跟著大公司學安全之BeyondCorp安全架構

　　過去這些年，技術發(fā)生了很大的革命，云計算改變了業(yè)務方式，敏捷改變了開發(fā)方式，某寶改變了購物方式。而在內(nèi)部安全上，零信任則提供了一個新的模式。

　　過去這些年，各種數(shù)據(jù)泄漏層出不窮，我懶得去找例子，反正比比皆是，從大公司到小公司，從政府到商業(yè)機構。這說明什么呢?這說明我們過去的方法出了問題，以前基于邊界來劃分可信不可信的辦法行不通了。

　　傳統(tǒng)的內(nèi)部安全外圍取決于防火墻、VPN來隔離，但隨著員工用自己的電腦、用自己的手機、再加上云計算，整個網(wǎng)絡邊界越來越模糊。零信任安全則直接在概念上顛覆了原有概念，內(nèi)部用戶比外部用戶更不可信!看以往的各種案例，太多由于黑客掌握了密碼，證書之后得手的攻擊。因此，對這些內(nèi)部用戶零信任，可能是未來減少數(shù)據(jù)泄漏的主要方法。

　　一、Google實踐

　　Gartner提出了CARTA方法論，意為持續(xù)自適應風險與信任評估，包含了零信任安全的核心元素。當然，更關鍵的是，Google已經(jīng)在15年就開始付諸實施，這個項目就是大名鼎鼎的BeyondCorp，開始從本質(zhì)上改變。BeyondCorp完全不信任網(wǎng)絡，而是基于設備、用戶、動態(tài)訪問控制和行為感知策略。零信任需要一個強大的身份服務來確保每個用戶的訪問，一旦身份驗證通過，并能證明自己設備的完整性，則賦予適當權限訪問資源。所以這里有四個元素：驗證用戶、驗證設備、權限控制、自學習和自適應。

　　1. 驗證用戶

　　驗證用戶最基本的是用戶名和密碼，但怎么確保這個密碼不是從黑市上買來的?所以就出現(xiàn)了多因素認證來獲得額外的保證，國內(nèi)一般是短信驗證碼或軟硬件token，當然現(xiàn)在也開始逐漸出現(xiàn)人臉、指紋等。用戶有很多類型，普通用戶、管理員、外包、合作伙伴、客戶，多因素認證都可以適用。

　　2.驗證設備

　　要實現(xiàn)零信任安全，要把控制擴展到設備級。如果設備未經(jīng)過驗證，設備就不可信。如果用戶數(shù)用常用、可信設備訪問，則有可信度。如果他在網(wǎng)吧用一臺電腦來登陸，那這個信任度就低。設備驗證還包括了一些安全準入條件，比如是否安裝殺毒軟件和最新補丁。

　　3. 限制訪問權限和特權

　　限制用戶最小權限的訪問，就可以限制攻擊的橫向移動。其次是對業(yè)務應用的授權，業(yè)務層包含大量敏感數(shù)據(jù)，是攻擊的首要目標，因此在應用側(cè)限制權限也同樣重要。數(shù)據(jù)越重要，權限越少，也可以用多因素來進一步驗證。

　　4.自學習和自適應

　　收集用戶、設備、應用和服務器數(shù)據(jù)和行為信息，形成日志數(shù)據(jù)庫進行機器學習分析，達到異常識別的目的，比如從異常位置訪問資源，則立即觸發(fā)強認證。

　　整個方案有幾個好處：

　　一是重新定義了身份，以前都是根據(jù)角色進行的，而零信任模型則更加動態(tài)，用時間、屬性、狀態(tài)的組合來實時評估。

　　二是集中控制，所有的流量都通過中央網(wǎng)關來處理認證和授權，這種網(wǎng)關可以攔截所有到資源之間的通信。但中央網(wǎng)關不是只有一個，而是分布式的，只是邏輯上的集中。BeyondCorp就在每個受保護的資源之前放了一個反向代理服務。

　　三是主動防范，能夠檢查日志做審計是一回事，能夠?qū)崟r攔截主動防范則是另一回事了。

　　Google的方法很好，值得借鑒，但不一定要完全照搬。每個企業(yè)有自己的實際情況，要是上來就干，可能會導致更多的問題。根據(jù)Google的幾篇論文，我試著分析一下實現(xiàn)路徑做參考。

　　二、信息收集

　　整個項目上，第一步要實現(xiàn)的就是數(shù)據(jù)的收集，收集數(shù)據(jù)的作用是掌握全局，包括賬號和應用的流向關系、網(wǎng)絡架構、應用協(xié)議等。在這個過程中也能清理掉很多沒用的系統(tǒng)和賬號。而數(shù)據(jù)的收集分為幾種：

