后访问自己权限外的系统，我们也应该记录下来他从网页到端的所有行为，以形成完整的证据链，满足监管单位的证据呈现。

零信任并不是一次性完成的工作，它需要从运营的角度做很多工作。例如，需要梳理业务系统，了解不同人员和角色对不同业务系统数据访问的权限。同时，我们需要设计相应的策略来限制访问，而不仅仅是添加更多元素或者开放某个系统。我们需要回到远点，以身份对象为根本展开访问控制。
未来我们还需要解决数据权限控制与对接、功能权限对接、限制数据token等问题，这需要长期的解决方案。

零信任的核心目标是保障数据安全，因此我们需要围绕身份、细粒度地控制访问。通过持续的安全运营，才能将安全提升到一个新的台阶。