過去這些年，技術(shù)發(fā)生了很大的革命，云計算改變了業(yè)務(wù)方式，敏捷改變了開發(fā)方式，某寶改變了購物方式。而在內(nèi)部安全上，零信任則提供了一個新的模式。

為陽谷等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及陽谷網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站制作、網(wǎng)站建設(shè)、陽谷網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

過去這些年，各種數(shù)據(jù)泄漏層出不窮，我懶得去找例子，反正比比皆是，從大公司到小公司，從政府到商業(yè)機構(gòu)。這說明什么呢?這說明我們過去的方法出了問題，以前基于邊界來劃分可信不可信的辦法行不通了。

傳統(tǒng)的內(nèi)部安全外圍取決于防火墻、VPN來隔離，但隨著員工用自己的電腦、用自己的手機、再加上云計算，整個網(wǎng)絡(luò)邊界越來越模糊。零信任安全則直接在概念上顛覆了原有概念，內(nèi)部用戶比外部用戶更不可信!看以往的各種案例，太多由于黑客掌握了密碼，證書之后得手的攻擊。因此，對這些內(nèi)部用戶零信任，可能是未來減少數(shù)據(jù)泄漏的主要方法。

　　一、Google實踐

Gartner提出了CARTA方法論，意為持續(xù)自適應(yīng)風險與信任評估，包含了零信任安全的核心元素。當然，更關(guān)鍵的是，Google已經(jīng)在15年就開始付諸實施，這個項目就是大名鼎鼎的BeyondCorp，開始從本質(zhì)上改變。BeyondCorp完全不信任網(wǎng)絡(luò)，而是基于設(shè)備、用戶、動態(tài)訪問控制和行為感知策略。零信任需要一個強大的身份服務(wù)來確保每個用戶的訪問，一旦身份驗證通過，并能證明自己設(shè)備的完整性，則賦予適當權(quán)限訪問資源。所以這里有四個元素：驗證用戶、驗證設(shè)備、權(quán)限控制、自學(xué)習和自適應(yīng)。

　　1. 驗證用戶

驗證用戶最基本的是用戶名和密碼，但怎么確保這個密碼不是從黑市上買來的?所以就出現(xiàn)了多因素認證來獲得額外的保證，國內(nèi)一般是短信驗證碼或軟硬件token，當然現(xiàn)在也開始逐漸出現(xiàn)人臉、指紋等。用戶有很多類型，普通用戶、管理員、外包、合作伙伴、客戶，多因素認證都可以適用。

　　2.驗證設(shè)備

要實現(xiàn)零信任安全，要把控制擴展到設(shè)備級。如果設(shè)備未經(jīng)過驗證，設(shè)備就不可信。如果用戶數(shù)用常用、可信設(shè)備訪問，則有可信度。如果他在網(wǎng)吧用一臺電腦來登陸，那這個信任度就低。設(shè)備驗證還包括了一些安全準入條件，比如是否安裝殺毒軟件和最新補丁。

　3. 限制訪問權(quán)限和特權(quán)

限制用戶最小權(quán)限的訪問，就可以限制攻擊的橫向移動。其次是對業(yè)務(wù)應(yīng)用的授權(quán)，業(yè)務(wù)層包含大量敏感數(shù)據(jù)，是攻擊的首要目標，因此在應(yīng)用側(cè)限制權(quán)限也同樣重要。數(shù)據(jù)越重要，權(quán)限越少，也可以用多因素來進一步驗證。

　　4.自學(xué)習和自適應(yīng)

收集用戶、設(shè)備、應(yīng)用和服務(wù)器數(shù)據(jù)和行為信息，形成日志數(shù)據(jù)庫進行機器學(xué)習分析，達到異常識別的目的，比如從異常位置訪問資源，則立即觸發(fā)強認證。

　　整個方案有幾個好處：

一是重新定義了身份，以前都是根據(jù)角色進行的，而零信任模型則更加動態(tài)，用時間、屬性、狀態(tài)的組合來實時評估。

二是集中控制，所有的流量都通過中央網(wǎng)關(guān)來處理認證和授權(quán)，這種網(wǎng)關(guān)可以攔截所有到資源之間的通信。但中央網(wǎng)關(guān)不是只有一個，而是分布式的，只是邏輯上的集中。BeyondCorp就在每個受保護的資源之前放了一個反向代理服務(wù)。

