2022 年 8 月 30 日,阿里云用户组(AUG)第 9 期活动在北京举办。活动现场,阿里云办公安全产品专家高传贵,向参会企业代表分享了零信任,让全球办公安全更简单。本文根据演讲内容整理而成。
大家下午好。我今天分享的主题是零信任,让全球办公安全更简单。
前面的几位同学给大家讲的都是一些网络方面的优化,如何能够让我们的业务应用跑得更好,继而更好的服务我们外部的 C 端客户,以此期望我们的生产业务为公司带来更多的利润。而我讲的内容可能跟前面的几个同学讲的有一点不一样,我是站在我们内部办公员工的视角,怎么能让日常办公更简单,更高效。说到安全这件事情,或者更进一步说到内部办公这件事情,我们调研过很多客户,客户最关心什么?
说到办公安全,第一个关键词是数据防泄漏。最近我们看到很多客户提出类似的需求,比如说某头部盲盒公司,新一代玩偶的设计稿甚至还没有交到代工厂,而小红书上这个玩偶的原型图早已经阅读过万了,直接后果是导致他们的客户对盲盒失去了新鲜感,而新鲜感就是盲盒生意的生命线。
还有一些游戏客户找到我们,说他们的一些游戏创意还没有发布没有上线呢,甚至连公测都还没有提,结果在论坛上已经有提前透漏下一个版本是怎样的,说的有理有据有模有样,毫无疑问,这些创意设计已经都提前泄露出来了。
当然也还包括一些代码的泄露,图纸的泄露等等这些,这是我们最常见的办公数据防泄漏问题。
第二个关键词是什么呢?我想说是防勒索,防泄漏更多的是内部的人有意或者无意把办公的数据,或者说这就是公司的财产泄露出去了,除了我刚才举例提到的游戏行业,设计行业,也有一些电商行业,员工把客户信息自己带着出去创业,把客户跑了一个遍,看到自己公司突然没有业绩了才想起来做数据防泄漏,也有这样的情况,这些都是从内部治理层面。另外一个层面就是防勒索,外部病毒、木马、勒索软件去攻击员工的电脑,也有可能是服务器。在座的都是公司 IT 部门负责人,我相信各位对某某公司遭受大规模的勒索攻击的新闻一定见怪不怪了,这个事情是真实发生的,内外部两个层面是我们在谈办公安全时最关注的两个方面。
其实还有一个关键词,脱离安全或衍生于安全的关键词,效率。从办公效率出发,让员工用起来很爽,用起来更快,不需要验证码、刷脸等各种各样繁琐的校验,虽然这些都是为了更安全,但也确确实实影响了效率。真正的安全做到极致,一定不是更繁琐,而是要让办公更简单。
我们之前有很多很多这样的探索和思考,现在已经有专门的 DLP 软件,专门的杀毒软件,专门的桌面 EDR 管理软件,这些软件都已经有一些市场。为什么这些软件规模都不大?
关于零信任架构(Zero-Trust-Architecture)
我们先抛开什么是阿里云的零信任方案,来看一下到底是什么零信任。如果一个零信任方案做的完善,一定是在这三个假设之下去做:
第一个假设,这个网络世界是始终存在威胁的,总有潜在的攻击风险。
第二个假设,没有网络是默认可信的,公司的内网并不比互联网过来的请求更安全。我刚才分析的第一类案例数据防泄漏里面,更多的都是内部人员的有意无意的泄露,因此不要再去区分这是否是内网的访问。
第三个假设,所有终端或者用户的访问行为都是不可信的,都是需要做做校验的。
而零信任方案如果要做到极致,要遵循这六个要素:
第 1 个是它的基本原则,从不信任,总是验证。
第 2 个是应⽤隐身,应⽤隐身要素一个真正的零信任方案必须要做到的事情,这是一个关键点。以 OA、 CRM 等内部办公应用为例,是发布到公网提供访问服务,还是通过 VPN 来提供远程访问服务。无论何种方案都是将内网对外暴露了,前者是直接暴露了应用,后者是把边界暴露出去。零信任根本要解决的就是应用暴露面的问题,你永远无法去攻击一个你看不见的东西。
第 3 个是动态验证,风控引擎加实时策略,这条也是呼应我们前面提到的让办公安全更简单的一个最核心的要素,一定是要有一个智能判断的引擎,去帮助管理员,帮助我们的员工减少判断的动作,并且这一切工作对他们都是透明的,虽然无感透明,但是仍然是做了实时的验证。
第 4 个是最小化的授权,动态授权,比较好理解,这里就不再展开了。
