阿里巴巴副總裁肖力：云原生安全下看企業(yè)新邊界——身份管理

作者 | kirazhou

導(dǎo)讀：在 10000 多公里之外的舊金山，網(wǎng)絡(luò)安全盛會(huì) RSAC2020 已經(jīng)落下了帷幕。而身處杭州的肖力，正在談起今年大會(huì)的主題——Human Element。2020 年，從“人”出發(fā)，這顆石子將在國(guó)內(nèi)的安全市場(chǎng)池子里激起怎樣的漣漪？Human Element 的背后隱藏著怎樣的安全洞見(jiàn)？

在 Gartner 的《2020 年規(guī)劃指南：身份和訪問(wèn)管理》報(bào)告中，我們看到了 IT 必須推進(jìn) IAM（身份和訪問(wèn)管理）計(jì)劃，而身份治理和管理、混合/多云環(huán)境作為可預(yù)見(jiàn)的趨勢(shì)，更是已經(jīng)在風(fēng)口蓄勢(shì)待發(fā)。

人、身份和云端，這三者之間的角力、千絲萬(wàn)縷和無(wú)限可能，正是此次采訪的最大收獲。

Human Element：了解人的脆弱性

我們常常談起，“安全的本質(zhì)在于人與人之間的對(duì)抗。”

從攻防對(duì)抗的視角來(lái)看，人的因素使得攻防對(duì)抗成為一個(gè)動(dòng)態(tài)的持久過(guò)程。攻擊者的手段、工具和策略都在發(fā)生變化，而防御者的安全防護(hù)能力也在提升，兩者之間持續(xù)對(duì)抗，安全水位線一直動(dòng)態(tài)變化。

在整個(gè)攻防對(duì)抗過(guò)程中，人，既是防御者，也可能成為攻擊者，而對(duì)抗不僅會(huì)發(fā)生在企業(yè)與外部的對(duì)峙中，很多時(shí)候也發(fā)生在企業(yè)內(nèi)部。

人，是絕對(duì)的安全核心，這是今年 RSAC 大會(huì)傳遞給我們的訊息。而在關(guān)注人的安全技能與能力建設(shè)之余，也要清晰地認(rèn)知：人的脆弱性使人本身成為安全中薄弱的一環(huán)。因此，企業(yè)在應(yīng)對(duì)來(lái)自外部攻擊的同時(shí)，如何防范來(lái)自企業(yè)內(nèi)部人員的威脅同樣關(guān)鍵。

2017 年卡巴斯基的調(diào)查報(bào)告中提出，46% 的 IT 安全事故是由企業(yè)員工造成的?，F(xiàn)在，這個(gè)比例已經(jīng)上升至 70%~80%，譬如內(nèi)部開(kāi)發(fā)者由于未遵守安全規(guī)范或自身安全能力不足，而導(dǎo)致所研發(fā)的應(yīng)用在設(shè)計(jì)之初就留下了漏洞，亦或是在職/離職員工由于操作不規(guī)范或直接的惡意行為導(dǎo)致企業(yè)安全問(wèn)題。

“整個(gè)安全體系絕對(duì)不僅是和自動(dòng)化蠕蟲(chóng)做對(duì)抗，這只是冰山一角”。

面對(duì)“人”帶來(lái)的安全影響，肖力認(rèn)為問(wèn)題根源在于企業(yè)的安全基線做得不到位。目前，很多企業(yè)更注重于威脅檢測(cè)與響應(yīng)，這一部分確實(shí)有用，但還不夠?！拔覀兯伎嫉牟皇浅隽藛?wèn)題后如何去解決，而是如何不出問(wèn)題?！币虼耍虑暗陌踩€設(shè)置比起事后的檢測(cè)與響應(yīng)更為關(guān)鍵。企業(yè)安全基線包括了：

1. 所有應(yīng)用系統(tǒng)的統(tǒng)一身份認(rèn)證與授權(quán)
2. 安全運(yùn)營(yíng)：設(shè)置紅線
3. 建立應(yīng)用開(kāi)發(fā)安全流程：確定開(kāi)發(fā)人員培訓(xùn)、內(nèi)部安全考試與認(rèn)證等規(guī)范

如果說(shuō)企業(yè)的安全基線是走向安全的基礎(chǔ) 60 分，那么，只有先做好安全基線再去做事后檢測(cè)響應(yīng)能力的提升，才能讓企業(yè)安全體系更為穩(wěn)固。其中，“身份”作為在互聯(lián)網(wǎng)中的直觀映像，身份管理對(duì)于有效降低內(nèi)部人員的行為帶來(lái)的安全威脅可以說(shuō)有著重要作用。

身份：零信任理念下的新舊邊界交替

網(wǎng)絡(luò)身份的重要性無(wú)需再贅述，而身份如何從安全因素之一轉(zhuǎn)變?yōu)槠髽I(yè)安全防護(hù)的“主角”，2010 年是一個(gè)隱形的節(jié)點(diǎn)。