三是主動防范，能夠檢查日志做審計是一回事，能夠?qū)崟r攔截主動防范則是另一回事了。

Google的方法很好，值得借鑒，但不一定要完全照搬。每個企業(yè)有自己的實際情況，要是上來就干，可能會導(dǎo)致更多的問題。根據(jù)Google的幾篇論文，我試著分析一下實現(xiàn)路徑做參考。

　　二、信息收集

整個項目上，第一步要實現(xiàn)的就是數(shù)據(jù)的收集，收集數(shù)據(jù)的作用是掌握全局，包括賬號和應(yīng)用的流向關(guān)系、網(wǎng)絡(luò)架構(gòu)、應(yīng)用協(xié)議等。在這個過程中也能清理掉很多沒用的系統(tǒng)和賬號。而數(shù)據(jù)的收集分為幾種：

　　1、設(shè)備信息

因為設(shè)備驗證屬于一個重要環(huán)節(jié)，因此要對設(shè)備進行清點。Google要求所有設(shè)備都有IT管理，并且保存一個資產(chǎn)庫，但這在國內(nèi)企業(yè)中并不現(xiàn)實，例如有的員工自帶電腦，自帶手機。所以實際上需要在Google的思路上有所拓展，雖然我不知道，但我可以通過設(shè)備指紋來建立一個資產(chǎn)庫。每個設(shè)備都有的獨一無二的標識，通過標識，把員工常用設(shè)備作為可信設(shè)備，從而建立自己的資產(chǎn)庫。

　　2、梳理訪問記錄

零信任的目標是完全消除靜態(tài)密碼的使用，轉(zhuǎn)為更加動態(tài)的驗證，可以對每個單獨的訪問發(fā)布范圍、時間的證書。這是這個架構(gòu)的好處，也是防范內(nèi)部風險的最佳答案。所以需要掌握公司內(nèi)部的訪問記錄，常見是通過SSO訪問日志來進行。而且定期review內(nèi)網(wǎng)訪問日志，也應(yīng)該是一個常態(tài)化工作。梳理這個的目的，是了解賬戶和應(yīng)用之間的關(guān)系。

　　3、系統(tǒng)架構(gòu)圖

零信任的目標是拋棄掉網(wǎng)絡(luò)層的訪問控制，但現(xiàn)實是需要在整個過程中逐步改造，因此需要掌握網(wǎng)絡(luò)拓撲，掌握各訪問控制的位置，掌握資源位置。最后才能達到把訪問控制放到應(yīng)用側(cè)來實現(xiàn)。所以這里的著眼思考點是，如果我把這個資源放到互聯(lián)網(wǎng)上，需要怎么控制。

4、流量日志

流量是基于網(wǎng)絡(luò)拓撲來的，在應(yīng)用日志完備的情況下，甚至可以不需要做流量日志。不過考慮到大家的實際情況，還是加上比較好。另外網(wǎng)絡(luò)內(nèi)跑的協(xié)議也很重要，Google在計劃階段發(fā)現(xiàn)網(wǎng)內(nèi)使用了各種協(xié)議，因此在新系統(tǒng)中作了嚴格的規(guī)定，以HTTPS和SSH為主要協(xié)議。

　　二、訪問策略

在Google的論文中，多次提到了他們在形成這個框架時面臨的挑戰(zhàn)，為了有效推進，這個安全措施必須在全公司強制執(zhí)行，覆蓋廣泛且易于管理。這其實在很多公司是個不容易的事情。而且Google也提到，安全架構(gòu)不應(yīng)該影響生產(chǎn)力，在國內(nèi)就是就是安全不應(yīng)影響業(yè)務(wù)。因此把敏感應(yīng)用放到公網(wǎng)上，需要小心謹慎。零信任要求每個請求都完整驗證身份，授權(quán)和加密，這個信任是基于動態(tài)用戶和設(shè)備決定的，而不再基于網(wǎng)絡(luò)單一維度進行判斷。