　　1、設備信息

　　因為設備驗證屬于一個重要環(huán)節(jié)，因此要對設備進行清點。Google要求所有設備都有IT管理，并且保存一個資產(chǎn)庫，但這在國內(nèi)企業(yè)中并不現(xiàn)實，例如有的員工自帶電腦，自帶手機。所以實際上需要在Google的思路上有所拓展，雖然我不知道，但我可以通過設備指紋來建立一個資產(chǎn)庫。每個設備都有的獨一無二的標識，通過標識，把員工常用設備作為可信設備，從而建立自己的資產(chǎn)庫。

　　2、梳理訪問記錄

　　零信任的目標是完全消除靜態(tài)密碼的使用，轉(zhuǎn)為更加動態(tài)的驗證，可以對每個單獨的訪問發(fā)布范圍、時間的證書。這是這個架構的好處，也是防范內(nèi)部風險的最佳答案。所以需要掌握公司內(nèi)部的訪問記錄，常見是通過SSO訪問日志來進行。而且定期review內(nèi)網(wǎng)訪問日志，也應該是一個常態(tài)化工作。梳理這個的目的，是了解賬戶和應用之間的關系。

　　3、系統(tǒng)架構圖

　　零信任的目標是拋棄掉網(wǎng)絡層的訪問控制，但現(xiàn)實是需要在整個過程中逐步改造，因此需要掌握網(wǎng)絡拓撲，掌握各訪問控制的位置，掌握資源位置。最后才能達到把訪問控制放到應用側(cè)來實現(xiàn)。所以這里的著眼思考點是，如果我把這個資源放到互聯(lián)網(wǎng)上，需要怎么控制。

　　4、流量日志

　　流量是基于網(wǎng)絡拓撲來的，在應用日志完備的情況下，甚至可以不需要做流量日志。不過考慮到大家的實際情況，還是加上比較好。另外網(wǎng)絡內(nèi)跑的協(xié)議也很重要，Google在計劃階段發(fā)現(xiàn)網(wǎng)內(nèi)使用了各種協(xié)議，因此在新系統(tǒng)中作了嚴格的規(guī)定，以HTTPS和SSH為主要協(xié)議。

　　二、訪問策略

　　在Google的論文中，多次提到了他們在形成這個框架時面臨的挑戰(zhàn)，為了有效推進，這個安全措施必須在全公司強制執(zhí)行，覆蓋廣泛且易于管理。這其實在很多公司是個不容易的事情。而且Google也提到，安全架構不應該影響生產(chǎn)力，在國內(nèi)就是就是安全不應影響業(yè)務。因此把敏感應用放到公網(wǎng)上，需要小心謹慎。零信任要求每個請求都完整驗證身份，授權和加密，這個信任是基于動態(tài)用戶和設備決定的，而不再基于網(wǎng)絡單一維度進行判斷。

　　數(shù)據(jù)收集以后，接下來要做的事情就是訪問策略框架了。Google整個項目周期是7年(淚奔，7年后我還在不在現(xiàn)在的公司都不好說)，提到的建議是情景決策，換成中國話的意思就是業(yè)務場景。例如我是一個運營，要去訪問運營報表系統(tǒng)，那么我用公司給我的筆記本電腦登錄報表系統(tǒng)，然后通過跳板機登陸到Hadoop上去調(diào)整源數(shù)據(jù)。這些業(yè)務場景會告訴你一些信息，運營應該授予報表系統(tǒng)、Hadoop權限，而在這里的授權元素包括，設備、角色、被訪問資源、時間等。

　　1、數(shù)據(jù)字段

　　聽上去比較別扭，換成中國話的意思，要收集那些數(shù)據(jù)維度，以用做訪問控制要素。常見的比如組織架構、角色。新增的設備與用戶配對關系，也包括比如操作系統(tǒng)是否更新，殺毒軟件是否安裝這些設備狀態(tài)。同時也可以包括更多的要素：時間、位置、多因素等。這些條件組成了驗證規(guī)則，但這太容易被猜測出來了，所以在這個基礎上，還可以增加一些新的判斷字段，比如wifi的mac等信息。

　　2、規(guī)則

　　接下來制定規(guī)則，規(guī)則中除了包括上面所說的字段，還應包括行為信息。例如有一個提出離職的員工，進入文檔系統(tǒng)大量下載文檔，這就是一個風險?？赡苄枰囊?guī)則是，打通PS系統(tǒng)掌握誰提出了離職，然后限制該員工對文檔系統(tǒng)的大量下載行為。再細分一點規(guī)則，主動離職和被動離職對系統(tǒng)的風險是不同的，下載和查看文檔也是不同的。