肖力指出，在過(guò)去的 IT 環(huán)境中，尤其是 2000~2010 年期間，邊界隔離是企業(yè)安全防護(hù)的主要手段。但 2010 年后， IT 整體環(huán)境發(fā)生了巨大的變化：

1. IT 架構(gòu)根源性的變化：隨著移動(dòng)互聯(lián)、lOT 設(shè)備的普及，整個(gè)內(nèi)網(wǎng)、辦公網(wǎng)絡(luò)都受到了巨大的沖擊，大量的設(shè)備接入，導(dǎo)致原來(lái)的邊界難以守住；
2. 企業(yè)數(shù)據(jù)庫(kù)從 IDC 遷移到云上：隨著云計(jì)算的浪潮，越來(lái)越多的企業(yè)選擇全站上云或 50% 業(yè)務(wù)上云，導(dǎo)致防護(hù)環(huán)境發(fā)生變化。
3. 企業(yè) SaaS 服務(wù)發(fā)展：企業(yè)網(wǎng)盤(pán)、釘釘?shù)绕髽I(yè) SaaS 服務(wù)的發(fā)力，意味著越來(lái)越多的企業(yè)工作流、數(shù)據(jù)流和身份都到了外部，而非固定在原本的隔離環(huán)境中。

隨著環(huán)境因素的變化，傳統(tǒng)的邊界將漸漸消亡，僅依靠傳統(tǒng)的網(wǎng)絡(luò)隔離行之無(wú)效，這時(shí)候，基于零信任理念的統(tǒng)一身份管理為企業(yè)重新筑造了“安全邊界”。

基于零信任理念，企業(yè)可以構(gòu)建統(tǒng)一的身份認(rèn)證與授權(quán)系統(tǒng)，將所有賬號(hào)、認(rèn)證、權(quán)限統(tǒng)一管理。譬如，離職員工被視為企業(yè)的重要威脅之一。在整個(gè)企業(yè)安全體系建設(shè)的實(shí)踐中，必須要做到賬戶對(duì)應(yīng)到應(yīng)用系統(tǒng)的權(quán)限統(tǒng)一，實(shí)現(xiàn)每天離職員工的所有身份、賬號(hào)權(quán)限可以在企業(yè)內(nèi)部系統(tǒng)中一鍵刪除。

包括近一段時(shí)間安全圈內(nèi)熱議的微盟員工刪庫(kù)事件，從身份認(rèn)證與管理的技術(shù)角度來(lái)看，也是完全可以避免的。肖力認(rèn)為：

• 一方面，企業(yè)在實(shí)施 IAM（身份和訪問(wèn)管理）時(shí)，秉持最小權(quán)限原則，通過(guò)帳號(hào)的權(quán)限分級(jí)，給到員工應(yīng)有的權(quán)限即可，而類似“刪庫(kù)”的特權(quán)賬號(hào)不應(yīng)該給到任何一個(gè)員工；
• 其次，哪怕員工下發(fā)了批量數(shù)據(jù)刪除的指令，企業(yè)也可以通過(guò)內(nèi)部異常行為檢測(cè)，識(shí)別出該類指令基本不會(huì)發(fā)生在正常的生產(chǎn)環(huán)境中，從而不執(zhí)行該指令。

除了技術(shù)層面的實(shí)現(xiàn)，身份認(rèn)證與管理的本質(zhì)依舊是安全基線。同時(shí)肖力指出，安全團(tuán)隊(duì)在企業(yè)中的位置與影響力則決定了基線能否被確定、切實(shí)地落實(shí)到業(yè)務(wù)中去。判斷安全團(tuán)隊(duì)在企業(yè)、業(yè)務(wù)中的影響力大小，最直觀的就是組織架構(gòu)：安全團(tuán)隊(duì)是否為獨(dú)立部門(mén)，直接匯報(bào)給 CTO 甚至 CEO。

未來(lái)，IAM 應(yīng)該還會(huì)向零信任架構(gòu)推進(jìn)，并基于零信任理念衍生出多應(yīng)用場(chǎng)景下的身份治理方案，打通“身份認(rèn)證”與云安全產(chǎn)品，構(gòu)建云上零信任體系。

基于云原生安全的 IAM

身份管理提供商 SailPoint 的首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Mark McClain 曾經(jīng)說(shuō)過(guò)：“治理的世界是有關(guān)誰(shuí)有權(quán)限訪問(wèn)什么東西，誰(shuí)應(yīng)該訪問(wèn)什么東西，以及如何正確使用這些權(quán)限的世界。但現(xiàn)實(shí)是，大多數(shù)消費(fèi)者距離前兩條都差得很遠(yuǎn)，更不用說(shuō)第三條了。”幸運(yùn)的是，現(xiàn)在的 IAM 工具/服務(wù)越來(lái)越易用，并且加快延伸至云端環(huán)境。