第 5 个是可视化,可视化对应前面的应用隐身看似矛盾,其实对象不同,可视化是对管理员来说,一天中,网络内部发生了什么,外部发生了什么,这些流量,访问行为,外发的文件,对于管理员来说,必须要是有能力有方案做到可视化的。
最后就是一个全生命周期,说起生命周期管理,我们往往第一个想到都是账号的全生命周期,从入职、离职或者说冻结等等一些中间状态。此外,还有设备生命周期管理,设备的注册激活管理,运营淘汰换新。还有一个容易被忽略,就是策略全生命周期。零信任策略可以灵活配置,比如我们设定一个员工只能使用公司配发的电脑,必须得某个指定的安全软件进程运行的情况下,才能访问某一个应用,此外,还可以配置在上班时间点,而非一个冷门的时间点可以去访问,零信任策略还可以监测到访问请求次数突然异常增多了,这也是会被识别为一个不可信的访问等等。
关于零系列的一些铺垫讲得有点多,但也是有必要的,这就是我们做这个产品的原则。
传统安全防护措施已无法支撑企业办公安全
再回到我今天的主题,让办公安全更简单。
第一,我们先看传统的安全防护措施为什么已经无法支撑我们现在的企业办公安全,终端软件兼容问题,跨云、跨境组网复杂,边界不再清晰,身份也是割裂的;
第二,终端的类型不再像以前一样都是PC或者笔记本之类的,现在移动办公已经普及,如果哪个公司业务应用不支持移动端,基本是不可接受的,而5G,AI,IOT,智能穿戴也已经进入办公领域,这就是我们提到的终端碎片化。
第三,生产数据资源无法处理,资源无法处理其有两大方面,第一是服务器上面的数据库里面的数据到底存了哪些?哪些是敏感的,哪些是不敏感的?第二方面就是,这些数据也是没有边界的,有些是在阿里云上,有些是在本地,有些是在其他云上面。
SASE,如何让办公安全更简单?
面对如何让办公安全更简单这个问题,我们的答案很简单,那就是 All in One,让安全更简单。所有办公安全问题,只需要一个端就够了。
设备指纹,确保可信终端访问授信资源;
统一身份与授权管理,UEBA 自适应 MFA、账号、设备、人员智能绑定;
最小化授权,减小暴露面,敏感文件外发管理;
发起业务请求时,进一步判断终端准入的安全基线和异常分值,动态调整访问授权,统一管理控制台,SSO 单点登录,实现安全与效率平衡。
当然,All in One 也会面临一个矛盾,一个端去解决所有安全问题的时候,在传统的解决方案里面,装杀毒软件,装 DLP 软件,装桌面管理软件,我相信在座各位如果推广过此类软件的话,都知道这是非常痛苦的。员工反馈电脑变卡了,蓝屏了,或者风扇突然就狂转起来了,这都是终端的兼容性是要面临各种各样的软件、硬件操作系统的兼容性问题的,挑战非常大。究其原因,最大的一点是在于所有的计算都是由这个端来完成的,计算是占用了终端的计算资源。
而我们的方案,端只做一件事情,就是流量转发,其余的全部都到云端来做。
SASE,是 Gartner 在 2019 年的一篇报告中提出的概念,正是应此需求而生。创建一个新的分支办公室时,不再需要把所有的安全问题全部都归结到分支里面去做,边界不用再串一堆防火墙、IPS、IDS 等各种各样的网关设备,电脑上不用再装各种各样的安全软件,只需要员工去装一个 APP,把所有的流量转到云端的引擎做安全分析,员工使用起来非常流畅,因为端是非常的轻量化的。
这种变化,网络成了最大的挑战,我们跟阿里云网络 SAG 产品做了 SDK 的集成,端转发流量的时候,全部都复用了阿里云云网络的优质资源,这样就轻松实现了甚至比原来本地分析方案更好的网络速度体验。员工不用再担心当前的网络环境很弱或当前的运营商是一个小运营商,需要跨运营商才能真正到服务节点,因为他不管是用什么样的网络,都是就近接入到阿里云的 POP 点,能够有一个非常好的速度保障。
我们的工作流量拓扑示意图,可以看到,我们这边有哑终端 IOT,还有非公司设备、公司设备、个人设备等等设备,这个方案是能够覆盖各种各样的设备类型的。第二是能够覆盖各种各样的办公场景,无论是在家、在途中、还是在公司,我们都有相对应的功能或者方案去解决这样的访问场景。
此外,功能都是模块化设计的,包括 DLP 软件能力等,都是按需开启的。