數(shù)據(jù)收集以后，接下來要做的事情就是訪問策略框架了。Google整個項目周期是7年(淚奔，7年后我還在不在現(xiàn)在的公司都不好說)，提到的建議是情景決策，換成中國話的意思就是業(yè)務(wù)場景。例如我是一個運營，要去訪問運營報表系統(tǒng)，那么我用公司給我的筆記本電腦登錄報表系統(tǒng)，然后通過跳板機登陸到Hadoop上去調(diào)整源數(shù)據(jù)。這些業(yè)務(wù)場景會告訴你一些信息，運營應(yīng)該授予報表系統(tǒng)、Hadoop權(quán)限，而在這里的授權(quán)元素包括，設(shè)備、角色、被訪問資源、時間等。

　　1、數(shù)據(jù)字段

聽上去比較別扭，換成中國話的意思，要收集那些數(shù)據(jù)維度，以用做訪問控制要素。常見的比如組織架構(gòu)、角色。新增的設(shè)備與用戶配對關(guān)系，也包括比如操作系統(tǒng)是否更新，殺毒軟件是否安裝這些設(shè)備狀態(tài)。同時也可以包括更多的要素：時間、位置、多因素等。這些條件組成了驗證規(guī)則，但這太容易被猜測出來了，所以在這個基礎(chǔ)上，還可以增加一些新的判斷字段，比如wifi的mac等信息。

　2、規(guī)則

接下來制定規(guī)則，規(guī)則中除了包括上面所說的字段，還應(yīng)包括行為信息。例如有一個提出離職的員工，進入文檔系統(tǒng)大量下載文檔，這就是一個風險。可能需要的規(guī)則是，打通PS系統(tǒng)掌握誰提出了離職，然后限制該員工對文檔系統(tǒng)的大量下載行為。再細分一點規(guī)則，主動離職和被動離職對系統(tǒng)的風險是不同的，下載和查看文檔也是不同的。

規(guī)則中一個常見錯誤是設(shè)置了太多細致的規(guī)則，Google在實踐中遇到了這個問題，最終他們在代理服務(wù)的粗粒度，和后端資源的細粒度之間找到了平衡點。在論文中他們提到了兩個例子：

全局規(guī)則：粗粒度，影響所有服務(wù)和資源。比如“底層設(shè)備不允許提交代碼”。特定服務(wù)規(guī)則：比如G組中的供應(yīng)商允許訪問web應(yīng)用A。

如果規(guī)則太復(fù)雜，或者對資源規(guī)定太過具體，那對規(guī)則的語言是很有挑戰(zhàn)性的，所以應(yīng)該用一套任何人都可以理解的策略規(guī)則。Google的做法是從粗規(guī)則開始，然后再將RBAC和ABAC引入。

　　3、權(quán)限

零信任是把信任從外圍改變到端點，目標是在不斷變化的環(huán)境中基于動態(tài)用戶和設(shè)備，做出智能的選擇。BeyondCorp是最小權(quán)限原則，通過不斷地處理用戶、設(shè)備、行為數(shù)據(jù)，為這些數(shù)據(jù)建立信任值，每個資源都有一個信任層，必須滿足才能訪問。比如你的手機版本過低，系統(tǒng)會給你一個低信任評分。當你訪問工資數(shù)據(jù)的時候，需要你有更高的信任等級。你必須把手機版本升級，否則不能訪問資源。這其實和金融里的信用分一個意思，這些元素的組合形成了分數(shù)。

但有一點，就是要明確的告訴用戶，基于什么原因，你的分數(shù)過低，要把補救方法明確的提示出來，不然用戶就陷入了迷思，然后會干出一些亂七八糟的事情出來。換句話說，可以把規(guī)則形成問題，你的補丁打了嗎?殺毒軟件更新了嗎?然后通過驗證這些問題，賦予權(quán)限。

