導讀:身份認證安全的 AI 化,是未來的一個大的趨勢。相信很多安全從業人員對最近兩年IDaaS在業界的興起都耳熟能詳。它是Gartner中差別傳統IAM産品的一個定義,全稱是IDentity as a Service,主要是指雲化的身份認證服務。今天,我們就來聊聊身份認證安全如何為遠端辦公抗疫保駕護航。
行業趨勢
本次2019-nCoV病毒的爆發,加速了辦公上雲和移動的演變過程。無數企業今年的開工都轉到了線上,幾萬人的直播,這種臨時性的波峰需求能良好的适配非雲莫屬。這場突如其來的變故,也催熟了移動辦公的需求。員工都在家裡,通過自己的移動裝置來參與工作。
傳統企業遠端辦公
即使沒有這些,IDaaS專注的密碼技術的安全挑戰在過去也是與日俱增的。如果說通過對稱算法的賬戶密碼方式容易被撞庫,今天,即使用非對稱技術生成的短期令牌,也仍然受到了挑戰。通過發一個釣魚的宏檔案,或是一張有惡意腳本的圖檔,都可以竊取你的會話憑證的,無論它有多少個位元組長。企業能做的,就是啟用更複雜的安全政策,但是在使用者體驗上,又帶來了更多的诟病。
如上所述,企業很快發現更細粒度的去驗證使用者看起來并不可行。未來,通過引入AI技術,對所有對内和對外的業務系統的通路進行全面分析計算,動态檢查和更新現有的安全政策,然後利用适當的自動安全控制,通過背景來決定是否允許對核心系統的通路,會大行其道。所有這些努力都是既安全又不會讓使用者煩惱。
AI技術發展到今天,除了BostonDynamic那個機器人的驚豔後空翻,在這次抗疫過程中也是大顯身手。盡管機場車站人來人往,但是測溫裝置已經能快速甄别出發熱人員。
人工vs自動
ESG年度研究報告指出,2020年安全性投資的前4個重點領域排在首位的是:使用AI/ML進行威脅檢測的人工智能網絡安全技術(32%)。原因很簡單,未來的資料是海量的,靠人工去篩選,效率是個大問題。如果不能及時捕獲異常,就不能及時響應。
國際趨勢
零信任自谷歌推出“BeyondCorp”後,圍繞身份認證傳遞的零信任安全架構,開始得到業界的普遍認可。
谷歌的BeyondCorp
這個模型的最大益處,就是把過去IT的一些最佳實踐上升到一個理論的高度,特别強調了人和裝置的互相認證。有了理論指導實踐,很多問題都迎刃而解。比如,正向代理和反向代理IAP(Identity Aware Proxy, 上圖中的Access Proxy位置所示)在過去20年中被廣泛的采用,今天的演進要求是它要和身份認證授權互動起來。同時因為有了這層代理,可以記錄所有的請求/傳回内容,不僅僅是相對簡單的系統日志。它們可以作為後期大腦控制中心ACE(Access Control Engine)的感覺輸入,作為機器學習的資料基礎。
如果還不能了解,那麼聯系到最近爆發的疫情,看看各個小區路段是如何做到管控身份的就知道了。這時候,能被放行的隻有小區的業主和相關人員,不僅僅是體溫正常的,你還要有本區的戶口本,或身份證等等。同時,所有的進出都要登記上報,作為調研和管控的依據。
除了谷歌,國際的其它大廠也在快速跟上。2019年,傳統的網絡和企業安全廠商思科高達20多億美金收購了認證初創公司Duo Security。通過并購将身份認證內建到思科的安全網際網路網關SAG,雲通路安全代理CASB,企業移動管理MDM以及其它基于混合雲的産品陣容中。
國内趨勢
2019年,國内的安全廠商也從自己擅長的技術點紛紛切入零信任安全。一撥是傳統的VPN廠商提供軟體定義邊界SDP産品,減少網際網路暴露面作為賣點的。值得一提的是,離開了身份為核心的零信任安全是不完整的。身份和邊界必須充分結合起來才是完整的零信任,不能盲人摸象。
本次抗疫暴露了不少問題,一方面,形勢需要,另一方面,倉促上陣。很多企業,還停留在傳統的VPN遠端辦公上。它能滿足上司和運維人員已經很好了,上萬人開視訊會議肯定挂。某國内頂級銀行,對基礎設施投資數億每年,但是面對目前海量的在家辦公需求,還是卡頓,不得不尋求新的解決方案。
可以預見的是,疫情對行業的影響也将是深遠的。遠端辦公,線上教育都會成為熱點。IT圈子對圍繞身份認證授權的零信任網絡也會有更高的熱情。但是,羅馬不是一天建成的。谷歌自2013年開始,前後花了6年推出了BeyondCorp,企業是不可能在一夜之間将原有的體系推倒,從零搭建零信任體系的。更務實的做法是盡早開始嘗試,哪怕一開始是簡單的模型,社會事件和安全事件都是很好的推手,加速産業成熟。