　　規(guī)則中一個常見錯誤是設置了太多細致的規(guī)則，Google在實踐中遇到了這個問題，最終他們在代理服務的粗粒度，和后端資源的細粒度之間找到了平衡點。在論文中他們提到了兩個例子：

　　全局規(guī)則：粗粒度，影響所有服務和資源。比如“底層設備不允許提交代碼”。特定服務規(guī)則：比如G組中的供應商允許訪問web應用A。

　　如果規(guī)則太復雜，或者對資源規(guī)定太過具體，那對規(guī)則的語言是很有挑戰(zhàn)性的，所以應該用一套任何人都可以理解的策略規(guī)則。Google的做法是從粗規(guī)則開始，然后再將RBAC和ABAC引入。

　　3、權限

　　零信任是把信任從外圍改變到端點，目標是在不斷變化的環(huán)境中基于動態(tài)用戶和設備，做出智能的選擇。BeyondCorp是最小權限原則，通過不斷地處理用戶、設備、行為數(shù)據(jù)，為這些數(shù)據(jù)建立信任值，每個資源都有一個信任層，必須滿足才能訪問。比如你的手機版本過低，系統(tǒng)會給你一個低信任評分。當你訪問工資數(shù)據(jù)的時候，需要你有更高的信任等級。你必須把手機版本升級，否則不能訪問資源。這其實和金融里的信用分一個意思，這些元素的組合形成了分數(shù)。

　　但有一點，就是要明確的告訴用戶，基于什么原因，你的分數(shù)過低，要把補救方法明確的提示出來，不然用戶就陷入了迷思，然后會干出一些亂七八糟的事情出來。換句話說，可以把規(guī)則形成問題，你的補丁打了嗎?殺毒軟件更新了嗎?然后通過驗證這些問題，賦予權限。

　　三、訪問控制

　　策略訂好了以后就是控制措施，這里也是國內(nèi)大多數(shù)公司和Google做法有分叉的地方，Google當然有能力自己造所有輪子，操作系統(tǒng)都能自己寫，但國內(nèi)公司很少會這么干，同時在內(nèi)部這些應用里，或多或少都會有外購的應用系統(tǒng)。

　　1、微服務

　　傳統(tǒng)系統(tǒng)已經(jīng)做了很多訪問控制手段，有的可能就是一個SSO賬號，這種方式是角色、權限是在后面邏輯上處理的，也就是說，你先進入內(nèi)網(wǎng)門戶，然后通過門戶進入各個子系統(tǒng)。在進入門戶這個環(huán)節(jié)并不做后面的資源的驗證，把驗證放在了后端應用上處理。這也就是之前烏云還在的時候，我們看到一旦拿到一個員工賬號，就可以在內(nèi)部各種橫向漂移。

　　而在Google，則使用了微服務，把驗證邏輯和資源系統(tǒng)隔離，以實現(xiàn)靈活的驗證。加入你們采購了外部的一個財務系統(tǒng)，那么財務系統(tǒng)在這里只看作是一個原始數(shù)據(jù)的記錄系統(tǒng)。通過微服務方式的解耦，服務之間不再需要關心對方的模型，僅通過事先約定好的接口來進行數(shù)據(jù)流轉(zhuǎn)即可。因此策略層改變起來也很容易，這是其中一個關鍵。

　　2、集中處理

　　零信任中有一個處理所有流量的ACCESS GATEWAY，這是個反向代理服務，集中了身份驗證和授權過程，統(tǒng)一進行處理，也是理想的日志監(jiān)控點。代理服務支持PKI證書，所有請求都通過HTTPS提供給網(wǎng)關，用戶和設備的數(shù)據(jù)在這時候被提取出來進行驗證授權。再接下來則是SSH，RDP或TLS連接，與資源進行安全會話，這就大大限制了攻擊面。

　　在某個時間點，根據(jù)動態(tài)數(shù)據(jù)來配置身份驗證，而不是單純的依靠網(wǎng)絡。這就是零信任系統(tǒng)的能力。但在初期的時候，這個動態(tài)，是需要經(jīng)過磨合的。最簡單的例子是根據(jù)大多數(shù)人的共同的行為來調(diào)整策略，這里就需要機器學習來輔助，讓機器來了解共同行為是什么意思。