在今年年初上海疫情期间,阿里云 SASE 短时间内接了一百多家上海企业。就帮助企业解决一件事情,员工在家的时候需要访问企业内部业务应用,我们就帮他们去打通网络。这其实就是替代 VPN 的场景,因为即使客户原来有 VPN,也会需要 SASE,为什么呢?因为传统的 VPN 更多是为了偶发性的场景去设计的,在全员居家办公的时候,是完全无法支撑的,网络卡顿、并发不足、无安全能力,完全无法支撑远程办公。而只要上了 SASE 方案之后,不管是网络的性能,还是本身后面访问的速度,都有一个非常大的提升。
全球办公加速也可便捷、安全、友好
前面我也提到了跨境办公,SASE 是依托于阿里云资源创建的一个产品,有很多跟阿里云内部产品的一些集成方案,比如 GA 加速线路。很多企业已经购买了加速线路,加速线路往往承担的是办公区到服务器区的加速需求。疫情爆发以后,海外员工全部都是居家办公了,就只能走互联网访问国内的办公应用,加速线路没有用起来,办公体验是非常差的。
通过阿里云 SASE+GA 的方案,海外的员工只需要安装一个 SASE 客户端,去访问国内业务应用的时候,流量就可以走加速线路回国,体验是非常好的,这是回国方向的场景。
反方向,我们也有这样的客户案例,国内访问一些海外的业务资源。SASE 把 GA 的能力能够更好的服务到员工手上,而不是仅仅去加速服务器和服务器,机房和机房或办公室和办公室之间这样的固定线路。
阿里云办公安全解决方案的实践建议和案例
这里是我们能给到的一些实际的建议。
安全不是买一堆安全产品就直接解决了办公安全问题,我们也不认为一个安全产品就能解决所有的问题,一定要正确的安全产品配置,要有一个持续运营和配置的过程,安全产品跟其他产品有一点不同,就是需要一个持续磨合的过程。
建议还包括要重点关注敏感数据方面,数据外发泄露保护,合规审计、可视化等,这是一个综合性的方案。产品能够做到的也仅仅只是提供能力,但真正这些能力用起来,并不是买完产品就自然而然具备了,还是需要企业的运维人员能够有一个比较用心的付出的。
刚才提到我们有很多集成,我们跟阿里云的另外一款产品无影,也有集成。在游戏行业也有一些落地案例,一些特定的项目组,或者关键岗位,原计划是要单独给这些岗位的每个人再发一台电脑,去做一个单独的项目。用了无影之后,就不用这么高且不灵活的投入了,所有项目相关的工作都在无影上面去做,一个账号可以开多台无影资源。
我们还可以帮助无影做什么呢?配置员工登录无影终端的时候,只能使用指定的电脑。比如只允许公司配发的电脑才能登到无影,使用无影的时候,无影去访问哪些网站,无影再去往外发哪些文件,这也是需要做一些审计,也可以由 SASE 去实现。当然,无影也支持了统一杀毒、漏洞补丁的管理等等这些能力。以上这是我们整体办公安全平台 SASE 加无影的一个数据不落地的解决方案。
办公安全案例实践
这是一个云上云下统一数据安全防护方案,前面讲的都是我们办公终端上的敏感数据,敏感文件的外发。实际上还有很多客户他们期望能够管理到服务器、数据库里面存了哪些文件?到底存了多少?然后它的分布是怎样的?对于一些敏感信息,需要做一些脱敏保护的时候,这些需求需要怎么去实现。
这个方案结合了多个产品,其中包括阿里云数据安全中心。无论是云上的数据,或数据库里面数据梳理、脱敏的过程,还是在端上,像这种外发的审计,识别外发的渠道,不管通过即时通讯工具、邮件,甚至 USB 或者数据的打印,我们都有办法能够去做审计和告警。
还有一点,我们之所以举这个例子,是因为数据安全中心和 SASE 用到的引擎,都是同一个敏感文件识别引擎。敏感识别引擎能够支持的文件格式超过 170 多种,几乎我们能够见到的所有格式类型的办公文件,我们都能够识别到。识别到并不仅仅只识别到格式大小,而是能够识别到内容的。比如一个作图软件图纸里面有哪些关键文字、关键信息,这些是都能够提取出来的。
再比如说我们想做一个防止研发人员外发带代码的策略,只需要做一条策略,哪些人外发文件,外发代码文件就搞定了,而外发代码文件的规格,格式引擎的内容,或者说里面的规则,都是预置好的,管理员只用选择就好了。
最后,无论身处温馨的家、办公室还是风吹草低见牛羊的大草原,都可以轻松使用阿里云 SASE,不再为办公而焦虑。
今天就介绍到这里,再次谢谢大家。
阿里云办公安全产品专家高传贵:零信任,让全球办公安全更简单