零信任技術
毫無疑問,零信任是複雜的,有10多個不同的元件協同,包括控制中心ACE,接入網關IAP,認證中心IDaaS等。其中作為認證中心的IDaaS覆寫了單點登入SSO,接入協定Radius,和使用者管理UD,是整個方案的核心。
控制中心
整個零信任中,控制中心是大腦,是骨幹。
首先,大腦是有學習能力的。傳統的防火牆安全政策,都是采用預定義規則的方法,主要是管理者按經驗來設定,使用繁瑣,效果也較差。例如,周一早上9:00是一個開會簽到的高峰,一個一萬人的企業,到底峰值是一萬次/秒,還是1千次/秒?即使通過觀察設定好了該時間點的上限,11:00又是一個什麼樣的數字?通過日志的機器學習,可以很容易的得出這個規律。
其次,大腦是有判斷能力的。因為引入了IAP,能做到真正的全棧日志審計。使用者的每次請求都會被記錄,如果和交換機,路由器,防火牆,準入等日志結合起來,可以做到持續自适應風險與信任評估CARTA,更好的對使用者的行為進行畫像溯源。
認證中心
零信任有很多可以做的控制點,認證中心是最佳的切入點。
同社會一樣,網絡是由複雜的個體組成,而其中的屬性就非常重要。通常,我們對個體的辨別可以是一個身份證。通過社會的聯防聯控,更多屬性都是可以附加在一個身份上的。畢竟,檢查體溫等這種淺層次的屬性是容易擷取的,但是肺CT,核酸等就不容易啦。安全中對身份的鑒别一直是一個重點。
接入中心
接入中心是控制流量通斷的閘門。
控制中心作為大腦雖然很厲害,它的判斷也是來自于各個器官。如果沒有望聞問切等各種回報,那麼大腦也是聾子和瞎子。有了接入中心和控制中心關聯,體系才能更加的智能。比如一個口罩,它可以阻攔95%的大小顆粒就足夠好了,再高要求是99%就很勉強,做到100%是非常昂貴的。接入中心一個剛需的能力是更好的解析TCP協定,比如這是一個WEB流量,視訊流量,還是一個病毒的廣播請求,快速識别有助于系統作出快速響應。
綜上所述,控制中心,認證中心,接入中心,是要做好零信任安全架構的三個核心元件。
IDaaS解決方案
以IDaaS(統一身份認證服務)為核心,阿裡雲雲盾提供的零信任安全解決方案基本完整,類似谷歌的BeyondCorp簡化版本。通過Agent終端管控,SPG(Service Provide Gateway)應用接入,和IDaaS身份認證齊頭并進,可以提供靈活的組合方案進而滿足企業的要求。
公有雲部署
如上圖,公有方式IDaaS和SPG部署在阿裡雲上,通過VPN隧道,可以接入到企業的内網。這樣,在防火牆上隻需要配置SPG一個入口IP的ACL規則,進而確定所有能進入企業内網的流量,都是經過阿裡雲WAF、IPS等清洗過的。
身份認證
阿裡雲雲盾的IDaaS主要用來保護應用身份安全。
為什麼說它很重要呢? 道高一尺,魔高一丈。現在的很多攻擊,都是混雜在正常的流量中的。如果發現系統受到攻擊,就去阻斷,勢必會造成錯殺,影響正常業務。這是為什麼我們強調自适應認證(Adaptive Authentication )的原因。為了在整個體系中更好的去僞存真,避免錯殺,身份複核是最好的方式。最常見的方法是IDaaS中的AI子產品檢測到IP,位置,時間等異常行為組合,判斷為危險,會殺掉現有會話,彈出一個OTP二次認證的界面,通過後才可以繼續,否則會被阻斷。
IDaaS将零信任中的控制中心,認證中心合二為一,其使用者行為分析UEBA具備了大腦的AI識别和判斷能力。例如,通過使用者在過去一個月的同一個工作日的登入行為,算出平均值,形成基線。然後,對使用者的認證請求作出風險打分,根據程度對管理者釘釘告警,觸發2FA雙因子認證,直至将IP加入黑名單作出阻斷。
UEBA的設定
正如在文章開頭提到的,面對海量的網絡吞吐流量,如同機場車站的滾滾人流,靠人工篩選的方案是行不通的。UEBA利用了阿裡雲多年積累的經驗和算法,具備快速識别風險的能力。
登入頻率算法
此外,IDaaS還整合了阿裡的業務風控能力,包括使用者的注冊/登入,進而確定使用者在第一次使用系統的時候,是安全可靠的。
應用代理
應用代理很好地解決了VPN帶寬不足,暴露面過大等缺點。