　三、訪問控制

策略訂好了以后就是控制措施，這里也是國內(nèi)大多數(shù)公司和Google做法有分叉的地方，Google當然有能力自己造所有輪子，操作系統(tǒng)都能自己寫，但國內(nèi)公司很少會這么干，同時在內(nèi)部這些應(yīng)用里，或多或少都會有外購的應(yīng)用系統(tǒng)。

　　1、微服務(wù)

傳統(tǒng)系統(tǒng)已經(jīng)做了很多訪問控制手段，有的可能就是一個SSO賬號，這種方式是角色、權(quán)限是在后面邏輯上處理的，也就是說，你先進入內(nèi)網(wǎng)門戶，然后通過門戶進入各個子系統(tǒng)。在進入門戶這個環(huán)節(jié)并不做后面的資源的驗證，把驗證放在了后端應(yīng)用上處理。這也就是之前烏云還在的時候，我們看到一旦拿到一個員工賬號，就可以在內(nèi)部各種橫向漂移。

而在Google，則使用了微服務(wù)，把驗證邏輯和資源系統(tǒng)隔離，以實現(xiàn)靈活的驗證。加入你們采購了外部的一個財務(wù)系統(tǒng)，那么財務(wù)系統(tǒng)在這里只看作是一個原始數(shù)據(jù)的記錄系統(tǒng)。通過微服務(wù)方式的解耦，服務(wù)之間不再需要關(guān)心對方的模型，僅通過事先約定好的接口來進行數(shù)據(jù)流轉(zhuǎn)即可。因此策略層改變起來也很容易，這是其中一個關(guān)鍵。

　　2、集中處理

零信任中有一個處理所有流量的ACCESS GATEWAY，這是個反向代理服務(wù)，集中了身份驗證和授權(quán)過程，統(tǒng)一進行處理，也是理想的日志監(jiān)控點。代理服務(wù)支持PKI證書，所有請求都通過HTTPS提供給網(wǎng)關(guān)，用戶和設(shè)備的數(shù)據(jù)在這時候被提取出來進行驗證授權(quán)。再接下來則是SSH，RDP或TLS連接，與資源進行安全會話，這就大大限制了攻擊面。

在某個時間點，根據(jù)動態(tài)數(shù)據(jù)來配置身份驗證，而不是單純的依靠網(wǎng)絡(luò)。這就是零信任系統(tǒng)的能力。但在初期的時候，這個動態(tài)，是需要經(jīng)過磨合的。最簡單的例子是根據(jù)大多數(shù)人的共同的行為來調(diào)整策略，這里就需要機器學(xué)習來輔助，讓機器來了解共同行為是什么意思。

　　四、資源遷移

最后一步則是資源的遷移。資源遷移有個灰度過程，關(guān)鍵系統(tǒng)往后放，先從簡單應(yīng)用開始，這個應(yīng)用應(yīng)該適合粗粒度規(guī)則，且數(shù)據(jù)敏感度比較低，比如內(nèi)部的wiki這種。為了防止在這個過程中的數(shù)據(jù)泄漏，Google初期是并聯(lián)傳統(tǒng)系統(tǒng)的，然后逐漸割接。Google非常強調(diào)他們把所有資源都放到公網(wǎng)上，消滅了網(wǎng)絡(luò)分區(qū)需求。但實際上，我們大可不必這么冒險，傳統(tǒng)基于網(wǎng)絡(luò)層的控制方法仍然可以使用。

通過這個邏輯，只需要把流量指向訪問結(jié)構(gòu)，就可以保護資源。在所有流量都經(jīng)過網(wǎng)關(guān)的情況下，需要確保和應(yīng)用的連接是安全的，每個請求必須端到端加密。但只有這么個安全隧道是不夠的，還需要確保每個請求都被完全驗證授權(quán)，方法上可以是對請求證書和關(guān)聯(lián)數(shù)據(jù)進行簽名，再配置應(yīng)用驗證，也可以是對特定IP列入白名單。

　　五、總結(jié)