　　四、資源遷移

　　最后一步則是資源的遷移。資源遷移有個灰度過程，關鍵系統(tǒng)往后放，先從簡單應用開始，這個應用應該適合粗粒度規(guī)則，且數(shù)據(jù)敏感度比較低，比如內(nèi)部的wiki這種。為了防止在這個過程中的數(shù)據(jù)泄漏，Google初期是并聯(lián)傳統(tǒng)系統(tǒng)的，然后逐漸割接。Google非常強調(diào)他們把所有資源都放到公網(wǎng)上，消滅了網(wǎng)絡分區(qū)需求。但實際上，我們大可不必這么冒險，傳統(tǒng)基于網(wǎng)絡層的控制方法仍然可以使用。

　　通過這個邏輯，只需要把流量指向訪問結(jié)構，就可以保護資源。在所有流量都經(jīng)過網(wǎng)關的情況下，需要確保和應用的連接是安全的，每個請求必須端到端加密。但只有這么個安全隧道是不夠的，還需要確保每個請求都被完全驗證授權，方法上可以是對請求證書和關聯(lián)數(shù)據(jù)進行簽名，再配置應用驗證，也可以是對特定IP列入白名單。

　　五、總結(jié)

　　Google在基礎架構安全上付出了巨大的努力。我在看這些paper的時候就在想，為什么Google公開宣傳內(nèi)部的安全實踐呢，我以小人之心揣測，可能與Google云相關，從Google一系列的博客來看，信息保護一直都是重點范圍。但對于我們這些安全從業(yè)者來說，這5個paper提供了很多安全的先進點，讓我們一探頂尖互聯(lián)網(wǎng)企業(yè)的基礎安全架構。整個閱讀理解過程中，有幾句話我覺得是特別值得總結(jié)的：

　　1、“我們不依賴于內(nèi)部網(wǎng)絡分隔或防火墻作為我們的主要安全機制”

　　我曾在阿里工作過幾年，早在14年阿里安全就提出“去防火墻”。但當時的“去防火墻”思想，更多的是擺脫傳統(tǒng)盒子硬件防火墻層次，和Google還不一樣。零信任的核心主題是，它是一個無周邊架構，這和Google的員工分布在全球各地辦公有關系。這并不是說防火墻完蛋了，而是說不作為“主要”安全機制。但是在借鑒過程上，去防火墻不是第一步，而應在各種認證、授權等機制建立后的最后一步。

　　2、“最終用戶登陸由中央服務器驗證，然后中央服務器向用戶端設備發(fā)送憑證，例如cookie或OAuh令牌，從客戶端設備到Google的每個后續(xù)請求都需要該憑據(jù)”。

　　零信任基于用戶和設備的狀態(tài)做出智能決策，憑證是動態(tài)的，也就是可撤銷、可審計、有較短時間期限。這其中說，每個后續(xù)都需要該憑據(jù)，這就是零信任的精髓了。

　　3、“實際上，任何發(fā)布的服務都使用GFE作為智能反向代理前端，這個代理提供了DNS，拒絕服務保護，TLS終止和公共IP托管”

　　把內(nèi)部應用放到公網(wǎng)，可以實現(xiàn)端到端的前向加密，但卻讓系統(tǒng)面臨攻擊，通過反向代理來管理這些流量。現(xiàn)實而言，我們并不需要這么激進，抗ddos保護對于中小企業(yè)來說，還是應該依靠外部力量。

　　4、“在企業(yè)局域網(wǎng)上不是我們授予訪問權限的主要機制。相反，我們使用應用程序級的訪問管理控制，允許我們只在特定用戶來自正確管理的設備以及期望的網(wǎng)絡和地理位置時才將內(nèi)部應用程序公開。

　　身份認證是整個流程中的重要部分，但零信任獨特在于：用戶、設備組成一個可以實時進行信任決策的配置文件。舉例來說，我在北京從我的手機上登陸crm應用，那肯定不會在同一時間允許我在上海的pc上登陸。訪問策略上要么允許，要么提示你另一個認證因素。

　　安全性和可用性一直存在互相矛盾，安全部門要在這里尋找平衡。每個公司也都有自己的風險容忍度，有的公司因為月餅開除員工，有的公司因為云盤上傳開除員工。每一個處罰，都會引起內(nèi)部很多爭論，對于零信任來說，決策是動態(tài)的，允許更多的自適應，其中機器學習是這里的重要工具。

　　5、“我們積極地限制和監(jiān)督已經(jīng)被授予基礎設施管理權限的員工的活動，提供能安全和可控的方式完成相同任務的自動化，不斷努力消除特定任務的特權訪問需求。

　　零信任目的在減少內(nèi)部威脅，整個架構中學習和適應是重要環(huán)節(jié)。同時也對自動化很敏感，在這么大一個全球企業(yè)中，人工是不現(xiàn)實的。另外，整個項目對特權的檢查，會比對普通權限的檢查要仔細的多。