傳統的IPSecVPN一個大的問題是一旦竊取了身份,進入内網後,可以進一步橫向通路到更多脆弱的網絡裝置和伺服器,進而提權達到攻擊的目的。這個過程在資訊洩露和護網過程已經被反複重制了。
SPG産品扮演了IAP的角色,對所有的WEB和TCP請求進行攔截和判斷。實踐中,開放的端口越少越安全,最好是隻有Https的443端口。幸運的是今天很多業務已經前後分離B/S化了。由此,SPG有能力做到不開放更多端口的情況下(如RDP的3389)做到業務可用。因為具備每秒上萬并發的處理能力,可以将防火牆内外的請求統統接入。使用者在辦公室和家裡,流程無變化,體驗無變化。
終端管控
IDaaS中的終端代理(IdpAgent),保證移動和PC終端接入的安全。
比如這次疫情,很多人是把桌上型電腦留在了辦公室,這樣就不能正常工作了。但是想要工作不能停,利用家裡的電腦BYOD顯然是一個好的出路。由此引發的終端管控問題也是一個大的挑戰。一台家裡的電腦,接入公司的網絡,是一個高危的事情。因為你不知道它上面是否有病毒和木馬。
借助多年實踐阿裡郎的成功經驗,終端代理運作時會檢查漏洞更新檔,防毒軟體等是否達到基線要求,符合的才能入網。通過MFA身份認證後,将使用者身份和裝置指紋綁定,可以自動注冊自己的PC及手機作為信任裝置。下一步,還可以通過下載下傳用戶端證書,替代傳統的賬戶密碼,進一步減少釣魚和中間人攻擊的機會。
除了作為終端準入使用, 移動終端的APP還可以被用來作為OTP令牌的生成工具。未來,VPN,DLP等能力,甚至包括電話會議,都可以植入到終端管控軟體中。
釘釘整合
抗疫戰鬥中,釘釘很好的扮演了在終端上作為應用門戶入口的角色。
這次在家遠端辦公的要求之高之急對很多的IT人是沒有心理準備的。釘釘連續兩天擴容1萬多台伺服器,就表明了受歡迎程度還是很高的。初期,對釘釘的應用還是淺的,主要是直播會議等。未來,當釘釘真正成為辦公入口的時候,内網應用開放給釘釘會帶來更大的安全挑戰。
釘釘遠端辦公方案
一個簡單的解決方案是通過IDaaS、SPG和釘釘進行整合,靈活的去适配更多應用場景。例如,使用者在釘釘上利用内置浏覽器打開一個辦公應用的時候,可以用兩種方式:
- 自動到IDaaS上通過STS利用釘釘的身份去換取一個令牌id_token,然後利用這個令牌去穿過SPG的驗證要求;
- 直接利用釘釘提供的Code,在SPG上到釘釘雲的背景去交換一個Access Token,并穿過SPG的驗證;
如上,在方案2中,IDaaS是一個可選的元件,也就是說企業隻要提供一個合法的使用者身份即可,可以是釘釘,也可以是原有的4A系統利舊。
除了公有釘釘,阿裡還有專屬釘釘,確定重要的檔案能夠本地存儲。專屬釘釘對應的解決方案類似,不再贅述。
其它部署方式
除了提供公有雲能力,同時,雲盾IDaaS提供了私有雲部署模式,可以跑在客戶的靈活PaaS上。IDaaS和SPG的私有雲版本,可以部署在企業的防火牆後面,更好的滿足金融等使用者的合規監管要求。
對那些既有公有雲,又有私有雲的使用者, 阿裡還提供了混合雲部署模式,進而滿足局部上雲使用者的需求。
展望與總結
抗疫過程中,阿裡巴巴集團秉承自身的To B基因,除了有全球采購物資等社會擔當,同時也展現了很多的技術能力。
真正的零信任安全建構體系化,從端到雲,需要全鍊路的保護。終端、接入、AI和雲原生是阿裡雲的核心競争力。雲原生的核心優勢在于雲上架構可以從IaaS、PaaS、SaaS自下而上建構可信鍊條,第三方安全廠商是很難中間植入的。
除了IDaaS,雲盾DDOS, WAF, SDDP,風控,實人,SSL證書等有用武之地,阿裡巴巴集團的阿裡郎,釘釘,RAM,VPN,SAG,達摩院的AI等等,未來都是整合出更豐富的安全解決方案的彈藥儲備。
最後,不管你樂意不樂意看見,以身份為邊界的零信任安全是大勢所趨。
疫情,讓這個春天雲和移動的需求迎面撞來,對應的安全防護也越來越外延化。移動終端裝置,公有雲伺服器,都挪到了企業傳統的安全邊界防火牆的外面,原來的雞蛋殼式安全模式被打破。如果說20年前的邊界主要是圍繞IP來建構ACL,防火牆(包括NGFW)需求爆發;10年前WEB2.0帶來了WAF的長足發展;那麼,零信任也必将帶來IDaaS等以身份為新邊界的安全需求增長。而此類市場動向,會以重視安全的政府和金融使用者為先鋒驅動,讓我們拭目以待。
文章來源:尚紅林、牛佳 阿裡巴巴技術品質