Google在基礎(chǔ)架構(gòu)安全上付出了巨大的努力。我在看這些paper的時候就在想，為什么Google公開宣傳內(nèi)部的安全實踐呢，我以小人之心揣測，可能與Google云相關(guān)，從Google一系列的博客來看，信息保護一直都是重點范圍。但對于我們這些安全從業(yè)者來說，這5個paper提供了很多安全的先進點，讓我們一探頂尖互聯(lián)網(wǎng)企業(yè)的基礎(chǔ)安全架構(gòu)。整個閱讀理解過程中，有幾句話我覺得是特別值得總結(jié)的：

1、“我們不依賴于內(nèi)部網(wǎng)絡(luò)分隔或防火墻作為我們的主要安全機制”

我曾在阿里工作過幾年，早在14年阿里安全就提出“去防火墻”。但當時的“去防火墻”思想，更多的是擺脫傳統(tǒng)盒子硬件防火墻層次，和Google還不一樣。零信任的核心主題是，它是一個無周邊架構(gòu)，這和Google的員工分布在全球各地辦公有關(guān)系。這并不是說防火墻完蛋了，而是說不作為“主要”安全機制。但是在借鑒過程上，去防火墻不是第一步，而應(yīng)在各種認證、授權(quán)等機制建立后的最后一步。

2、“最終用戶登陸由中央服務(wù)器驗證，然后中央服務(wù)器向用戶端設(shè)備發(fā)送憑證，例如cookie或OAuh令牌，從客戶端設(shè)備到Google的每個后續(xù)請求都需要該憑據(jù)”。

零信任基于用戶和設(shè)備的狀態(tài)做出智能決策，憑證是動態(tài)的，也就是可撤銷、可審計、有較短時間期限。這其中說，每個后續(xù)都需要該憑據(jù)，這就是零信任的精髓了。

3、“實際上，任何發(fā)布的服務(wù)都使用GFE作為智能反向代理前端，這個代理提供了DNS，拒絕服務(wù)保護，TLS終止和公共IP托管”

把內(nèi)部應(yīng)用放到公網(wǎng)，可以實現(xiàn)端到端的前向加密，但卻讓系統(tǒng)面臨攻擊，通過反向代理來管理這些流量?，F(xiàn)實而言，我們并不需要這么激進，抗ddos保護對于中小企業(yè)來說，還是應(yīng)該依靠外部力量。

4、“在企業(yè)局域網(wǎng)上不是我們授予訪問權(quán)限的主要機制。相反，我們使用應(yīng)用程序級的訪問管理控制，允許我們只在特定用戶來自正確管理的設(shè)備以及期望的網(wǎng)絡(luò)和地理位置時才將內(nèi)部應(yīng)用程序公開。

身份認證是整個流程中的重要部分，但零信任獨特在于：用戶、設(shè)備組成一個可以實時進行信任決策的配置文件。舉例來說，我在北京從我的手機上登陸crm應(yīng)用，那肯定不會在同一時間允許我在上海的pc上登陸。訪問策略上要么允許，要么提示你另一個認證因素。

安全性和可用性一直存在互相矛盾，安全部門要在這里尋找平衡。每個公司也都有自己的風險容忍度，有的公司因為月餅開除員工，有的公司因為云盤上傳開除員工。每一個處罰，都會引起內(nèi)部很多爭論，對于零信任來說，決策是動態(tài)的，允許更多的自適應(yīng)，其中機器學(xué)習是這里的重要工具。

5、“我們積極地限制和監(jiān)督已經(jīng)被授予基礎(chǔ)設(shè)施管理權(quán)限的員工的活動，提供能安全和可控的方式完成相同任務(wù)的自動化，不斷努力消除特定任務(wù)的特權(quán)訪問需求。

零信任目的在減少內(nèi)部威脅，整個架構(gòu)中學(xué)習和適應(yīng)是重要環(huán)節(jié)。同時也對自動化很敏感，在這么大一個全球企業(yè)中，人工是不現(xiàn)實的。另外，整個項目對特權(quán)的檢查，會比對普通權(quán)限的檢查要仔細的多。

新聞標題：跟著大公司學(xué)安全之BeyondCorp安全架構(gòu)
分享URL：http://aaarwkj.com/article34/gdsepe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護、品牌網(wǎng)站制作、動態(tài)網(wǎng)站、面包屑導(dǎo)航、定制網(wǎng)站、手機網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)