肖力指出，云原生的安全紅利是可見(jiàn)的。“常態(tài)化”的云幾乎成為了企業(yè)操作系統(tǒng)，涉及 IaaS 層、PaaS 層和 SaaS 層。各個(gè)云服務(wù)商在安全上注入巨額投資，以規(guī)?；娜肆ξ锪Υ蚰ピ瓢踩a(chǎn)品和技術(shù)，讓企業(yè)開(kāi)始嘗到云原生技術(shù)帶來(lái)的安全紅利。

普通企業(yè)不必重復(fù)造輪子，搭載上阿里云等云服務(wù)廠商的航母，就能在云計(jì)算浪潮里前行，享受高等的安全水位。

其次，云化帶來(lái)的 6 大云原生安全能力：全方位網(wǎng)絡(luò)安全隔離管控、全網(wǎng)實(shí)時(shí)情報(bào)驅(qū)動(dòng)自動(dòng)化響應(yīng)、基于云的統(tǒng)一身份管理認(rèn)證、默認(rèn)底層硬件安全與可信環(huán)境、DevSecOps 實(shí)現(xiàn)上線即安全，讓企業(yè)脫離原本復(fù)雜的安全管理模式，從“碎片化”到“統(tǒng)一模式”。

隨著企業(yè)上云趨勢(shì)日益明顯。IT 基礎(chǔ)設(shè)施云化、核心技術(shù)互聯(lián)網(wǎng)化，最終讓企業(yè)架構(gòu)發(fā)生變革。而“云化”的過(guò)程中，越來(lái)越多的企業(yè)開(kāi)始思考混合和多云環(huán)境下的 IAM（身份和訪問(wèn)管理）問(wèn)題。

混合云：場(chǎng)內(nèi)工作+公有云環(huán)境服務(wù)的使用；
多云：多個(gè)公有云服務(wù)商服務(wù)的使用。

關(guān)于混合云，基于企業(yè)上云后的統(tǒng)一管理模式，可以在復(fù)雜的混合云環(huán)境下直接實(shí)現(xiàn)統(tǒng)一的身份接入，將企業(yè)云上與云下身份打通，并且基于對(duì)云端上的用戶環(huán)境做評(píng)估，動(dòng)態(tài)地授于不同人以不同權(quán)限，從而讓任何人在任何時(shí)間、地點(diǎn)，都可以正確地訪問(wèn)內(nèi)部資源。而多云的環(huán)境則可以利用活動(dòng)目錄的工作負(fù)載實(shí)現(xiàn)身份管理。

云上的環(huán)境，賦予了統(tǒng)一身份管理更多的可行性，而進(jìn)一步探索混合和多云 IAM 實(shí)現(xiàn)方案將成為企業(yè)戰(zhàn)略的新方向。

最后，由身份管理衍生的數(shù)據(jù)安全問(wèn)題，同樣值得關(guān)注。2019 年，數(shù)據(jù)安全絕對(duì)是最熱的話題之一，不管是高發(fā)的動(dòng)輒上億級(jí)別的數(shù)據(jù)泄露，或是陸續(xù)頒布的數(shù)據(jù)隱私法規(guī)，都在反復(fù)強(qiáng)調(diào)數(shù)據(jù)安全的重要性。

在采訪的尾聲，肖力同樣談到了今年 RSAC 的創(chuàng)新沙盒冠軍 Securiti.ai。有意思的是，過(guò)去 3 年創(chuàng)新沙盒冠軍中有 2 年都是做數(shù)據(jù)安全的，似乎給網(wǎng)絡(luò)安全企業(yè)的下一步發(fā)展提出了一個(gè)非常明確的方向。

首先，數(shù)據(jù)安全本身的命題就很大，數(shù)據(jù)的流動(dòng)性使得數(shù)據(jù)安全問(wèn)題橫跨各個(gè)安全技術(shù)領(lǐng)域，并出現(xiàn)在企業(yè)的各個(gè)環(huán)節(jié)中；其次，市場(chǎng)需求大。企業(yè)對(duì)于如何保障內(nèi)部數(shù)據(jù)安全、保障客戶的數(shù)據(jù)隱私安全有著迫切的需求。如此看來(lái)，“說(shuō)不定明年的冠軍也是做數(shù)據(jù)安全的呢。”

因此，在未來(lái)的 5~10 年，如果安全公司可以通過(guò)核心的產(chǎn)品和技術(shù)突破幫助用戶解決數(shù)據(jù)安全問(wèn)題，比如依靠技術(shù)摸清底盤(pán)，了解用戶隱私數(shù)據(jù)在哪里有哪些，必然可以在市場(chǎng)分得很大一塊蛋糕。

肖力最后指出，需求正在倒逼技術(shù)的發(fā)展。數(shù)據(jù)安全領(lǐng)域亟需通過(guò)技術(shù)突破迎來(lái)爆發(fā)。

“ 阿里巴巴云原生關(guān)注微服務(wù)、Serverless、容器、Service Mesh 等技術(shù)領(lǐng)域、聚焦云原生流行技術(shù)趨勢(shì)、云原生大規(guī)模的落地實(shí)踐，做最懂云原生開(kāi)發(fā)者的公眾號(hào)?！?/p>